Aktualności

Lightning sekurak hacking party – dostęp do filmu oraz mini relacja

30 czerwca 2020, 17:36 | W biegu | 1 komentarz
Lightning sekurak hacking party – dostęp do filmu oraz mini relacja

Film finalnie dostępny jest tutaj. To w sumie 3 godziny materiału i 15 prezentacji. Jeśli ktoś był (lub oglądnął – zachęcamy do wypełnienia ankiety tutaj). Pamiątkowy certyfikat uczestnictwa można opcjonalnie wykupić tutaj. Dla tych, którzy pierwszy raz słyszą o lightning sekurak hacking party. To nasz eksperymentalny pomysł z krótkimi prezentacjami (10…

Czytaj dalej »

Link do lightning Sekurak Hacking Party. 18 prezentacji, 7000 zapisanych, to będzie największe wydarzenie ITsec w Polsce :-)

25 czerwca 2020, 16:54 | W biegu | komentarze 32
Link do lightning Sekurak Hacking Party. 18 prezentacji, 7000 zapisanych, to będzie największe wydarzenie ITsec w Polsce :-)

Kiedy? 26.06.2020r, 20:00 -> ~23:00 Gdzie? https://www.youtube.com/watch?v=HPhXze8BpOc (pod tym linkiem będzie również nagranie, można też dołączyć na chwilę; nie ma limitu uczestników – nie zapomnijcie podesłać linku znajomym :-). Pod tym linkiem możecie sobie ustawić przypomnienie o wydarzeniu. Agenda? (patrz na film + opis na koniec tego postu). Koszt? Bezpłatnie….

Czytaj dalej »

iOS14 i nieustanne pobieranie zawartości schowka przez TikTok

25 czerwca 2020, 11:51 | W biegu | komentarzy 6
iOS14 i nieustanne pobieranie zawartości schowka przez TikTok

Dopiero co pisaliśmy na Sekuraku o naszych badaniach mechanizmu kopiuj-wklej w popularnych przeglądarkach, a tymczasem pojawia się kolejny ciekawostka związana z tematem schowka. W iOS14 zostało dodane powiadomienie, gdy aplikacja próbuje próbuje pobrać zawartość schowka. Okazało się, że w trakcie pisania wiadomości w aplikacji TikTok, to powiadomienie jest wyświetlane praktycznie…

Czytaj dalej »

Jak ransomware skutecznie przejął setki kontrolerów domen na świecie w jednej firmie? Historia Maersk & notPetya.

24 czerwca 2020, 11:24 | W biegu | komentarzy 5
Jak ransomware skutecznie przejął setki kontrolerów domen na świecie w jednej firmie? Historia Maersk & notPetya.

Trochę niezręcznie tłumaczyć od deski do deski całe, opasłe opracowanie przygotowane przez jednego z kluczowych pracowników Maersk – tutaj zatem tylko zajawka. notPetya to rok 2017, a wcześniej (jeśli chodzi o historię zaatakowanej firmy) nasz badacz opisuje grzechy, które można wskazać chyba w większości dużych organizacji – braki z kontrolą uprawnień…

Czytaj dalej »

Bezpłatna, zdalna konferencja sekuraka. 15 prezentacji, 3 godziny i dostępne nagranie :-)

23 czerwca 2020, 09:10 | W biegu | komentarzy 21
Bezpłatna, zdalna konferencja sekuraka. 15 prezentacji, 3 godziny i dostępne nagranie :-)

Niemal skompletowaliśmy agendę całego wydarzenia (kolejność prezentacji na razie losowa). Każda prezentacja będzie skondensowanym lightning talkiem, a wszystko zaprezentujemy na Youtube (będzie też nagranie). Termin: 26.06.2020, 20:00. Całe lightning sekurak hacking party jest bezpłatne, ewentualnie – zupełnie opcjonalnie możecie dokupić sobie elektroniczny certyfikat uczestnictwa lub pakiet gadgetów. Zapisy: Agenda Gynvael…

Czytaj dalej »

Dostał się do danych ~100 000 000 klientów Starbucksa. Dziurawa obsługa kart rabatowych dała mu $4000 nagrody :-)

22 czerwca 2020, 13:23 | W biegu | komentarze 2
Dostał się do danych ~100 000 000 klientów Starbucksa. Dziurawa obsługa kart rabatowych dała mu $4000 nagrody :-)

Ciekawe znalezisko w kontekście bezpieczeństwa API. Nieco zniecierpliwiony brakiem znalezisk w innym programie bug bounty, badacz postanowił sobie zrobić przerwę, a że były urodziny jego przyjaciela postanowił zakupić mu praktyczny prezent – kartę prezentową Starbucksa. Zakup zakupem, ale można trochę pogrzebać w żądaniach do API. Np. taki endpoint zwraca szczegóły…

Czytaj dalej »

Kolejne remote sekurak hacking party już 30 czerwca. Zapraszamy na dawkę solidnej wiedzy :)

19 czerwca 2020, 13:15 | W biegu | komentarze 3
Kolejne remote sekurak hacking party już 30 czerwca. Zapraszamy na dawkę solidnej wiedzy :)

Obiecaliśmy, że remote Sekurak Hacking Party będzie się odbywało dwa razy w miesiącu i tak to wygląda :-) Zachęcamy też do zakupu abonamentu – wtedy macie dostęp do wszystkich archiwalnych oraz przyszłych rSHP (do konkretnej daty do której obowiązuje abonament). Przechodząc do najbliższego wydarzenia w trakcie ~dwóch godzin planujemy dwie…

Czytaj dalej »

Urządzenia Netgear – 0day na 79 różnych urządzeń. Jest root, a patcha brak.

18 czerwca 2020, 11:47 | W biegu | komentarzy 6
Urządzenia Netgear – 0day na 79 różnych urządzeń. Jest root, a patcha brak.

Przypomnijmy nieco wyświechtane powiedzenie: The s in IoT stands for security Chcecie tego konkretny przykład? Proszę. Badacz najpierw zlokalizował podatność klasy buffer overflow (w webserwerze urządzenia), która nie wymaga uwierzytelnienia. Zatem jeśli port zarządzania urządzeniem mamy wystawiony do Internetu – game over. Jeśli mamy go zamkniętego w sieci lokalnej –…

Czytaj dalej »

19 zero-dayów w popularnej implementacji stosu TCP/IP. Podatnych „setki milionów urządzeń”. #Ripple20

17 czerwca 2020, 11:47 | W biegu | komentarze 3
19 zero-dayów w popularnej implementacji stosu TCP/IP. Podatnych „setki milionów urządzeń”. #Ripple20

Chodzi o implementację TCP/IP używaną przez rozmaite urządzenia sieciowe: smart home devices, power grid equipment, healthcare systems, industrial gear, transportation systems, printers, routers, mobile/satellite communications equipment, data center devices, commercial aircraft devices Sam podatny software jest autorstwa mało znanej firmy Treck i ma on przeszło 20 lat. Był i jest…

Czytaj dalej »

Hashcat 6.0.0 wydany!

16 czerwca 2020, 17:45 | W biegu | komentarze 2
Hashcat 6.0.0 wydany!

Po naprawdę długim oczekiwaniu wydano kolejną „dużą” wersję znanego odzyskiwacza haseł. Mamy tu obsługę łamania aż 51 nowych algorytmów w tym nowe, bardzo szybkie sposoby na łamanie zip-ów. Z innych ciekawostek, pojawiło się wsparcie dla Bitlockera czy Android Backup. Dzięki optymalizacjom uzyskano też całkiem niezłe przyrosty wydajności, np. dla MD5 mamy…

Czytaj dalej »

Czerwcowa promocja: książka sekuraka + gratis 4h kurs wideo: wprowadzenie do bezpieczeństwa aplikacji WWW

16 czerwca 2020, 15:05 | W biegu | komentarzy 16
Czerwcowa promocja: książka sekuraka + gratis 4h kurs wideo: wprowadzenie do bezpieczeństwa aplikacji WWW

Jeśli ktoś jeszcze nie zna naszej książki polecamy zerknąć tutaj. Przykładowe, darmowe rozdziały: tutaj i tutaj. Garść świeżych wrażeń czytelników o naszej książce: bezpieczeństwie aplikacji WWW: „Znakomicie napisana, perfekcyjnie wydana” „Gruba, tłusta i dobra jak kebab z budy :D” „Jak pożyczyłem książkę swojemu szefowi, to nie mogę się doprosić o zwrot….

Czytaj dalej »

Dzisiaj (16.06) kolejne remote sekurak hacking party! :) Tym razem pomówimy o bezpieczeństwie BGP oraz zerkniemy pod maskę Windowsowi.

16 czerwca 2020, 10:24 | W biegu | 0 komentarzy
Dzisiaj (16.06) kolejne remote sekurak hacking party! :) Tym razem pomówimy o bezpieczeństwie BGP oraz zerkniemy pod maskę Windowsowi.

Na wydarzenie możecie jeszcze zakupić bilet (zachęcamy również do zerknięcia na abonamenty dostępowe – z nimi jest również dostęp do wszystkich archiwalnych rSHP, które rozpisane są też pod tym linkiem). Agenda dzisiejszego wydarzenia (zaczynamy o 20:00, kto nie zdąży będzie mógł oglądnąć później – będzie nagranie): 1. Grzegorz Tworek – Opowieści hackera Windows: zajrzyj…

Czytaj dalej »

Postbank: pracownicy banku wydrukowali tajny „master key” a następnie dzięki niemu zrealizowano około 25 000 „lewych” transakcji.

15 czerwca 2020, 20:29 | W biegu | komentarzy 6
Postbank: pracownicy banku wydrukowali tajny „master key” a następnie dzięki niemu zrealizowano około 25 000 „lewych” transakcji.

O sprawie donoszą lokalne (RPA) media: The breach resulted from the printing of the bank’s encrypted master key in plain, unencrypted digital language at the Postbank’s old data centre in the Pretoria city centre. (…)The master key is a 36-digit code (encryption key) that allows its holder to decrypt the…

Czytaj dalej »

Wykryto backdoory w słowackiej sieci rządowej. Potencjalna możliwość podsłuchu rozmów / emaili.

15 czerwca 2020, 12:42 | W biegu | komentarzy 5
Wykryto backdoory w słowackiej sieci rządowej. Potencjalna możliwość podsłuchu rozmów / emaili.

O sprawie piszą lokalne, słowackie media. W sprawie zadziałała Národná kriminálna agentúra i zatrzymano czterech podejrzanych (w tym wysoko postawiona osoba – generał Peter Ď.) Nie ma dostępnych wielu szczegółów (dobro śledztwa), ale jest mowa o wyizolowanych z sieci rządowej urządzeniach: The devices will now be examined by experts who…

Czytaj dalej »