-20% z kodem swieta-2021 -> Książka sekuraka o bezpieczeństwie aplikacji webowych (idealna również dla początkujących).

Aktualności

Nigeryjczyk próbował skłonić pracowników dużych firm do instalacji ransomware. Proponowana „pensja” – milion USD.

23 sierpnia 2021, 12:15 | W biegu | komentarze 2
Nigeryjczyk próbował skłonić pracowników dużych firm do instalacji ransomware. Proponowana „pensja” – milion USD.

Obywatel Nigerii próbował nakłonić pracowników różnych firm do instalacji na serwerach ransomware’a, który zaszyfrowałby dane i ostatecznie „poprosił” o okup. Plan mężczyzny okazał się jednak na tyle niedopracowany, że napisał on do kilku przedsiębiorstw, których poczta była chroniona przez Abnormal Security. Poniższa wiadomość zwróciła uwagę pracowników: Demonware to ransomware napisany…

Czytaj dalej »

Firma Cloudflare odparła rekordowy atak DDoS (17,2 miliona zapytań na sekundę) na infrastrukturę swojego klienta

23 sierpnia 2021, 12:07 | W biegu | 0 komentarzy
Firma Cloudflare odparła rekordowy atak DDoS (17,2 miliona zapytań na sekundę) na infrastrukturę swojego klienta

Przedsiębiorstwo Cloudflare poinformowało na swoim blogu o rekordowym ataku DDoS na infrastrukturę jednego ze swoich klientów, działających w sektorze finansowym. W szczytowym momencie botnet wysyłał ponad 17 milionów rps (zapytań na sekundę): Cloudflare twierdzi, że atakujący zastosowali wariant botnetu Mirai, składającego się z co najmniej 20 000 urządzeń IoT. Sporo…

Czytaj dalej »

Japońska giełda kryptowalutowa Liquid zhakowana! Przestępcy ukradli ponad 90 milionów dolarów…

23 sierpnia 2021, 12:03 | W biegu | 0 komentarzy
Japońska giełda kryptowalutowa Liquid zhakowana! Przestępcy ukradli ponad 90 milionów dolarów…

Jakiś czas temu mogliśmy być świadkami jednej z największych kradzieży kryptowalut (600 milionów dolarów) w historii – oczywiście mowa tu o incydencie z Poly Network: Koniec końców, historia zakończyła się happy endem – atakujący zwrócił skradzione środki, firma zaś postanowiła wynagrodzić go kwotą w wysokości 500 tysięcy dolarów oraz zaoferowała…

Czytaj dalej »

Łamanie hashy haseł w systemach Windows. Team Hashcat stanął do boju i złamał wszystkie hasła.

20 sierpnia 2021, 08:53 | W biegu | komentarze 4
Łamanie hashy haseł w systemach Windows. Team Hashcat stanął do boju i złamał wszystkie hasła.

W ramach zawodów Crack Me If You Can, odbywających się podczas konferencji DEF CON 6-8 sierpnia, należało przeprowadzić łamanie haseł z różnych systemów. Zespół, pod nazwą Team Hashcat, odpowiedzialny za narzędzie hashcat (którego zastosowanie zostało omówione na SekurakTV), podzielił się swoim write-upem. W tym roku organizator (firma KoreLogic) zamiast listy…

Czytaj dalej »

FortiWeb (WAF od Fortinet) z krytyczną luką OS Command Injection – można wykonywać dowolne polecenia systemowe jako root

19 sierpnia 2021, 21:48 | W biegu | komentarze 3

Na wstępie mamy dla Was dobrą wiadomość – luka wymaga od atakującego uprzedniego uwierzytelnienia: Luka w interfejsie zarządzania FortiWeb (wersja 6.3.11 i wcześniejsze) umożliwia atakującemu wykonanie dowolnych poleceń systemowych jako root. Za całe zamieszanie odpowiedzialny jest następujący fragment kodu: int move_metafile(char *path,char *name){int iVar1;char buf [512];int nret;snprintf(buf,0x200,”%s/%s”,”/data/etc/saml/shibboleth/service_providers”,name);iVar1 = access(buf,0);if (iVar1…

Czytaj dalej »

Wyciekły dane z sekretnej listy FBI, zawierającej ponad milion rekordów z informacjami o potencjalnych terrorystach

19 sierpnia 2021, 12:33 | W biegu | komentarze 3
Wyciekły dane z sekretnej listy FBI, zawierającej ponad milion rekordów z informacjami o potencjalnych terrorystach

O całym zajściu mogliśmy dowiedzieć się za sprawą tweeta badacza bezpieczeństwa Boba Diachenki: Po atakach terrorystycznych z 11 września 2001 r. w Stanach Zjednoczonych utworzono TSC (Terrorist Screening Center), czyli wieloagencyjne centrum zarządzane przez FBI, którego głównym zadaniem jest uzupełnianie listy osób podejrzewanych o terroryzm i zarządzanie nią. Powyższe dane…

Czytaj dalej »

Energetyczne, angażujące i aktualne szkolenie cyberawareness od sekuraka

19 sierpnia 2021, 11:37 | Aktualności | 0 komentarzy
Energetyczne, angażujące i aktualne szkolenie cyberawareness od sekuraka

Obawiacie się, że Wasi pracownicy mogą paść ofiarą socjotechniki/phishingu? Może przeleją firmowe pieniądze na konto przestępców? Nieświadomie wpuszczą ransomware do Waszej sieci? Albo udostępnią poufne informacje firmowe nieznajomym? Co z bezpieczeństwem smartfonów? Jeśli intrygują Was tego typu pytania, zobaczcie na nasze szkolenie cyberawareness przeznaczone dla osób nietechnicznych: bezpieczny.sekurak.pl Szkolenie sami…

Czytaj dalej »

T-Mobile zhakowane – dane ponad 30 milionów klientów z USA są licytowane na forum cyberprzestępczym

18 sierpnia 2021, 11:46 | W biegu | komentarze 2
T-Mobile zhakowane – dane ponad 30 milionów klientów z USA są licytowane na forum cyberprzestępczym

O całym zajściu mogliśmy dowiedzieć się za sprawą oficjalnego oświadczenia, jakie firma T-Mobile zamieściła na swojej stronie internetowej: Z treści wypowiedzi wynika, że choć nieuprawniony dostęp do serwerów T-Mobile rzeczywiście miał miejsce, to firma nie ustaliła jeszcze, czy dane jej klientów zostały wykradzione.  Niestety, jak informuje portal Vice, nielegalnie pozyskane…

Czytaj dalej »

Policja aresztowała trzech Gruzinów podszywających się pod dostawców energii elektrycznej. Przestępcy ukradli ponad 450 tys. zł

18 sierpnia 2021, 11:41 | W biegu | komentarzy 9
Policja aresztowała trzech Gruzinów podszywających się pod dostawców energii elektrycznej. Przestępcy ukradli ponad 450 tys. zł

Jeśli śledzicie na bieżąco kampanie cyberprzestępcze wycelowane w Polskę, to na pewno zetknęliście się z SMS-ami od „PGE” czy „Taurona”: Policjantom z Biura do Walki z Cyberprzestępczością Komendy Głównej Policji udało się jednak zatrzymać trzech obywateli Gruzji, którzy, podszywając się pod dużych dostawców energii elektrycznej, wyłudzali dane umożliwiające logowanie do…

Czytaj dalej »

„Roboty z laserami, kamerami oraz brakiem zabezpieczeń” czyli hackowanie inteligentnych odkurzaczy

16 sierpnia 2021, 15:08 | W biegu | komentarzy 16
„Roboty z laserami, kamerami oraz brakiem zabezpieczeń” czyli hackowanie inteligentnych odkurzaczy

Podczas tegorocznej konferencji DEF CON Dennis Giese zaprezentował reverse engineering tzw. inteligentnych odkurzaczy produkowanych przez firmy Xiaomi i Roborock. Zapis prezentacji Robots with lasers and cameras (but no security): Liberating your vacuum został opublikowany na YouTubie. Badacz obecnie jest studentem Northeastern University; interesuje się inżynierią wsteczną. W prezentacji wyjaśniono, że…

Czytaj dalej »

Facebook wprowadza szyfrowanie e2e rozmów głosowych i czatów wideo w Messengerze

16 sierpnia 2021, 13:40 | W biegu | komentarze 4
Facebook wprowadza szyfrowanie e2e rozmów głosowych i czatów wideo w Messengerze

Kilka dni temu dyrektor ds. zarządzania produktem (Messenger) Ruth Kricheli ogłosił dość ciekawe dla miłośników prywatności zmiany w komunikatorze Messenger: Pierwszą nowością jest szyfrowanie e2e (end-to-end) rozmów głosowych i wideo w Messengerze. W praktyce oznacza to, że nikt, w tym Facebook, nie powinien być w stanie podsłuchiwać treści naszych rozmów….

Czytaj dalej »

Dziesiątki milionów urządzeń Amazon Kindle z krytyczną podatnością; poprawka gotowa i instalowana automatycznie

13 sierpnia 2021, 19:32 | W biegu | komentarze 3
Dziesiątki milionów urządzeń Amazon Kindle z krytyczną podatnością; poprawka gotowa i instalowana automatycznie

Researcherzy firmy Checkpoint wzięli jakiś czas temu pod lupę urządzenia Kindle firmy Amazon. Efekty ich pracy są bardzo ciekawe. Na podstawie ujawnionych podatności możliwe było przejęcie pełnej kontroli nad każdym tego typu urządzeniem. Po pobraniu na czytnik specjalnie spreparowanego e-booka (ileż to darmowych „okazji” krąży w sieci – tylko pobierać!)…

Czytaj dalej »

Apple wprowadza masową inwigilację swoich użytkowników pod pozorem ochrony dzieci

13 sierpnia 2021, 11:36 | W biegu | komentarzy 20
Apple wprowadza masową inwigilację swoich użytkowników pod pozorem ochrony dzieci

Jeśli jesteście posiadaczami urządzeń z systemami iOS czy macOS, to prawdopodobnie jedną z wartości, którą sobie cenicie, stanowi prywatność. Szczyci się nią sama firma Apple: Niestety, ostatnia zapowiedź Apple’a nie rokuje zbyt dobrze w kontekście dbałości o prywatność użytkowników iOS’ów i macOS’ów: Pamiętacie próby przeforsowania ustaw o dodaniu furtek w…

Czytaj dalej »

Wprowadzenie do bezpieczeństwa IT – zobacz spis treści nowej książki sekuraka! :)

13 sierpnia 2021, 10:51 | Aktualności | komentarzy 30
Wprowadzenie do bezpieczeństwa IT – zobacz spis treści nowej książki sekuraka! :)

Po sukcesie pierwszej książki: Bezpieczeństwo aplikacji webowych (sprzedanych przeszło 16 000 sztuk), czas na drugą: Wprowadzenie do bezpieczeństwa IT. W założeniu książka kierowana jest do… wszystkich osób z IT :) i ma stanowić gładkie wprowadzenie do niemal każdego tematu, który można rozważać w ramach IT security. Przy czym nie ma…

Czytaj dalej »

Jak można było sobie dowolnie zwiększyć saldo portfela na platformie Steam? Krytyczna luka w Smart2Pay

12 sierpnia 2021, 18:15 | W biegu | komentarze 2
Jak można było sobie dowolnie zwiększyć saldo portfela na platformie Steam? Krytyczna luka w Smart2Pay

Steam to jedna z największych i najpopularniejszych platform do dystrybucji cyfrowej gier komputerowych, stworzona przez Valve Corporation w 2003 roku. Jeśli jesteś graczem, to prawdopodobnie korzystasz z tego serwisu na co dzień… Oczywiście za gry w większości przypadków przyjdzie nam zapłacić, i to niemało, bo często nawet ~ 200 PLN:…

Czytaj dalej »