Aktualności

Kto śledzi treści publikowane na sekuraku, ten wie, że Internet of Things (IoT) jest tak skromnie zabezpieczony, iż większość tych urządzeń, może posłużyć jako węzły w botnetach wykonujących ataki DDoS. Niestety, to nie pełny zasób możliwości, jaki niosą ze sobą te urządzenia…

Zapraszamy na kolejne spotkanie dla administratorów sieciowych i systemowych – SysOps / DevOps Polska MeetUp, które odbędzie się w czwartek, 20 października o godz. 18:00 w sali konferencyjnej na 7. piętrze w budynku AVIVA (Gdański Business Center, budynek C, ul. Inflancka 4b), w Warszawie. Podczas najbliższego eventu będziemy mieli okazję…

SHP nawiedziło ~200 osób, rozdaliśmy ok 10 różnych TP-Linków, 20 koszulek i masę gadgetów sekuraka. Część osób była zdziwiona, że gadgety można brać za darmo, a hacking party jest bezpłatne :]

Google wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na…

Bsides@Warszawa już lada moment. Termin wprawdzie nieco kolidujący z naszym hacking party, ale na obu imprezach naprawdę tłoczno! Informacja od organizatorów: Security BSides Warsaw to najdziwniejsza konferencja z dziedziny IT Security, która do Polski zawitała po raz 5. Przygotowana przez znajomych z irca przy wsparciu ludzi dobrej woli, pod patronatem Fundacji Bezpieczna Cyberprzestrzeń….

Atak na Krebsa, wyciek źródeł botnetu Mirai i następnie jego analiza, pojawienie się konkurentów aż wreszcie po ataki odpalane ze świata IoT, a obserwowane przez firmy oferujące ochronę anty DDoS. Pewną nowością w „ataku maszyn” jest intensywne wykorzystanie warstwy aplikacyjnej – kto z Was wytrzyma ruch HTTP o prędkości prawie…

Draft dokumentu o modelowaniu zagrożeń dla szeroko rozumianej infrastruktury mobilnej (zarówno urządzenia końcowe jak i infrastruktura):   Można zgłaszać jeszcze swoje pomysły, uwagi na rozbudowę dokumentu. –ms

Na rozwal.to mamy dla Was konkurs z możliwością wygrania 1 wejścia na konferencję Secure 2016. Pierwsza osoba która rozwiąże wszystkie zadania (Kategoria Secure 2016), napisze nam maila sekurak@sekurak.pl razem z opisem rozwiązania ćwiczeń – otrzyma jedną wejściówkę na Secure 2016. Zadania przygotowali koledzy z Securitum.pl –ms

Jest duża szansa na organizację naszego hacking party w Poznaniu – 16 lub 20 lub 21 grudnia tego roku. W tym roku co dopiero impreza odbyła się w Sopocie, a w tym tygodniu jest Kraków (~320 osób, miejsca rozeszły się w kilka dni… ). Jak zwykle czytamy Wasze komentarze i…

O programowaniu najwięcej (jest też coś dla webdevów), kilka o bezpieczeństwie a na deser – IoT. –ms

Na dzisiejszym  spotkaniu – mimo deszczu i chłodu – dopisała frekwencja. Było nas około setki! Zadawaliście masę pytań i rozdałem w sumie 10 sekurakowych koszulek + jednego TP-Linka. Kolejna edycja w Krakowie – już w przyszłym tygodniu. Tu już zamknęliśmy zapisy (420 osób po kilku dniach) i szykuje się impreza…

Jak w poprzednich latach, również i teraz sekurakowa prezentacja ponownie zagości na konferencji Secure (modny ostatnio temat rozwałkowywania IoT). Wydarzenie zbliża się do nas wielkimi krokami, bo będzie ono już 25-26 października w Warszawie. W kuluarach będzie można dostać od nas t-shirty sekuraka i inne pakiety niebezpiecznych gadgetów. Pełną agendę, rozpisaną…

Chińczycy niecałe 2 miesiące temu opisali podatność w googlowym silniku JavaScript używanym choćby w komponencie WebView czy mobilnej wersji Chrome. Błąd umożliwia przejęcie kontroli nad telefonem.

Reuters donosi o specjalnym oprogramowaniu w Yahoo służącym do skanowania przychodzących e-maili. Całość na życzenie NSA lub FBI. Tego typu rzeczy oczywiście się dzieją, ale zastanawiający jest fakt, że wg Reutersa analizowana była (jest?) przychodząca poczta wszystkich użytkowników (a nie np. wybranej grupy). Proceder miał wg źródeł miejsce w wyniku…

Specjaliści z Cisco opublikowali informację o podatności w przeszło 10-letniej bibliotece OpenJPEG. Wystarczy otworzyć odpowiednio przygotowany obrazek: This particular vulnerability could allow an out-of-bound heap write to occur, resulting in heap corruption and lead to arbitrary code execution (…) Exploitation of this vulnerability is possible if a user were to open…