Aktualności

Do wzięcia za darmo 4 książki sekuraka. Mamy też garść aktualizacji o książce

23 października 2019, 20:06 | W biegu | komentarzy 13
Do wzięcia za darmo 4 książki sekuraka. Mamy też garść aktualizacji o książce

Jak zdobyć za darmo naszą książkę o bezpieczeństwie aplikacji webowych? Zerknijcie na linkowaną stronę sklepu – gdzieś na niej macie ukryte dwa kody. Wystarczy podesłać kod na sklep@securitum.pl i… jeśli jesteś jedną z dwóch pierwszych osób, która wyśle dany kod (kody muszą być poprawne ;p) – dostaniesz bezpłatnie książkę. Jeśli…

Czytaj dalej »

Tor Browser 9.0 już dostępny do pobrania

23 października 2019, 19:56 | W biegu | 1 komentarz
Tor Browser 9.0 już dostępny do pobrania

Nowy Tor Browser bazuje na Firefoksie 68 ESR. Postawiono na usprawnienie interfejsu i ściślejszą integrację elementów związanych z Torem w samej przeglądarce: Przeglądarka startuje też w rozmiarze będącym wielokrotnością 200x100px. Co ze zmianą rozmiaru przez użytkownika (czy maksymalizacją na pełen ekran) ? Tutaj stosowany jest tzw. letterboxing (specjalne dodawanie szarych marginesów…

Czytaj dalej »

Zamówił „kolekcjonerskie” banknoty w paczce za pobraniem. Za paczkę chciał zapłacić banknotami… z paczki

23 października 2019, 14:32 | W biegu | komentarze 4
Zamówił „kolekcjonerskie” banknoty w paczce za pobraniem. Za paczkę chciał zapłacić banknotami… z paczki

Sprawa jak w tytule, a temat opisuje serwis epoznań: Jak informuje PAP, 18-latek w sierpniu ubiegłego roku zamówił przez internet fałszywe pieniądze. Chciał w ten sposób „podreperować” swój budżet. Miał otrzymać ponad 100 banknotów o nominałach 50 i 100 złotych. Budżet początkowo był „niepodreperowany”, więc nasz bohater postanowił zapłacić za…

Czytaj dalej »

NGINX + PHP -> można zdalnie przejąć serwer (bug w PHP). Jest exploit, nie ma oficjalnego update…

23 października 2019, 10:00 | W biegu | komentarze 3

Szczegóły podatności można zobaczyć w tym miejscu. Czytamy tutaj:

I dalej: This issue leads to code execution. (…) In certain nginx + php-fpm configurations, the bug is possible to trigger from the outside W cytowanym przez nas wątku pojawia się informacja, że bug ten był do rozwiązania w jednym…

Czytaj dalej »

Firefox 70 z baterią funkcji chroniących prywatność.

22 października 2019, 20:58 | W biegu | komentarzy 6
Firefox 70 z baterią funkcji chroniących prywatność.

Kolejna odsłona Firefoksa przede wszystkim stawia na ochronę prywatności. Mamy m.in. dostępne domyślne blokowanie elementów trackujących wykorzystywanych przez serwisy społecznościowe. Dostępny jest również raport mówiący o liczbie oraz typie zablokowanych elementów ingerujących w prywatność: Dla zapisanych loginów i haseł możemy też otrzymywać automatyczne powiadomienia o wycieku (FF korzysta z bazy…

Czytaj dalej »

Sekurak Hacking Party Bydgoszcz – zapisy start!

22 października 2019, 19:13 | W biegu | komentarze 2
Sekurak Hacking Party Bydgoszcz – zapisy start!

Pierwszy raz z naszym wydarzeniem zawitamy w Bydgoszczy (7.11.2019r. 18:00 -> 20:30). Dostępne mamy bilety standardowe lub z 500 ml czarnym kubkiem sekuraka. Wydarzenie jest idealne dla programistów / testerów czy wszelakich fanów ITsecurity lub sekuraka :-) Agenda: 1. Dlaczego należy się przejmować XSS-ami – na przykładzie prostego narzędzia excessy [Michał Bentkowski] 2. Dziwne…

Czytaj dalej »

shhgit live stream – Twoje wszystkie sekrety należą do nas :-)

22 października 2019, 13:30 | W biegu | 0 komentarzy
shhgit live stream – Twoje wszystkie sekrety należą do nas :-)

Projekt o którym pisaliśmy niedawno cały czas się rozwija. Obecnie mamy wsparcie do automatycznego wyszukiwania / pobierania rozmaitego rodzaju sekretów (bazy danych, klucze prywatne, klucze API, wrażliwe fragmenty konfiguracji, logi, użytkownicy czy hasła w URL-u – w sumie jest kilkadziesiąt kategorii). Dodano też pobieranie danych z GitLaba oraz Bitbucketa, a wyniki…

Czytaj dalej »

Całodniowe szkolenie od sekuraka w absolutnie rewelacyjnej cenie

22 października 2019, 09:21 | W biegu | komentarzy 6
Całodniowe szkolenie od sekuraka w absolutnie rewelacyjnej cenie

Szkolenie podnoszące świadomość bezpieczeństwa, z licznymi pokazami praktycznymi i wciągającymi przykładami z życia organizujemy 29.10.2019 w Katowicach. Cena to 99PLN za osobę (!). Szkolenie przeznaczone jest dla osób nietechnicznych. Pełna agenda wydarzenia: Podstawy bezpieczeństwa (m.in.: spojrzenie z perspektywy atakującego, filary bezpieczeństwa, bezpieczniejsze oprogramowanie, bezpieczne przechowywanie danych i tworzenie kopii zapasowych i…

Czytaj dalej »

NordVPN potwierdza hack części swojej infrastruktury

21 października 2019, 17:36 | W biegu | komentarzy 6
NordVPN potwierdza hack części swojej infrastruktury

Zaczęło się od pewnych informacji dotyczących kradzieży klucza prywatnego powiązanego z certyfikatem TLS należącym do NordVPN (klucz ten bez problemu można obecnie znaleźć znaleźć w Internecie): So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those…

Czytaj dalej »

Można było przejmować konta połączone z inteligentnym różańcem od Watykanu

19 października 2019, 20:07 | W biegu | 0 komentarzy
Można było przejmować konta połączone z inteligentnym różańcem od Watykanu

Podatność wykryto w aplikacji Click to Pray sterującej urządzeniem IoT od Watykanu: inteligentnym różańcem: Jak donosi CNET, problem występował w mechanizmie tworzenia konta – należało podać e-mail, na który był wysyłany kod PIN (odpowiednik hasła). Wszystko w porządku, tylko operację można było wykonać ponownie (znając e-mail ofiary), a PIN był…

Czytaj dalej »

Amerykański system sterowania bronią atomową właśnie pozbył się… dyskietek. Co z ZUS?

19 października 2019, 17:26 | W biegu | komentarzy 13
Amerykański system sterowania bronią atomową właśnie pozbył się… dyskietek. Co z ZUS?

Działa? Nie ruszać. Ilu z nas to słyszało? Podobną dewizą kierują się amerykańscy wojskowi, którzy do jeszcze bardzo niedawna używali dyskietek w systemie SACCS (Strategic Automated Command and Control System). Jest on m.in. odpowiedzialny za zmasowane odpalenie rakiet balistycznych z głowicami jądrowymi z terytorium USA – w odpowiedzi na stosowny…

Czytaj dalej »

admin/admin w wielkiej korporacji amerykańskiej, która właśnie zawarła ugodę (na około 2 miliardy złotych) dotyczącą mega włamania

19 października 2019, 16:41 | W biegu | komentarze 2
admin/admin w wielkiej korporacji amerykańskiej, która właśnie zawarła ugodę (na około 2 miliardy złotych) dotyczącą mega włamania

O amerykańskim Equifax pisaliśmy jakiś czas temu. Wtedy włamano się z wykorzystaniem podatności w Apache Struts (użyto wtedy dość ciekawego XML-a, który był automatycznie deserializowany, dając RCE) i wykradziono wrażliwe dane około 143 milionów klientów. Niedawno doszło do ugody, gdzie firma zobowiązała się rozsądne wynagrodzić straty dotkniętym klientom (może to…

Czytaj dalej »

Przyszedł mail z ponagleniem zapłaty 1,36zł. Na tym oszustwie firma z Łukowa straciła 340 000 zł

18 października 2019, 21:51 | W biegu | komentarze 2
Przyszedł mail z ponagleniem zapłaty 1,36zł. Na tym oszustwie firma z Łukowa straciła 340 000 zł

O temacie pisze Gazeta Wyborcza. Esencję macie tutaj: Przedsiębiorca z Łukowa w województwie lubelskim otrzymał mail z ponaglaniem do dokonania zaległej płatności, która miała dotyczyć jednego z serwisów aukcyjnych. Po tym jak mężczyzna dokonał zapłaty rzekomo zaległej sumy 1,36 zł, z jego kont zniknęło 340 tys. zł. Jak zostały wyciągnięte pieniądze?…

Czytaj dalej »

Zhackował hulajnogę Birda – tryb z darmowymi przejazdami i możliwość modowania firmware

18 października 2019, 21:12 | W biegu | 0 komentarzy
Zhackował hulajnogę Birda – tryb z darmowymi przejazdami i możliwość modowania firmware

Opis tutaj – a całość to hacking w czystej postaci :) Najpierw fizyczne podpięcie się do odpowiedniego portu hulajnogi i zdumpowanie firmware. W firmware można było znaleźć taki ciekawy ciąg znaków „Set mode to Free Drive Mode”. Hmmm wystarczy włączyć ten tryb i po zabawie? Niekoniecznie. Nikt przecież nie będzie dłubał…

Czytaj dalej »