Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: raport

Walidacja wejścia od użytkownika (hackera) tylko po stronie frontendu (tj. w tylko w JavaScript)? Takie rzeczy się cały czas zdarzają i to w polskich systemach rządowych.

28 sierpnia 2024, 10:35 | W biegu | 1 komentarz
Walidacja wejścia od użytkownika (hackera) tylko po stronie frontendu (tj. w tylko w JavaScript)? Takie rzeczy się cały czas zdarzają i to w polskich systemach rządowych.

Tytułowa ciekawostka z raportu „o stanie bezpieczeństwa cyberprzestrzeni RP” opublikowanego przez ABW: W aplikacji WWW podlegającej ocenie bezpieczeństwa, w jednym z jej formularzy, istniała możliwość wgrywania plików przez użytkownika. Funkcjonalność weryfikacji rozszerzenia wgrywanych plików zaimplementowana była wyłącznie po stronie frontend-u , tj. przeglądarki. Przechwycenie pliku JavaScript odpowiedzialnego za ten mechanizm…

Czytaj dalej »

Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.

27 marca 2024, 19:07 | Aktualności | komentarzy 14
Klient poprosił nas o sprawdzenie, czy da się odszyfrować komputer, do którego mamy fizyczny dostęp. Udało się i publikujemy pełen raport z całości prac (za zgodą klienta) – atak cold boot.

TLDR: raport tutaj. Zwykle podczas utwardzania (ang. hardeningu) naszych maszyn powinniśmy pamiętać o włączeniu pełnego szyfrowania dysku oraz o mocnym haśle (min. 15 znaków). Mimo to istnieją sposoby, które atakujący mógłby wykorzystać, aby próbować przełamać te zabezpieczenia. Jednym z nich jest chociażby atak słownikowy (ang. dictionary attack). Natomiast do szczególnie…

Czytaj dalej »

Zobacz pełen nieocenzurowany raport z testów penetracyjnych [Canal+]

23 czerwca 2022, 11:23 | W biegu | komentarzy 8
Zobacz pełen nieocenzurowany raport z testów penetracyjnych [Canal+]

Jakiś czas temu realizowaliśmy (w ramach Securitum) testy penetracyjne jednej z aplikacji webowych, należących do Canal+. Sam zamawiający zgodził się na upublicznienie raportu, który można zobaczyć tutaj [EN version]. W szczególności warto spojrzeć na pierwszą podatność (log4shell na ekranie logowania): Inne nasze publiczne raporty: Przy okazji jeśli chciałbyś dołączyć do…

Czytaj dalej »

Raport Palo Alto: średnia wypłat ransomware wzrosła o 170%, do ponad 300000$

27 marca 2021, 20:44 | W biegu | 1 komentarz
Raport Palo Alto: średnia wypłat ransomware wzrosła o 170%, do ponad 300000$

Zespół ds. Analizy zagrożeń Unit 42 w Palo Alto Networks wraz z zespołem Crypsis opracowali raport o zagrożeniach, który przedstawia najnowsze trendy w oprogramowaniu ransomware i porównuje trendy płatności z poprzednimi latami.  Według raportu, średnia kwota okupu zapłacona szantażystom w 2020 roku wzrosła o 171% do 312493$. W roku 2019…

Czytaj dalej »

Raport o bezpieczeństwie danych na urządzeniach mobilnych

25 stycznia 2021, 09:09 | W biegu | 0 komentarzy
Raport o bezpieczeństwie danych na urządzeniach mobilnych

Maximilian Zinkus, Tushar Jois i Matthew Green z Uniwersytetu Johns Hopinks zmotywowani wydarzeniami jakie miały miejsce w 2016 r. (Apple kontra FBI) oraz ustawą EARN IT act będącej obecnie w Kongresie oraz ogólnemu nastawieniu wielu rządów do kompleksowego szyfrowania i prywatności użytkowników na rzecz dostępu organów ścigania – postanowili odpowiedzieć…

Czytaj dalej »

Bieżące trendy w phishingu – raport od Barracudy

20 grudnia 2020, 14:01 | W biegu | komentarze 2
Bieżące trendy w phishingu – raport od Barracudy

Najnowszy raport firmy Barracuda opisuje trendy w spearphishingu, z uwzględnieniem nowych koronawirusowych maili. Pierwsze pojedyncze koronawirusowe phishingi zostały zidentyfikowane przez Barracudę już w styczniu, a gwałtowny wzrost odnotowano w pierwszych tygodniach marca. Nie jest zaskoczeniem, że phishingi koronawirusowe dotyczą głównie wyłudzeń środków pod pretekstem datków na walkę z pandemią. Światowa…

Czytaj dalej »

Trendy w blackhackingu – raport Verizon analizuje przeszło 100 000 incydentów

01 maja 2016, 20:46 | W biegu | 0 komentarzy

To już dziewiąta edycja corocznego raportu od firmy Verizon (Data Breach Investigations Report). Tym razem przeanalizowano ~100000 incydentów bezpieczeństwa z czego 2260 to potwierdzone kradzieże danych (data breach). Kilka ciekawostek na zachętę: 1. Obecnie w kategorii data breach królują ataki webowe, które razem z atakami na POS dają aż ~60% wszystkich potwierdzonych…

Czytaj dalej »

Departament Energii USA oraz agencja zarządzająca bronią atomową – skutecznie atakowane

12 września 2015, 13:29 | W biegu | komentarze 3

USA Today publikuje informacje pewnym raporcie pokazującym cyberataki na Departament Energii USA za okres od 2010 do 2014 roku. Okazuje się, że systemy wyżej wspomnianej agencji były skutecznie atakowane przeszło 150 razy. Co ciekawe, w obszarze celów jest też agencja: National Nuclear Security Administration, odpowiedzialna m.in. za zarządzanie arsenałem nuklearnym…

Czytaj dalej »