Aktualności

Ransomware w dużej firmie z branży samochodowej. Nie chcieli zapłacić okupu, więc crackerzy ujawniają poufne dane.

03 lutego 2020, 21:58 | W biegu | komentarzy 9
Ransomware w dużej firmie z branży samochodowej. Nie chcieli zapłacić okupu, więc crackerzy ujawniają poufne dane.

GEDIA to spora niemiecka firma działająca w branży motoryzacyjnej (dostarczają rozmaite komponenty) – mają fabryki na trzech kontynentach (również w Polsce). Niedawno dowiedzieliśmy, że firma została zainfekowana ransomware. Niby nic wielkiego, ale pojawiła się również groźba ujawnienia danych – w przypadku kiedy GEDIA nie zapłaci okupu. Nie zapłaciła – więc…

Czytaj dalej »

Ponad 100 000 000 PLN kary z RODO dla firmy realizującej m.in. uporczywy telemarketing [Włochy]

02 lutego 2020, 22:09 | W biegu | komentarzy 5
Ponad 100 000 000 PLN kary z RODO dla firmy realizującej m.in. uporczywy telemarketing [Włochy]

Kara nałożona na operatora telekomunikacyjnego TIM została oczywiście wyrażona w Euro (dokładna kwota to: 27,802,946)  i dotyczyła licznych uchybień  –  w tym za wydzwanianie do ludzi z telefonicznym spamem – mimo wyraźnego sprzeciwu konkretnej osoby (ach, skąd my to znamy): (…) reception of unwanted promotional calls made without consent or despite…

Czytaj dalej »

Szczepionka na koronawirusa 2019-nCoV – opłata w Bitcoinach [uwaga na fejki!]

02 lutego 2020, 17:50 | W biegu | komentarze 3
Szczepionka na koronawirusa 2019-nCoV – opłata w Bitcoinach [uwaga na fejki!]

Na pierwszy rzut oka ostatnia panika związana z nowym koronawirusem nie ma nic wspólnego z bezpieczeństwem IT. No ale na każdej panice niektórzy próbują się obłowić – niektórzy sprzedają maski ochronne na twarz w absurdalnych cenach, inni z kolei uruchamiają sklepy oferujące „szczepionkę” na 2019-nCoV: Cena jest niemała bo 0.1 BTC (~3700…

Czytaj dalej »

Nowy Kali Linux (2020.1)

01 lutego 2020, 14:56 | W biegu | komentarzy 5

Nowe wydanie znanej nam dystrybucji wprowadza raczej kilka drobnych zmian i usprawnień, choć niektórzy brak domyślnego logowania na roota (root/toor) i przejście na niżej uprzywilejowanego (kali/kali) mogą traktować jako rewolucję. Ciekawostka to dostępność Kali Nethunter Rootless (edycja na smatfony), która nie wymaga roota (choć ma oczywiście pewne ograniczenia). Dodano też…

Czytaj dalej »

Jak (nie)zwykłym filmem można było czytać pliki z serwera Flickera

30 stycznia 2020, 19:22 | W biegu | 1 komentarz
Jak (nie)zwykłym filmem można było czytać pliki z serwera Flickera

Opis wartego $2000 znaleziska można znaleźć tutaj. Przykładowy plik video wygląda np. tak:

a cała magia dzieje się w trakcie konwersji, np.: ffmpeg -i podatny_plik.mp4 -o wynik.avi, która jest wykonywana automatycznie po uploadzie pliku od użytkownika. „Dziwna” zawartość pliku graficznego to użycie pewnej ciekawej funkcji od Apple (HTTP Live Streaming). Co więcej podatność…

Czytaj dalej »

Jak zadbać o bezpieczeństwo API? OWASP API Security Top Ten

23 stycznia 2020, 10:15 | W biegu | 0 komentarzy
Jak zadbać o bezpieczeństwo API? OWASP API Security Top Ten

Niedawno udostępniono wersję 1.0 nowej dokumentacji od OWASP – API Security Top Ten. Mamy tutaj 10 najczęstszych/najgroźniejszych klas podatności w API (REST-owych). Najwięcej miejsca poświęcono problemom związanym z uwierzytelnianiem / autoryzacją. Mamy również całkiem osobne, ciekawe przypadki jak choćby Mass Assignment czy tematykę Rate Limiting. Nie można też zapomnieć o całej klasyce…

Czytaj dalej »

Pogrzebał w repozytorium Starbucksa i znalazł tam ~15 000 PLN

23 stycznia 2020, 09:39 | W biegu | 0 komentarzy
Pogrzebał w repozytorium Starbucksa i znalazł tam ~15 000 PLN

Tytułowe pieniądze to nagroda w bug bounty, przyznana za znalezienie klucza API w jednym publicznych repozytoriów kodu Starbucksa: vinothkumar discovered a publicly available Github repository containing a Starbucks JumpCloud API Key which provided access to internal system information. Co można było uzyskać posiadając klucz do JumpCloud-a? Jeśli ktoś nie zna…

Czytaj dalej »

250 milionów rekordów z bazy supportu Microsoftu (za ostatnie 14 lat!) było dostępne publicznie

22 stycznia 2020, 20:02 | W biegu | 0 komentarzy
250 milionów rekordów z bazy supportu Microsoftu (za ostatnie 14 lat!) było dostępne publicznie

W stosowny oświadczeniu Microsoft opisuje całą sprawę w niezbyt jasny sposób. „Wewnętrzna baza” (czy była dostępna z zewnątrz?), „większość rekordów nie posiadało danych osobowych” (ale dane osobowe stanowiły 1 czy raczej 49% całej bazy?), czy aby pobrać dane wymagane było jakieś uwierzytelnienie? Więcej precyzyjnych informacji można jednak odnaleźć w tym miejscu….

Czytaj dalej »

SEMAFOR – XIII Forum Bezpieczeństwa i Audytu IT już 19-20 marca 2020 r. na PGE Stadionie Narodowym w Warszawie!

22 stycznia 2020, 12:27 | W biegu | 0 komentarzy
SEMAFOR  – XIII Forum Bezpieczeństwa i Audytu IT już 19-20 marca 2020 r.  na PGE Stadionie Narodowym w Warszawie!

Zapraszamy do udziału w kolejnej edycji SEMAFORA – konferencji dotyczącej bezpieczeństwa i audytu. Temat przewodni nadchodzącej edycji to „Nowe technologie – nowe zagrożenia„.  W programie znajdą się tematy oparte wokół takich zagadnień jak m.in.: przemysł 4.0, telemedycyna, bezpieczeństwo sieci i użytkowników w technologii 5G, robotyzacja, AI i systemy autonomiczne, nowe…

Czytaj dalej »

Całodzienne MEGA sekurak hacking party 2020 – wystartowały zapisy

17 stycznia 2020, 15:56 | Aktualności | komentarze 22
Całodzienne MEGA sekurak hacking party 2020 – wystartowały zapisy

W zeszłym roku zorganizowaliśmy całodniowe wydarzenie związane z bezpieczeństwem (pojawiło się aż 1300 osób!). Krótka relacja filmowa tutaj, dłuższa – w tym miejscu; Po archiwalne prezentacje można sięgnąć tutaj. Cały event podsumował trafnie jeden z uczestników: Merytorycznie, widowiskowo, bez sztampy Kolejna, całodniowa edycja MEGA sekurak hacking party, odbywa się 16 marca 2020 roku w Krakowie. Podobnie jak w poprzednim…

Czytaj dalej »

Pokazał jak krok po kroku generować fałszywy certyfikat SSL (CVE-2020-0601). Można potestować na żywo na przykładzie GitHub.com

16 stycznia 2020, 18:14 | W biegu | komentarzy 6
Pokazał jak krok po kroku generować fałszywy certyfikat SSL (CVE-2020-0601). Można potestować na żywo na przykładzie GitHub.com

O załatanym parę dni temu problemie pisaliśmy tutaj. Dla uniknięcia wątpliwości – podatność dotyczy tylko Windowsów 10 (oraz 2016/2019 server). Wcześniejsze wersje (np. Windows 7) nie są podatne, bo nie posiadają obsługi pewnych parametrów, które okazały się problematyczne w przypadku obsługi ECDSA. Bardziej techniczne wyjaśnienie całego problemu możecie znaleźć tutaj czy…

Czytaj dalej »

Logowanie do konta Google: można używać iPhone jako sprzętowego klucza 2FA

16 stycznia 2020, 12:28 | W biegu | komentarze 2
Logowanie do konta Google: można używać iPhone jako sprzętowego klucza 2FA

To kolejny krok mający gdzieś wypośrodkować: bezpieczeństwo, wygodę i koszty. Google od jakiegoś czasu umożliwia logowanie swoim pracownikom z wykorzystaniem kluczy sprzętowych. Co więcej, zmniejszyło to liczbę skutecznych ataków phishingowych skutkujących przejęciem konta do 0 (zera!). Tego typu logowanie dostępne jest też dla klientów zewnętrznych, jednak część osób narzeka na…

Czytaj dalej »

Kopalnia grubych podatności w oprogramowaniu od Cisco (Data Center Network Manager)

15 stycznia 2020, 18:05 | W biegu | komentarzy 5

Dość szczegółowy opis dostępny jest tutaj. Różne podatności występują w obu „wirtualnych” urządzeniach udostępnianych przez producenta (zarówno dla Windows jak i w przypadku Linuksa). Cisco w opisie łaty (jest ich kilka) pisze np. tak: Multiple vulnerabilities in the authentication mechanisms of Cisco Data Center Network Manager (DCNM) could allow an unauthenticated, remote…

Czytaj dalej »