RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

Aktualności

System do płatności używał podatnej biblioteki log4j. Dostali się więc na serwer dużej giełdy kryptowalut [Wietnam]

29 grudnia 2021, 22:19 | W biegu | 0 komentarzy
System do płatności używał podatnej biblioteki log4j. Dostali się więc na serwer dużej giełdy kryptowalut [Wietnam]

Jeśli ktoś potrzebuje przykładu większego włamania z wykorzystaniem luki w Log4j – bardzo proszę. Celem była wietnamska giełda kryptowalut Onus (około 1.5-2 milionów użytkowników), która używała podatnego rozwiązania firmy Cyclos: Wprawdzie Cyclos szybko wypuścił łatkę na swoje rozwiązanie, jednak przed jej aplikacją przez giełdę, atakujący zdążyli uzyskać dostęp na stosowny…

Czytaj dalej »

Podrobiona strona bankowości PKO BP – czy dostrzeżesz drobną zmianę w adresie?

29 grudnia 2021, 15:07 | W biegu | 1 komentarz
Podrobiona strona bankowości PKO BP – czy dostrzeżesz drobną zmianę w adresie?

O temacie ostrzega CSIRT KNF. Jak widzicie poniżej, jeśli ktoś w ferworze świąt potrzebowałby szybko zalogować się do bankowości, być może nie zauważy niepozornej zmiany widocznej w pasku adresu przeglądarki: Jak też widzicie powyżej, w przeglądarce jest kłódka, co oznacza bezpieczne połączenie https. No ale co najwyżej w bezpieczny sposób…

Czytaj dalej »

Log4j: wykryto kolejny RCE w 2.17.0. Ale nie ma powodów do paniki (CVE-2021-44832)

28 grudnia 2021, 23:05 | W biegu | 0 komentarzy
Log4j: wykryto kolejny RCE w 2.17.0. Ale nie ma powodów do paniki (CVE-2021-44832)

Opis podatności jest dość enigmatyczny: Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration. Z jednej strony jest to RCE (remote code execution), czyli możliwość wykonania kodu po stronie serwera, z drugiej strony powaga podatności (skala CVSS) została oszacowana na 6.6/10. Dlaczego nie 10/10 jak w przypadku…

Czytaj dalej »

Potwierdzenie trafienia Pegasusem kolejnej znanej osoby w Polsce. Telefon senatora Krzysztofa Brejzy infekowano aż 33 razy.

23 grudnia 2021, 18:29 | W biegu | komentarzy 21
Potwierdzenie trafienia Pegasusem kolejnej znanej osoby w Polsce. Telefon senatora Krzysztofa Brejzy infekowano aż 33 razy.

Po doniesieniach dotyczących infekcji Pegasusem Ewy Wrzosek oraz Romana Giertycha, Associated Press informuje o wielokrotnym uderzeniu w telefon Krzysztofa Brejzy: Polish Sen. Krzysztof Brejza’s mobile phone was hacked with military-grade spyware nearly three dozen times in 2019 when he was running the opposition’s campaign against the right-wing populist government (…)…

Czytaj dalej »

Chiński regulator telekomunikacyjny zawiesza współpracę z Alibaba Cloud. Odkrywając krytyczną podatność w Log4j, mieli ją zgłosić do chińskiego rządu, a nie uderzać od razu do twórców biblioteki…

22 grudnia 2021, 21:16 | W biegu | komentarze 4
Chiński regulator telekomunikacyjny zawiesza współpracę z Alibaba Cloud. Odkrywając krytyczną podatność w Log4j, mieli ją zgłosić do chińskiego rządu, a nie uderzać od razu do twórców biblioteki…

Wg różnych doniesień, pierwszym który zgłosił podatność log4shell do twórców biblioteki, był Chen Zhaojun pracujący w Alibaba Cloud. Twórcy przygotowywali łatkę… i wszystko szło by dobrze, gdyby nie fakt, że podatność nie została jednocześnie zgłoszona do chińskiego rządu: Alibaba Cloud did not immediately report vulnerabilities in the popular, open-source logging…

Czytaj dalej »

„Jesteś zwolniony! Masz czas do Wigilii, a szczegóły są w załączniku” [malware, EN]

22 grudnia 2021, 20:14 | W biegu | 0 komentarzy
„Jesteś zwolniony! Masz czas do Wigilii, a szczegóły są w załączniku” [malware, EN]

Twórcy malware raczej nie życzą swoim ofiarom wesołych Świąt. Albo raczej życzą trochę w makabrycznej formule. Tutaj krótki opis jednej z kampanii zaczynającej się od dość nieprzyjemnej socjotechniki. Jak widzicie poniżej, e-mail o zwolnieniu zawiera załącznik, który jest zabezpieczony prostym hasłem (próba ukrycia złośliwej zawartości przed systemami antywirusowymi): Załącznik zawiera…

Czytaj dalej »

Angażujące, aktualne i pełne pokazów praktycznych szkolenie cyberawareness od Sekuraka. Nie przegap -50% rabatu!

22 grudnia 2021, 13:47 | Aktualności | 0 komentarzy
Angażujące, aktualne i pełne pokazów praktycznych szkolenie cyberawareness od Sekuraka. Nie przegap -50% rabatu!

Masz dość słuchania nudnych pogadanek o cyber-bezpieczeństwie, z których niewiele wynika? Chciałbyś spędzić z nami 4 godziny, które upłyną szybko jak 5 minut? Chciałbyś nauczyć chronić się przed najczęstszymi cyberatakami? A może od razu po szkoleniu chciałbyś wdrożyć mechanizmy uodparniające Cię na ewentualne przyszłe ataki? Czytaj dalej :-) Po dwóch…

Czytaj dalej »

Wprowadzenie do OWASP Top Ten 2021. ~4-godzinne szkolenie sekuraka, całkowicie bezpłatnie (nagranie).

21 grudnia 2021, 10:58 | W biegu | 1 komentarz
Wprowadzenie do OWASP Top Ten 2021. ~4-godzinne szkolenie sekuraka, całkowicie bezpłatnie (nagranie).

Dawno nie publikowaliśmy niczego na sekurak.tv, więc czas nadrobić zaległości ;-) Tutaj możecie oglądać blisko ~4h nagranie szkolenia omawiającego najnowszy OWASP Top Ten: W cztery godziny cieżko omówić w sposób kompleksowy cały dokument, więc traktujcie to jako wstęp do tematu :-) Jeśli ktoś jest żądny większej ilości wiedzy, w tym…

Czytaj dalej »

Telefony Ewy Wrzosek oraz Romana Giertycha były atakowane Pegasusem!

20 grudnia 2021, 21:47 | W biegu | komentarzy 13
Telefony Ewy Wrzosek oraz Romana Giertycha były atakowane Pegasusem!

O temacie donosi Associated Press, a potwierdza Citizen Lab: (…) napastnikiem był wojskowej klasy spyware od NSO Group – izraelskiej firmy, którą ostatnio wykluczył rząd amerykański (…) the invader was military-grade spyware from NSO Group, the Israeli hack-for-hire outfit that the U.S. government recently blacklisted, say digital sleuths of the University…

Czytaj dalej »

Próby kradzieży aut z wykorzystaniem AirTag przyspieszają. Właściciel Dodge-a, zlokalizował „nieznane urządzenie trackujące” w swoim samochodzie [USA]

20 grudnia 2021, 17:29 | W biegu | komentarze 4
Próby kradzieży aut z wykorzystaniem AirTag przyspieszają. Właściciel Dodge-a, zlokalizował „nieznane urządzenie trackujące” w swoim samochodzie [USA]

O nowym „trendzie” pisaliśmy niedawno: Używają applowych AirTags do znakowania wypasionych aut, które następnie są kradzione. Kanadyjska policja ostrzega. Tymczasem media donoszą o kolejnym przypadku, kiedy właściciel auta zlokalizował AirTaga, którego ktoś przyczepił do jego auta. Schemat jest dość prosty – złodzieje typują dobre samochody, zaparkowane np. przy centrum handlowym,…

Czytaj dalej »

Chcesz z nami legalnie pohackować Protonmaila/banki/e-commerce (i inne ciekawe systemy)? Zapraszamy! [praca dla pentestera w Sekurak/Securitum]

20 grudnia 2021, 16:37 | Aktualności | komentarzy 6
Chcesz z nami legalnie pohackować Protonmaila/banki/e-commerce (i inne ciekawe systemy)? Zapraszamy! [praca dla pentestera w Sekurak/Securitum]

Rok 2021 jest przełomowy dla nas, przyjęliśmy ponad 10 osób, zrobiliśmy ponad 550 komercyjnych testów penetracyjnych. Między innymi wykonaliśmy testy bezpieczeństwa Protonmaila (tutaj zobacz raport, który za zgodą zamawiających te pentesty – został upubliczniony). Jeśli chciałbyś uczestniczyć w tego typu ofensywnych projektach? czytaj dalej :-) TLDR: w pierwszym kwartale 2022…

Czytaj dalej »

Log4j 2.17.0 – załatany został kolejny istotny błąd (DoS)

18 grudnia 2021, 11:02 | W biegu | komentarze 3
Log4j 2.17.0 – załatany został kolejny istotny błąd (DoS)

Zapewne sporo osób interesujących się podatnością log4shell zatrzymało się na bibliotece Log4j w wersji 2.15.0 W międzyczasie zdążyła się pojawić wersja 2.16.0 ponownie łatająca remote code execution w niestandardowych konfiguracjach (CVE-2021-45046). Ale to nie koniec karuzeli. Właśnie pojawiła się wersja 2.17.0 biblioteki łatająca błąd klasy DoS (również w „niedomyślnych konfiguracjach”): Apache…

Czytaj dalej »

Kto czyta sekuraka…?

14 grudnia 2021, 15:34 | W biegu | komentarze 3
Kto czyta sekuraka…?

Ostatnio zaprosiliśmy Was do wpisania się na listę obecności na sekuraku (cały czas możecie to zrobić; jeszcze jest szansa wygrać trochę naszych gadgetów! W szczególności sekurakowe skarpetki, które rozdajemy dość rzadko). Jak wyglądają częściowe odpowiedzi? (1200 zebranych ankiet). Czytajcie: 1. Najwięcej osób czyta nas z firm z branży IT (nie…

Czytaj dalej »

Fałszowanie certyfikatów COVID w Wietnamie. Czyli kryptografia używana na kolanie ;)

14 grudnia 2021, 14:30 | W biegu | komentarzy 6
Fałszowanie certyfikatów COVID w Wietnamie. Czyli kryptografia używana na kolanie ;)

Ciekawym opisem podzielił się zespół badaczy, który zaprezentował słabości klucza służącego do generowania certyfikatów COVID w postaci kodów QR w Wietnamie. Wykorzystując tę podatność, można było samodzielnie utworzyć certyfikat. Sam kod takiego dokumentu zawiera dość ciekawe dane, np.: typ pojazdu, numer rejestracyjny, liczba foteli, ID obywatela czy okres ważności certyfikatu. …

Czytaj dalej »