-20% z kodem swieta-2021 -> Książka sekuraka o bezpieczeństwie aplikacji webowych (idealna również dla początkujących).

Aktualności

Rozpoczynamy serię Websecurity master. Chcesz być mistrzem zabezpieczania aplikacji webowych? Zapraszamy :-)

07 grudnia 2020, 20:54 | W biegu | komentarze 2
Rozpoczynamy serię Websecurity master. Chcesz być mistrzem zabezpieczania aplikacji webowych? Zapraszamy :-)

Websecurity master to nasz nowy cykl krótkich (3-4h) szkoleń online dotyczących bezpieczeństwa aplikacji webowych. Zaczynamy od pierwszych trzech odcinków (każdy z nich prowadzony jest w formie praktycznej, a uczestnicy otrzymują dostęp do zadań, które mogą realizować we własnym zakresie). Dodatkowo, uczestnicy otrzymują pełne nagranie ze szkolenia (rozwiązuje to problem ewentualnego…

Czytaj dalej »

Książka sekuraka o bezpieczeństwie aplikacji webowych – PDF (preorder w super cenie).

07 grudnia 2020, 19:45 | W biegu | komentarzy 37
Książka sekuraka o bezpieczeństwie aplikacji webowych – PDF (preorder w super cenie).

Trwało to dość długo, ale wreszcie jesteśmy na finishu. Do 17.12.2020 możecie zakupić naszą książkę o bezpieczeństwie aplikacji WWW (format PDF) w przedprzedaży. Tylko w tej opcji przedsprzedażowej jest ona w cenie 69,9 PLN. Później wróci do ceny katalogowej 94,50 PLN. Dystrybucja w formie mailowej – maksymalnie do 15.01.2021, ale…

Czytaj dalej »

Microsoft Teams – wykonanie kodu na komputerze ofiary po samym wejściu na chat #zerocklick

07 grudnia 2020, 11:16 | W biegu | komentarze 2
Microsoft Teams – wykonanie kodu na komputerze ofiary po samym wejściu na chat #zerocklick

Opis niedawno załatanej podatności macie tutaj. W skrócie – można było wysłać odpowiednio spreparowaną wiadomość, a samo zobaczenie wiadomości (bez klikania) powodowało wykonanie kodu w systemie operacyjnym u ofiary. Podatne były desktopowe wersje Teamsów na wszystkie platformy (Windows, Linux, Mac), a cała podatność sprowadzała się do: persistent XSSa (przez sprytne…

Czytaj dalej »

W Kazachstanie rząd odpalił masowy podsłuch ruchu HTTPS. W SMSach informacja do obywateli – zainstalujcie w przeglądarkach root certyfikat CA

06 grudnia 2020, 22:04 | W biegu | komentarze 3
W Kazachstanie rząd odpalił masowy podsłuch ruchu HTTPS. W SMSach informacja do obywateli – zainstalujcie w przeglądarkach root certyfikat CA

O podobnej aferze (również w Kazachstanie) pisaliśmy w zeszłym roku. Obecnie o nowej iteracji problemu donosi ZDnet, informując że całość jest realizowana pod przykrywką „ćwiczeń cyberbezpieczeństwa”: In a statement published on Friday, Kazakh officials described their efforts to intercept HTTPS traffic as a cybersecurity training exercise for government agencies, telecoms,…

Czytaj dalej »

Masowy atak hackerski na pocztomaty w Rosji. Dotkniętych prawie 3000 urządzeń – skrytki z paczkami otwierały się jedna po drugiej…

06 grudnia 2020, 21:46 | W biegu | komentarzy 5
Masowy atak hackerski na pocztomaty w Rosji. Dotkniętych prawie 3000 urządzeń – skrytki z paczkami otwierały się jedna po drugiej…

Na razie nie ma wielu technicznych informacji o samym incydencie, choć sama firma PickPoint potwierdza, że doszło do ataku hackerskiego „na dostawców zapewniających urządzeniom dostęp do Internetu”. W Rosji tego typu urządzenie nazywa się постамат (po prostu: pocztomat?), a efekt incydentu, który dotknął aż 2732 urządzeń widać na filmach poniżej:…

Czytaj dalej »

Google pokazało pełnego exploita na iPhone-y. Można go uruchamiać bezprzewodowo, nie wymaga interakcji ofiary, implantuje się u ofiary…

01 grudnia 2020, 23:05 | W biegu | 1 komentarz
Google pokazało pełnego exploita na iPhone-y. Można go uruchamiać bezprzewodowo, nie wymaga interakcji ofiary, implantuje się u ofiary…

Nikt oczywiście publicznie nie sypie 0-dayami, więc w tym ogromnym researchu czytamy, że podatność została załatana pół roku temu (iOS 13.5). Badanie pokazuje jednak, że dla chcącego (lub posiadającego odpowiednio gruby portfel) nie ma nic niemożliwego. Zaczeło się od takiego „prostego efektu” – tą maszynką można było bezprzewodowo rebootować wszystkie…

Czytaj dalej »

Pokazał jak prostym gif-em można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

01 grudnia 2020, 11:54 | W biegu | komentarze 2
Pokazał jak prostym gif-em  można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

Zerknijcie na tę podatność w serwisie basecamp.com. Upload gif-a (np. jako avatar) wydaje się być bezpieczny? Błąd ;-) Badacz stworzył wprawdzie plik z rozszerzeniem .gif, ale w jego treści umieścił postscript. I teraz serwer zaczął taki plik traktować jako plik postscriptowy (!): This is probably due to ImageMagick / GraphicsMagick…

Czytaj dalej »

Coffeedesk: „osoba trzecia uzyskała dostęp do naszego serwera i znajdującym się na nim danych”

29 listopada 2020, 12:19 | W biegu | komentarze 3
Coffeedesk: „osoba trzecia uzyskała dostęp do naszego serwera i znajdującym się na nim danych”

Dostajemy od czytelników kolejne zgłoszenia o e-mailu, który rozsyłany, jest przez przez Coffeedesk. W e-mailu znajduje się treść jak poniżej (w formie obrazka, miejmy nadzieję że finalny opis incydentu przygotowany będzie w formie HTML – normalnie indeksowalnej przez wyszukiwarki). Obecnie trwa „przywracanie bezpieczeństwa” serwerów Coffeedesk, a serwis zalecił zmianę haseł…

Czytaj dalej »

Wyciekły dane 16 milionów pacjentów COVID-owych z Brazylii. Przyczyna? Absurdalna…

27 listopada 2020, 23:37 | W biegu | 0 komentarzy
Wyciekły dane 16 milionów pacjentów COVID-owych z Brazylii. Przyczyna? Absurdalna…

Zdnet donosi: Dane osobowe ponad 16 milionów brazylijskich pacjentów COIVDowych wyciekły w wyniku opublikowania na GitHubie przez jednego z pracowników szpitala pliku z loginami/hasłami/kluczami do wrażliwych systemów rządowych. The personal and health information of more than 16 million Brazilian COVID-19 patients has been leaked online after a hospital employee uploaded…

Czytaj dalej »

Pakiety szkoleń sekuraka – tańsze o 20-30% – również vochery na 2021r.

27 listopada 2020, 18:05 | Aktualności | 0 komentarzy
Pakiety szkoleń sekuraka – tańsze o 20-30% – również vochery na 2021r.

Jeśli ktoś chciałby się z nami trochę więcej szkolić, mamy dostępne takie opcje pakietowe: Jeśli ktoś chciałby uczestniczyć w trzech dowolnych kursach z listy poniżej, prośba o kontakt na szkolenia@securitum.pl -> przekażemy rabat 20% na wszystkie trzy szkolenia (przy jednorazowym zakupie trzech wejść). Rabat obowiązuje od cen early-bird! :) Jeśli ktoś chciałby wziąć…

Czytaj dalej »

Używacie SSLVPN od Fortinetu? Sprawdźcie czy macie łatkę – ktoś właśnie opublikował 50 000 urządzeń (również w Polsce) z których można wyciągnąć dane logowania w plaintext

26 listopada 2020, 14:35 | W biegu | 1 komentarz
Używacie SSLVPN od Fortinetu? Sprawdźcie czy macie łatkę – ktoś właśnie opublikował 50 000 urządzeń (również w Polsce) z których można wyciągnąć dane logowania w plaintext

W sieci od niedawna krąży lista podatnych adresów IP (wraz z portami). Chodzi o niezaktualizowane urządzenia Fortinetu zapewniające SSL-VPN: CVE-2018-13379 jest dość… starą podatnością, ale jak widać prawie 50 000 urządzeń na świecie jeszcze się nie zaktualizowało. Co więcej, w innym dumpie zebrane są ściągnięte z podatnych VPNów loginy oraz…

Czytaj dalej »

Wprowadzenie do bezpieczeństwa IT – dwudniowy kurs online od sekuraka w rewelacyjnej cenie!

25 listopada 2020, 15:43 | Aktualności | 0 komentarzy
Wprowadzenie do bezpieczeństwa IT – dwudniowy kurs online od sekuraka w rewelacyjnej cenie!

Zapraszamy Was na to dwudniowe, intensywne szkolenie. Szkolenie prowadzone jest w trybie on-line, a agenda została właśnie uzupełniona o omówienie świeżych problemów bezpieczeństwa, z którymi borykają się polskie firmy. Kurs odbywa się 3-4.12.2020 a zamawiając go z kodem „sekurak”, dostępny jest w cenie 999 PLN netto / osoba (zamiast 1999…

Czytaj dalej »

Krytyczny błąd w Messengerze (Android). Można było zadzwonić do ofiary i słuchać jej audio zanim odbierze połączenie…

22 listopada 2020, 13:23 | W biegu | 1 komentarz
Krytyczny błąd w Messengerze (Android). Można było zadzwonić do ofiary i słuchać jej audio zanim odbierze połączenie…

Podatność została zgłoszona przez Natalię Sylwanowicz z projektu Google Zero. Jak czytamy na stronie Facebooka: This fall, Natalie Silvanovich of Google’s Project Zero reported a bug that could have allowed a sophisticated attacker logged in on Messenger for Android to simultaneously initiate a call and send an unintended message type…

Czytaj dalej »

Szokująco prosty atak na kilka giełd kryptowalut. Wykorzystując socjotechnikę na pracowników GoDaddy przejęli im DNSy…

21 listopada 2020, 19:52 | W biegu | komentarze 2
Szokująco prosty atak na kilka giełd kryptowalut. Wykorzystując socjotechnikę na pracowników GoDaddy przejęli im DNSy…

Brian Krebs donosi o ciekawym ataku: fraudsters redirected email and web traffic destined for several cryptocurrency trading platforms over the past week. Przekładając na ludzki – ktoś był w stanie przekierować użytkowników wielu giełd kryptowalut na inne adresy. Miał też dostęp do maili wysyłanych do adresów giełd. W jaki sposób…

Czytaj dalej »

Dziennikarz wbił się zdalnie na zamknięte spotkanie ministrów obrony krajów EU. Jak to możliwe? Zobaczcie tę niewinną fotkę…

21 listopada 2020, 18:44 | W biegu | komentarzy 5
Dziennikarz wbił się zdalnie na zamknięte spotkanie ministrów obrony krajów EU. Jak to możliwe? Zobaczcie tę niewinną fotkę…

Holenderska minister obrony, dość niefrasobiliwie wrzuciła na Twittera zdjęcie ekranu swojego laptopa. Na zdjęciu widać jak uczestniczy w zamkniętym spotkaniu ministrów obrony krajów EU; widoczny jest również pasek adresu przeglądarki, gdzie z kolei widać było pięć cyfr z sześciocyfrowego PIN-u, umożliwiającego dołączenie do spotkania: Może pani przydałaby się zasłonka na…

Czytaj dalej »