MEGA sekurak hacking party już 13. czerwca – zdobądź bilety tutaj.

Aktualności

Ta mapa aktywności koronawirusa zaraża nieprzyjemnym malwarem.

12 marca 2020, 21:34 | W biegu | komentarzy 5
Ta mapa aktywności koronawirusa zaraża nieprzyjemnym malwarem.

Wydawałoby się, że nikt na to nie powinien dać się nabrać. Bezczelny plik Corona-virus-Map.com.exe, zawierający nieprzyjemne dodatki. Kto w obecnych czasach ściąga i odpala „losowe” pliki exe znalezione w Internecie? Warto zaznaczyć, że dla zmyłki, mapa wygląda (i działa) jak klon tej „legalnej” (widzicie na zrzucie ekranowym, że tak naprawdę jest…

Czytaj dalej »

CVE-2020-0796 – krytyczna podatność w SMBv3. Można bez uwierzytelnienia wykonać dowolny kod na Windowsach. Właśnie dostępny jest patch.

12 marca 2020, 19:48 | W biegu | 1 komentarz
CVE-2020-0796 – krytyczna podatność w SMBv3. Można bez uwierzytelnienia wykonać dowolny kod na Windowsach. Właśnie dostępny jest patch.

Poza tytułem moglibyśmy dać tutaj linka do Microsoftu i zakończyć wiadomość ;-). Warto jednak przyjrzeć się kilku szczegółom. Podatność jest o tyle nietypowa, że najpierw informacja o niej wyciekła, a później… Microsoft z jakiś powodów nie wypuścił łatki. Teraz nadrabia wypuszczając łatę poza standardowym harmonogramem. Garść ważnych informacji: Podatność wprowadzono…

Czytaj dalej »

remote Sekurak Hacking Party (rSHP) – czyli w pełni zdalna, praktyczna konferencja sekuraka. Wbijajcie!

11 marca 2020, 15:23 | Aktualności | komentarzy 19
remote Sekurak Hacking Party (rSHP) – czyli w pełni zdalna, praktyczna konferencja sekuraka. Wbijajcie!

Jak wiecie, prawie wszystkie większe wydarzenia w Polsce zostały odwołane – proponujemy Wam więc coś zupełnie nowego: wydarzenie w pełni zdalne nawiązujące do naszych klasycznych spotkań sekurak hacking party (w których do tej pory wzięło udział ~5000 osób). Pierwszą edycję rSHP zaczynamy od zaprezentowania naszych dwóch hitów, czyli prezentacji które…

Czytaj dalej »

Książka sekuraka + !niebezpieczne! skarpetki gratis :-)

11 marca 2020, 12:59 | W biegu | komentarzy 8
Książka sekuraka + !niebezpieczne! skarpetki gratis :-)

Dwa słowa przypomnienia o naszej książce: „Bezpieczeństwo aplikacji WWW„. Obecnie sprzedaliśmy ~10 000 egzemplarzy, co czyni ją chyba najlepiej sprzedającą się książką IT w ostatnich latach w Polsce! Przykładowe rozdziały do bezpłatnego pobrania: Podatność XSS, Podstawy protokołu HTTP. Kilka Waszych recenzji: A teraz promocja – pierwsze 100 zamówionych książek (kup…

Czytaj dalej »

Tajemnicza podatność CVE-2020-0796: zdalne wykonanie kodu w SMBv3. Wizja nowego robaka atakującego świat Windowsów…

10 marca 2020, 22:07 | W biegu | komentarze 2
Tajemnicza podatność CVE-2020-0796: zdalne wykonanie kodu w SMBv3. Wizja nowego robaka atakującego świat Windowsów…

Microsoft załatał właśnie 25 krytycznych podatności; gdzie pojawiła się ponoć informacja o takim bugu: CVE-2020-0796 is a remote code execution vulnerability in Microsoft Server Message Block 3.0 (SMBv3). An attacker could exploit this bug by sending a specially crafted packet to the target SMBv3 server, which the victim needs to be connected…

Czytaj dalej »

Właściciele urządzeń Netgear – lepiej szybko się łatajcie bo możecie stracić kontrolę nad swoimi urządzeniami…

10 marca 2020, 19:56 | W biegu | komentarzy 5
Właściciele urządzeń Netgear – lepiej szybko się łatajcie bo możecie stracić kontrolę nad swoimi urządzeniami…

Załatano właśnie rozmaite podatności w około 50 modelach urządzeń Netgeara. Producent wspomina o możliwości „nieuwierzytelnionego wykonania kodu w systemie operacyjnym”: NETGEAR has released fixes for a pre-authentication command injection security vulnerability on the following product models (…) Dodatkowo, sporo urządzeń jest podatnych na RCE już po uwierzytelnieniu. Gdzie dokładnie tkwi błąd?…

Czytaj dalej »

Pełen raport z realnych testów bezpieczeństwa aplikacji eventowej – bez żadnej cenzury.

10 marca 2020, 14:00 | W biegu | komentarze 4
Pełen raport z realnych testów bezpieczeństwa aplikacji eventowej – bez żadnej cenzury.

Dzisiaj mamy dla Was naprawdę wyjątkowy odcinek #vulnz. Publikujemy bowiem aż dwanaście realnych, znalezionych przez nas podatności w aplikacji eventory. Systemu używamy do obsługi naszego wydarzenia – Mega Sekurak Hacking Party (które przełożyliśmy właśnie na czerwiec 2020 – konkretna data będzie dostępna niebawem). Jak więc widzicie, zadbaliśmy również o bezpieczeństwo Waszych…

Czytaj dalej »

Przekładamy Mega Sekurak Hacking Party

09 marca 2020, 14:27 | Aktualności | komentarzy 31
Przekładamy Mega Sekurak Hacking Party

Drodzy, podjęliśmy dzisiaj decyzję o przełożeniu naszego Mega Sekurak Hacking Party na czerwiec tego roku. Decyzja dla nas (czy osobiście dla mnie) była trudna (w końcu zarówno Sekurak jak i sekurak hacking party traktujemy jak nasze dzieci) oraz podjęta w szczególności w oparciu o aktualne (z 8.03.2020r.) rekomendacje GIS. Wprawdzie nasza…

Czytaj dalej »

Jak można bez wiedzy ofiary bezprzewodowo zdumpować pamięć iPhone?! Ano tak…

07 marca 2020, 10:30 | W biegu | 1 komentarz
Jak można bez wiedzy ofiary bezprzewodowo zdumpować pamięć iPhone?! Ano tak…

Dzisiejszy vulnz to całkiem świeża podatność CVE-2020-3843. Zobaczmy: Attached is a work-in-progress exploit for CVE-2020-3843, a buffer overflow in AWDL (…)  Currently this poc demonstrates the ability to remotely dump device physical memory regions over the air with no user interaction on iPhone 11 Pro running iOS 13.3. Dość ostre, prawda? Słowo wyjaśnienia czym…

Czytaj dalej »

Wyskoczył trupek z szafy: możliwość zdalnego wykonania kodu w usłudze pppd (nie wymaga uwierzytelnienia). Podatne wszystkie wersje wydane w ostatnich 17 latach

05 marca 2020, 22:04 | W biegu | komentarze 2
Wyskoczył trupek z szafy: możliwość zdalnego wykonania kodu w usłudze pppd (nie wymaga uwierzytelnienia). Podatne wszystkie wersje wydane w ostatnich 17 latach

W dzisiejszym #vulnz będzie krótko. Kto pamięta zamierzchłe czasu modemów, pewnie kojarzy również usługę pppd. Obecnie również jest używana (choć jest często nieco ukryta – np. firmware  routerów klasy domowej). W każdym razie tutaj czytamy: Due to a flaw in the Extensible Authentication Protocol (EAP) packet processing in the Point-to-Point…

Czytaj dalej »

Zdalne szkolenie od sekuraka – bezpieczeństwo aplikacji WWW – w rewelacyjnej cenie

05 marca 2020, 12:36 | Aktualności | komentarzy 12
Zdalne szkolenie od sekuraka – bezpieczeństwo aplikacji WWW – w rewelacyjnej cenie

Nieco eksperymentalnie uruchomiliśmy nasze topowe szkolenie z bezpieczeństwa aplikacji WWW w wersji zdalnej. Kurs prowadzi Michał Bentkowski. W kontekście jego researchu ostatnio pisał zachodni Forbes; parę miesięcy temu, na What The Hacku, jego prezentacja otrzymała 1 miejsce w ankietach uczestników (wszystkich prelekcji było około 100 – wiec konkurencja zażarta ;-)  Jeśli…

Czytaj dalej »

Warszawski sąd przyznał 500 PLN zadośćuczynienia mężczyźnie, który dostawał sporo spamu mailowego. Spam „burzył jego spokój wewnętrzny”.

04 marca 2020, 14:47 | W biegu | komentarzy 7
Warszawski sąd przyznał 500 PLN zadośćuczynienia mężczyźnie, który dostawał sporo spamu mailowego. Spam „burzył jego spokój wewnętrzny”.

Wydaje się, że w Polsce walka ze spamerami jest skazana na porażkę. Tymczasem „Gazeta Prawna” donosi o ciekawym wyroku warszawskiego sądu: Sprawa dotyczyła mężczyzny, który domagał się m.in. zasądzenia kwoty 500 zł tytułem zadośćuczynienia za naruszenie dóbr osobistych. Miało do niego dojść wskutek wysyłania przez pozwaną spółkę wiadomości na jego…

Czytaj dalej »

Let’s Encrypt dzisiaj unieważni 3 miliony certyfikatów SSL/TLS. Dotknięty był również sekurak. Sprawdźcie swoje domeny

04 marca 2020, 11:26 | W biegu | 1 komentarz
Let’s Encrypt dzisiaj unieważni 3 miliony certyfikatów SSL/TLS. Dotknięty był również sekurak. Sprawdźcie swoje domeny

Newsa obserwowaliśmy od kilku dni, a wczoraj my (oraz znaczna liczba innych osób) otrzymaliśmy maila z między innymi taką treścią: We recently discovered a bug in the Let’s Encrypt certificate authority code, described here. Unfortunately, this means we need to revoke the certificates that were affected by this bug, which…

Czytaj dalej »

OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

03 marca 2020, 12:37 | W biegu | komentarzy 5
OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są…

Czytaj dalej »