Aktualności

Jeśli ktoś chciałby uzyskać dostęp do nagrania szkolenia, wystarczy zapisać się tutaj (link przyjdzie automatycznie). Można zapisać się bezpłatnie lub zapłacić dowolną kwotę, wspierając tego typu inicjatywy (kolejne szkolenie w modelu „płać ile chcesz” planujemy w temacie monitorowania bezpieczeństwa sieci). Agenda: Część pierwsza (~75 minut), prowadzenie Michał Sajdak 1. Jak…

Wiedza i umiejętności związane z wykorzystaniem potencjału chmury obliczeniowej, tworzeniem i zarządzaniem bazami danych oraz ich analizą, marketingiem cyfrowym oraz bezpieczeństwem przetwarzania i udostępniania informacji to kompetencje pożądane przez wszystkie rodzaje organizacji – od sektora publicznego przez usługi, branżę FMCG, po produkcję. Co więcej – są to kompetencje, których wiele…

O ataku ransomware raczej nikt nie chce się chwalić – poza zaszyfrowaniem infrastruktury IT często bowiem dochodzi również do wycieku danych. Tymczasem dość enigmatyczny komunikat można przeczytać na stronie EPEC: Służby informatyczne EPEC przywracają pracę systemu informatycznego, który w sobotę uległ awarii. Kluczowe systemy w firmie – obsługujące system ciepłowniczy…

Jakiś czas temu realizowaliśmy (w ramach Securitum) testy penetracyjne jednej z aplikacji webowych, należących do Canal+. Sam zamawiający zgodził się na upublicznienie raportu, który można zobaczyć tutaj [EN version]. W szczególności warto spojrzeć na pierwszą podatność (log4shell na ekranie logowania): Inne nasze publiczne raporty: Przy okazji jeśli chciałbyś dołączyć do…

Dość długi opis ostatnio załatanej podatności można znaleźć tutaj. Istota problemu wygląda następująco: 1. Zimbra używa mechanizmu cache (memcache) aby do obsługi (m.in. logowania) wybrać odpowiedni serwer w backendzie. Co ciekawe, mechanizm działa również wtedy gdy mamy instalację całości tylko na jednym serwerze: 2. Dane logowania użytkownika (email/hasło) są wysyłane…

Sektor szeroko pojętego IT wymaga stałego rozwoju i doskonalenia swoich umiejętności Praca programisty to często też pasja i sposób na życie. Najlepsi w branży żyją i oddychają technologią, w której się specjalizują. Tutaj nadzwyczaj wyraźnie widać działanie zasady: „Kto stoi w miejscu, ten się cofa”. Nie popełniaj tego błędu i…

Więcej szczegółów można poczytać tutaj. Wersja Chrome 102.0.5005.115 przynosi łatki na 4 podatności kategorii High, np.: [$TBD][1330379] High CVE-2022-2011: Use after free in ANGLE. Reported by SeongHwan Park (SeHwa) on 2022-05-31 Patrząc np. na czasy zgłoszenia / szybkość reakcji, można się spodziewać że luki umożliwiają atakującym wejście na system operacyjny,…

Wydarzenie realizujemy w formule on-line już 13. czerwca (poniedziałek): https://sklep.securitum.pl/mshp-edycja-zdalna-czerwiec-2022 Całość to pełen dzień merytorycznych prezentacji (uff, wreszcie brak nachalnego marketingu :) + dostęp do nagrań + konkursy (będzie można wygrać nasze kubki, Yubikey 5NFC – mamy 5 sztuk do rozdania, czy t-shirty) + intensywne dyskusje na Discordzie – do…

O podatności pisaliśmy niedawno. CVE-2022-30190 posiada ocenę ryzyka na poziomie 7.8/10, ale nie dajcie się zwieść liczbom. Atakujący dostarcza ofierze plik (np. doc z MS Office) i po samym otwarciu, na jej komputerze wykonuje się złośliwy kod. Microsoft z dziwnych powodów nie jest w stanie przygotować łatki (chociaż zapewne nad…

Tym razem zaalertował nas Tomek: Czym ten scam różni się od setek innych? Formalnie przychodzi on od Google (zobaczcie na nadawcę, powiadomienie z Google Forms), więc osoby które tylko sprawdzają nadawcę mogą dać się nabrać. Dalej to już oczywiście podpucha na całego, domena .ru – kto o zdrowych zmysłach by…

Maciej podesłał nam taki zrzut ataku kierowanego na jego firmę: Trochę kulawy translatorowy język, grubymi nićmi próba podszycia się pod office365 (?)… Ale pewnie trochę mniej świadomych działów HR może się nabrać i przelać pensję na nowe „lewe” konto. No właśnie, nie ma tutaj żadnego „podejrzanego” załącznika czy linku. Podawane…

W jednej zmianie mamy dwie dobre rzeczy: Aktualizacje bezpieczeństwa będą publikowane zanim jeszcze wyjdzie nowa wersja systemu iOS (do tej pory mając lukę np. w 15.5.0 trzeba było czekać na wydanie 15.5.1) Aktualizacje bezpieczeństwa będą mogły być automatycznie instalowane i to (zapewne najczęściej) bez restartu całego systemu. Sam użytkownik będzie…

TL;DR – zapraszamy do pracy w Securitum/Sekuraku – mamy otwarte ponad 10 miejsc na trzy typy stanowisk: entry, medium i senior pentester. Poszukujemy osób z całego kraju. Praca zdalna, top warunki. CV na: praca@securitum.pl Rok 2021 był przełomowy dla nas, przyjęliśmy blisko 15 osób, zrobiliśmy ~570 komercyjnych testów penetracyjnych. Między…

15 czerwca 2022 o godzinie 18:00 zapraszamy wszystkie dzieci w wieku 11+ na bezpłatne szkolenie z cyberzbezpieczeństwa (zachęcamy do dołączenia również rodziców). Wraz z Michałem Wnękowiczem zmierzymy się z najczęstszymi zagrożeniami w sieci oraz sposobami jak się przed nimi chronić. Podczas streamu nie będziemy zanudzać zbędną teorią a w atrakcyjny sposób…

Aktualizacja: dostępna jest już łatka. Confluence poinformował o istnieniu aktywnie wykorzystywanego błędu typu 0-day na każdą obecnie wspieraną wersję Confluence. Błąd dotyczy tylko instancji on-prem, bo wersja cloud jest już załatana. Błąd pozwala na wykonanie dowolnego kodu po stronie serwera bez potrzeby uwierzytelnienia. Został on odkryty przez firmę Volexity, która…