Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]

08 września 2020, 10:40 | Aktualności | komentarzy 6
Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]

BancoEstado – największy bank w Chile – został zainfekowany malware (prawdopodobnie chodzi o REvil). Pisząc kolokwialnie atakujący uderzyli z grubej rury: według doniesień zainfekowanych została większość serwerów i komputerów pracowników. Sam bank potwierdza zainfekowanie komputerów w oddziałach. While initially, the bank hoped to recover from the attack unnoticed, the damage…

Czytaj dalej »

Thunderbird zaczął domyślnie wspierać obsługę szyfrowania end2end. Ochrona przed „inwigilacją rządową”

07 września 2020, 12:50 | Aktualności | komentarzy 7
Thunderbird zaczął domyślnie wspierać obsługę szyfrowania end2end. Ochrona przed „inwigilacją rządową”

Do tej pory aby szyfrować pocztę w standardzie OpenPGP, użytkownicy Thunderbirda musieli korzystać z dodatku Enigmail. Od wersji 78.2.1, Thunderbird jest dostarczany z domyślnie włączoną obsługą OpenPGP. Całość musimy oczywiście skonfigurować. Wygląda to dość prosto, choć momentami kuleją jeszcze polskie tłumaczenia. Po pierwsze w konfiguracji naszego konta generujemy nową parę…

Czytaj dalej »

Pokazał jak zdalnie przejąć całą flotę samochodów Tesli – otwieranie aut, startowanie silnika, lokalizowanie. Do tego root na każdym samochodzie. Nagroda: ~185 000 PLN

07 września 2020, 11:33 | Aktualności | komentarzy 10
Pokazał jak zdalnie przejąć całą flotę samochodów Tesli – otwieranie aut, startowanie silnika, lokalizowanie. Do tego root na każdym samochodzie. Nagroda: ~185 000 PLN

Opis całej serii podatności możecie znaleźć tutaj (sam raport jest z 2017 roku, ale dopiero niedawno został opublikowany). Za znaleziska wypłacono aż $50 000 w ramach programu robaczywych nagród (ang. bug bounty – pozdrowienia dla fanów ortodoksyjnych tłumaczeń :-) Zaczęło się od serwisu service.teslamotors.com, gdzie każdy może wykupić dostęp. Okazało się, że…

Czytaj dalej »

Recon od sekuraka – bądź krok przed konkurencją i hackerami. Zobacz ile można dowiedzieć się o Twojej infrastrukturze IT…

01 września 2020, 14:52 | Aktualności | komentarze 2
Recon od sekuraka – bądź krok przed konkurencją i hackerami. Zobacz ile można dowiedzieć się o Twojej infrastrukturze IT…

Jeśli chciałbyś otrzymać raport dotyczący widoczności Twojej infrastruktury z poziomu Internetu czytaj dalej :-) Tym razem oferujemy Wam usługę przydatną zarówno dla małych jak i dużych firm. Najprostsza wersja rekonesansu zakończona ręcznie przygotowanym raportem to koszt od 5000 PLN netto oraz efekt w przeciągu ~tygodnia.

Czytaj dalej »

Zdobył ~50 000 PLN za zgłoszenie niewinnej podatności SSRF w Grafanie

08 sierpnia 2020, 13:40 | Aktualności | komentarze 4
Zdobył ~50 000 PLN za zgłoszenie niewinnej podatności SSRF w Grafanie

Z podatnością Server-Side Request Forgery (SSRF) bywa różnie – czasem właściciele systemu, który ma tę lukę wzruszają ramionami – niby brak impactu. Czasem jednak można otrzymać całkiem sowitą nagrodę i tak też było w tym przypadku. Przypomnijmy – SSRF to zmuszenie serwera (aplikacji) do wykonania żądania HTTP (lub innym protokołem)…

Czytaj dalej »

Powrót z home office. Czego mogą spodziewać się działy IT?

04 sierpnia 2020, 11:30 | Aktualności | komentarzy 6
Powrót z home office. Czego mogą spodziewać się działy IT?

Wraz ze złagodzeniem restrykcji związanych z koronawirusem coraz więcej pracowników wraca do biur, a wraz z nimi wiele zaniedbanych laptopów i urządzeń mobilnych. Rodzi to pytania o bezpieczeństwo sieci firmowych. Zespoły IT muszą sobie poradzić z urządzeniami, które nieustannie przełączają się między chronionym środowiskiem korporacyjnym, a sieciami publicznymi. Jak przygotować…

Czytaj dalej »

Chcesz pracować z ekipą sekuraka/Securitum? Mamy coś dla osób technicznych i nietechnicznych

28 lipca 2020, 14:13 | Aktualności | komentarzy 8
Chcesz pracować z ekipą sekuraka/Securitum? Mamy coś dla osób technicznych i nietechnicznych

Cały czas rozbudowujemy naszą gałąź związana z pentestami i w związku z tym potrzebujemy zatrudnić dodatkowe osoby do działu wsparcia sprzedaży na stanowisko juniorskie. Czym będziesz się zajmować? Osoba na tym stanowisku bierze udział w procesie przygotowywania ofert pełnego spektrum testów penetracyjnych, socjotechniki czy analiz powłamaniowych. Praca z klientami polskimi…

Czytaj dalej »

Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

21 lipca 2020, 15:35 | Aktualności | komentarzy 15
Zobacz nasz ~100 stronicowy raport z audytu bezpieczeństwa aplikacji ProteGO Safe!

Chyba po raz pierwszy w historii (?) możecie zobaczyć upubliczniony raport z audytu bezpieczeństwa systemu rządowego. Raport z pentestów systemu ProteGo Safe (znanego jako „aplikacja do śledzenia kontaktów w kontekście COVID-19”), dostępny jest tutaj, i obejmuje kilka obszarów: bezpieczeństwo samych aplikacji mobilnych (iOS, Android), bezpieczeństwo API, bezpieczeństwo infrastruktury, bezpieczeństwo webowej…

Czytaj dalej »

Owasp Dependency Check – Szybki start

20 lipca 2020, 08:40 | Narzędzia, Teksty | komentarzy 6
Owasp Dependency Check – Szybki start

W zeszłym roku miałem przyjemność gościć jako prelegent na trójmiejskim wydarzeniu Tech 3camp, gdzie miałem okazję opowiedzieć trochę o OWASP Dependency Check. Dziś jednak postanowiłem podzielić się bardziej tutorialową wersją mojej prezentacji i korzystając z okazji przybliżyć użytkownikom to narzędzie oraz jego możliwości. Jeśli ktoś jest zainteresowany prezentacją, nagranie znajduje…

Czytaj dalej »

H1CTF – zwycięski raport Jakuba Żoczka z Sekuraka!

02 lipca 2020, 21:20 | ctf, Teksty | komentarzy 7
H1CTF – zwycięski raport Jakuba Żoczka z Sekuraka!

Wstęp: Jedna z najpopularniejszych platform Bug Bounty, Hackerone – w ramach promocji swojego wirtualnego eventu H12006 – uruchomiła konkurs w formule Capture The Flag. Nagrodą było zaproszenie na wspomniany ekskluzywny event oraz zaproszenia do prywatnych programów bug bounty. Co ciekawe, główną nagrodę otrzymywało się nie za najszybsze rozwiązanie zadania, a…

Czytaj dalej »