Dzisiaj chciałbym skupić się na wpisach Twitterowych pod kątem zawartych w nich metadanych. Nie mam tutaj na myśli wyciągania geolokalizacji na podstawie danych EXIF ze zdjęć, bo te są automatycznie usuwane przed ich opublikowaniem, ale o obserwowaniu lokalizacji dodawanej do tweetów oraz czasu, kiedy te są dodawane. Domyślnie w naszym…
Czytaj dalej »
Jakiś czas temu natrafiłem na bardzo ciekawą technikę przeglądania LinkedIn bez logowania się do tego portalu. Taki sposób przeglądania profili pracowników firm może być przydatny, jeśli np. chcemy na szybko sprawdzić dane jakiegoś przedstawiciela firmy, a nie chcemy logować się na swoje konto z danego miejsca lub pragniemy pozostać w…
Czytaj dalej »
To zapowiedź naszego 90-120 minutowego live demo, w którym pokażemy jak rozpoznać a następnie przejąć konkretną infrastrukturę. Będzie sporo ataków sieciowych oraz aplikacyjnych, będzie o systemach mobilnych, będzie o przenikaniu do wnętrza sieci. Będzie w końcu kilka unikalnych technik, które zobaczycie na żywo w trakcie realnego ataku na pewną organizację….
Czytaj dalej »
Jeśli Orange Tsai coś napisze, to jest to od razu uderzenie z Grubej Berty ;-) Tym razem mamy opis podatności klasy unauthenticated RCE w systemie MDM MobileIron. Dla przypomnienia systemy klasy Mobile Device Management to klucz do królestwa urządzeń mobilnych w całej firmie. Z jednej strony to właśnie w tym miejscu…
Czytaj dalej »
Jeśli chciałbyś dowiedzieć się więcej o łatwym pozyskiwaniu informacji o infrastrukturze IT swojej firmy, chciałbyś wiedzieć jak chronić się przed wrogim rekonesansem czy poznać sporo popularnych ale również niszowych sztuczek związanych z technicznym OSINT-em, kurs jest dla Ciebie. Na obecną chwilę planujemy tylko jedną jego edycję, która odbędzie się w…
Czytaj dalej »
Nie ma co ukrywać, że epidemia związana z covidem miała negatywny wpływ na branżę szkoleniową. W marcu odwołaliśmy wszystkie zaplanowane na najbliższe 2-3 miesiące szkolenia prowadzone dotąd wyłącznie stacjonarnie, z dnia na dzień budżety szkoleniowe naszych Klientów zostały „zamrożone”, albo nierzadko „skonsumowane” przez inne, pilniejsze potrzeby organizacji. Choć generalnie wizja…
Czytaj dalej »
![Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]](https://sekurak.pl/wp-content/uploads/2019/07/hack-150x150.png "Makabra w banku. 12 000 komputerów zainfekowanych ransomware, oddziały zamknięte [Chile]")
BancoEstado – największy bank w Chile – został zainfekowany malware (prawdopodobnie chodzi o REvil). Pisząc kolokwialnie atakujący uderzyli z grubej rury: według doniesień zainfekowanych została większość serwerów i komputerów pracowników. Sam bank potwierdza zainfekowanie komputerów w oddziałach. While initially, the bank hoped to recover from the attack unnoticed, the damage…
Czytaj dalej »
Do tej pory aby szyfrować pocztę w standardzie OpenPGP, użytkownicy Thunderbirda musieli korzystać z dodatku Enigmail. Od wersji 78.2.1, Thunderbird jest dostarczany z domyślnie włączoną obsługą OpenPGP. Całość musimy oczywiście skonfigurować. Wygląda to dość prosto, choć momentami kuleją jeszcze polskie tłumaczenia. Po pierwsze w konfiguracji naszego konta generujemy nową parę…
Czytaj dalej »
Opis całej serii podatności możecie znaleźć tutaj (sam raport jest z 2017 roku, ale dopiero niedawno został opublikowany). Za znaleziska wypłacono aż $50 000 w ramach programu robaczywych nagród (ang. bug bounty – pozdrowienia dla fanów ortodoksyjnych tłumaczeń :-) Zaczęło się od serwisu service.teslamotors.com, gdzie każdy może wykupić dostęp. Okazało się, że…
Czytaj dalej »
Jeśli chciałbyś otrzymać raport dotyczący widoczności Twojej infrastruktury z poziomu Internetu czytaj dalej :-) Tym razem oferujemy Wam usługę przydatną zarówno dla małych jak i dużych firm. Najprostsza wersja rekonesansu zakończona ręcznie przygotowanym raportem to koszt od 5000 PLN netto oraz efekt w przeciągu ~tygodnia.
Czytaj dalej »
![W pełni modułowe, angażujące szkolenie z bezpieczeństwa IT dla pracowników biurowych od Sekuraka. [Cyber Awareness].](https://sekurak.pl/wp-content/uploads/2020/08/hacking222-1-150x150.jpeg "W pełni modułowe, angażujące szkolenie z bezpieczeństwa IT dla pracowników biurowych od Sekuraka. [Cyber Awareness].")
Proponujemy Wam aż 15 różnych tematów z obszaru bezpieczeństwa IT, omówionych w angażujący sposób (praktyczne pokazy), z aktualnymi przykładami – a całość bazująca na naszym wieloletnim doświadczeniu. Sami możecie wybrać interesujące Was moduły? Cena – od 19pln netto per osoba.
Czytaj dalej »
Michał Bentkowski: Jak mogłem w prosty sposób dowiedzieć się, w której grupie ryzyka zarażania się koronawirusem jesteś?
Grzegorz Tworek: Microsoft SQL Server jako wektor ataku na systemy Windows.
Czytaj dalej »
Z podatnością Server-Side Request Forgery (SSRF) bywa różnie – czasem właściciele systemu, który ma tę lukę wzruszają ramionami – niby brak impactu. Czasem jednak można otrzymać całkiem sowitą nagrodę i tak też było w tym przypadku. Przypomnijmy – SSRF to zmuszenie serwera (aplikacji) do wykonania żądania HTTP (lub innym protokołem)…
Czytaj dalej »
Wraz ze złagodzeniem restrykcji związanych z koronawirusem coraz więcej pracowników wraca do biur, a wraz z nimi wiele zaniedbanych laptopów i urządzeń mobilnych. Rodzi to pytania o bezpieczeństwo sieci firmowych. Zespoły IT muszą sobie poradzić z urządzeniami, które nieustannie przełączają się między chronionym środowiskiem korporacyjnym, a sieciami publicznymi. Jak przygotować…
Czytaj dalej »
Cały czas rozbudowujemy naszą gałąź związana z pentestami i w związku z tym potrzebujemy zatrudnić dodatkowe osoby do działu wsparcia sprzedaży na stanowisko juniorskie. Czym będziesz się zajmować? Osoba na tym stanowisku bierze udział w procesie przygotowywania ofert pełnego spektrum testów penetracyjnych, socjotechniki czy analiz powłamaniowych. Praca z klientami polskimi…
Czytaj dalej »
