Aktualności

Ciekawy opis przełamania kilku zabezpieczeń w domenie slack.com (w tym możliwość resetu haseł innym użytkownikom). Najpierw prosta sprawa – udało się znaleźć dostęp do zabezpieczonego URL-a /server-status: wystarczyło użyć dodatkowych czterech slashy: http://…slack.com/////server-status Ciekawe, ale niewiele dało. Dalej autor odkrycia namierzył pewne URL-e w panelu administracyjnym (dostępnego dla pracowników Slacka) i…

Na sekuraku staramy się utrzymywać wysoki poziom merytoryczny i w podobny sposób staramy się prowadzić nasze warsztaty z bezpieczeństwa.

Arstechnica donosi o aresztowaniu podejrzanego o udany atak na LinkedIN Rosjanina (wyciekło wtedy prawie 120 milionów rekordów). Aresztowanie odbyło się w Czechach. Jest też dostępny film z całej akcji – choć czytelnicy spodziewający się desantu z helikopterów, dziewczyn w bikini i policjantów ninja ;) raczej się zawiodą: O tym czy…

Cisco ogłosiło właśnie załatanie podatności klasy Buffer Overflow we flagowym produkcie ASA: Całość polega na wysłaniu odpowiednio spreparowanego pakietu NetBIOS: An attacker could exploit this vulnerability by sending a crafted NetBIOS packet in response to a NetBIOS probe sent by the ASA software. An exploit could allow the attacker to…

Dobra informacja, mamy wstępnie dograną salę i partnera we Wrocławiu. Sekurak Hacking Party planujemy na 13 stycznia 2017 (~18:00 – 20:30). Jeśli wstępnie chciałbyś się wybrać, wypełnij formularz: [wysija_form id=”7″] Uwaga – zapisy są wstępne (potrzebne do oszacowania wymagań pojemności sali). Finalne potwierdzenie zapisu zrobimy niedługo przed imprezą. Jak zwykle…

Pewnie spora liczba naszych czytelników jeszcze raczkowała, kiedy Mitnick był aresztowany za włamanie do Pentagonu: 1983.00.00 Mitnick arrested for gaining illegal access to the ARPAnet & Pentagon Sporo z Was zapewne pamięta też Czarnobyl…: 1986.00.00 Chaos Computer Club cracks German government computer that had info about Chernobyl A może trochę…

Na sekuraku mamy ponad 100 stron praktycznych poradników dotyczących analizy malware. Czytania na cały miesiąc :) Szybka analiza malware Analiza malware w praktyce – procedury i narzędzia Analiza malware w fałszywych fakturach od PGE Malware ukrywający się w Joomli – analiza przypadku Deobfuskacja JavaScript część pierwsza Deobfuskacja JavaScript – część druga….

TL;DR: prawie 6 tysięcy sklepów skimmowanych przez wiele miesięcy. Załatanych obecnie mniej niż 1000. Są domeny z Polski.

Artykuły wiodące październikowego wydania „Linux Magazine” poświęcone są Raspberry Pi i opisują porównanie z alternatywnymi szybkimi i mocnymi płytkami Banana Pi M3 i LeMaker HiKey, samodzielną budowę optymalnego klastra HPC oraz czujnik temperatury i wilgotności z Arduino, Raspberry Pi i programem w Pythonie. Na dołączonym DVD znajduje się elastyczny i…

Audyt VeraCrypta wykonano, 8 błędów o krytyczności High znaleziono, nową wersję 1.19 wydano. Raport udostępniono. Świat uratowano, a tak naprawdę wykazano, że VeraCrypt posiada kilka błędów „odziedziczonych” z Truecrypta (+ kilka swoich własnych), choć żadna podatność nie wydaje się być łatwo wykorzystywalna. Z drugiej strony na audyt poświęcono raptem… 32…

Jeśli podoba się Wam idea całości (zobaczcie relacje z Wrocławia, Poznania, Krakowa, Sopotu, i ponownie Krakowa), może namówicie swoją firmę do wsparcia całego pomysłu? (kontakt: sekurak@sekurak.pl)   Poniżej dwa możliwe pakiety wsparcia (z opisanymi benefitami dla wspierającego): Wsparcie standardowe: Dla wspierającego zapewniamy umieszczenie informacji (linkowana nazwa firmy) w następujących miejscach: Na stronie…

Kto śledzi treści publikowane na sekuraku, ten wie, że Internet of Things (IoT) jest tak skromnie zabezpieczony, iż większość tych urządzeń, może posłużyć jako węzły w botnetach wykonujących ataki DDoS. Niestety, to nie pełny zasób możliwości, jaki niosą ze sobą te urządzenia…

Zapraszamy na kolejne spotkanie dla administratorów sieciowych i systemowych – SysOps / DevOps Polska MeetUp, które odbędzie się w czwartek, 20 października o godz. 18:00 w sali konferencyjnej na 7. piętrze w budynku AVIVA (Gdański Business Center, budynek C, ul. Inflancka 4b), w Warszawie. Podczas najbliższego eventu będziemy mieli okazję…

SHP nawiedziło ~200 osób, rozdaliśmy ok 10 różnych TP-Linków, 20 koszulek i masę gadgetów sekuraka. Część osób była zdziwiona, że gadgety można brać za darmo, a hacking party jest bezpłatne :]

Google wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na…