W biegu

Bezpłatna, zdalna konferencja sekuraka. 15 prezentacji, 3 godziny i dostępne nagranie :-)

23 czerwca 2020, 09:10 | W biegu | komentarzy 21
Bezpłatna, zdalna konferencja sekuraka. 15 prezentacji, 3 godziny i dostępne nagranie :-)

Niemal skompletowaliśmy agendę całego wydarzenia (kolejność prezentacji na razie losowa). Każda prezentacja będzie skondensowanym lightning talkiem, a wszystko zaprezentujemy na Youtube (będzie też nagranie). Termin: 26.06.2020, 20:00. Całe lightning sekurak hacking party jest bezpłatne, ewentualnie – zupełnie opcjonalnie możecie dokupić sobie elektroniczny certyfikat uczestnictwa lub pakiet gadgetów. Zapisy: Agenda Gynvael…

Czytaj dalej »

Dostał się do danych ~100 000 000 klientów Starbucksa. Dziurawa obsługa kart rabatowych dała mu $4000 nagrody :-)

22 czerwca 2020, 13:23 | W biegu | komentarze 2
Dostał się do danych ~100 000 000 klientów Starbucksa. Dziurawa obsługa kart rabatowych dała mu $4000 nagrody :-)

Ciekawe znalezisko w kontekście bezpieczeństwa API. Nieco zniecierpliwiony brakiem znalezisk w innym programie bug bounty, badacz postanowił sobie zrobić przerwę, a że były urodziny jego przyjaciela postanowił zakupić mu praktyczny prezent – kartę prezentową Starbucksa. Zakup zakupem, ale można trochę pogrzebać w żądaniach do API. Np. taki endpoint zwraca szczegóły…

Czytaj dalej »

Kolejne remote sekurak hacking party już 30 czerwca. Zapraszamy na dawkę solidnej wiedzy :)

19 czerwca 2020, 13:15 | W biegu | komentarze 3
Kolejne remote sekurak hacking party już 30 czerwca. Zapraszamy na dawkę solidnej wiedzy :)

Obiecaliśmy, że remote Sekurak Hacking Party będzie się odbywało dwa razy w miesiącu i tak to wygląda :-) Zachęcamy też do zakupu abonamentu – wtedy macie dostęp do wszystkich archiwalnych oraz przyszłych rSHP (do konkretnej daty do której obowiązuje abonament). Przechodząc do najbliższego wydarzenia w trakcie ~dwóch godzin planujemy dwie…

Czytaj dalej »

Urządzenia Netgear – 0day na 79 różnych urządzeń. Jest root, a patcha brak.

18 czerwca 2020, 11:47 | W biegu | komentarzy 6
Urządzenia Netgear – 0day na 79 różnych urządzeń. Jest root, a patcha brak.

Przypomnijmy nieco wyświechtane powiedzenie: The s in IoT stands for security Chcecie tego konkretny przykład? Proszę. Badacz najpierw zlokalizował podatność klasy buffer overflow (w webserwerze urządzenia), która nie wymaga uwierzytelnienia. Zatem jeśli port zarządzania urządzeniem mamy wystawiony do Internetu – game over. Jeśli mamy go zamkniętego w sieci lokalnej –…

Czytaj dalej »

19 zero-dayów w popularnej implementacji stosu TCP/IP. Podatnych „setki milionów urządzeń”. #Ripple20

17 czerwca 2020, 11:47 | W biegu | komentarze 3
19 zero-dayów w popularnej implementacji stosu TCP/IP. Podatnych „setki milionów urządzeń”. #Ripple20

Chodzi o implementację TCP/IP używaną przez rozmaite urządzenia sieciowe: smart home devices, power grid equipment, healthcare systems, industrial gear, transportation systems, printers, routers, mobile/satellite communications equipment, data center devices, commercial aircraft devices Sam podatny software jest autorstwa mało znanej firmy Treck i ma on przeszło 20 lat. Był i jest…

Czytaj dalej »

Hashcat 6.0.0 wydany!

16 czerwca 2020, 17:45 | W biegu | komentarze 2
Hashcat 6.0.0 wydany!

Po naprawdę długim oczekiwaniu wydano kolejną „dużą” wersję znanego odzyskiwacza haseł. Mamy tu obsługę łamania aż 51 nowych algorytmów w tym nowe, bardzo szybkie sposoby na łamanie zip-ów. Z innych ciekawostek, pojawiło się wsparcie dla Bitlockera czy Android Backup. Dzięki optymalizacjom uzyskano też całkiem niezłe przyrosty wydajności, np. dla MD5 mamy…

Czytaj dalej »

Czerwcowa promocja: książka sekuraka + gratis 4h kurs wideo: wprowadzenie do bezpieczeństwa aplikacji WWW

16 czerwca 2020, 15:05 | W biegu | komentarzy 16
Czerwcowa promocja: książka sekuraka + gratis 4h kurs wideo: wprowadzenie do bezpieczeństwa aplikacji WWW

Jeśli ktoś jeszcze nie zna naszej książki polecamy zerknąć tutaj. Przykładowe, darmowe rozdziały: tutaj i tutaj. Garść świeżych wrażeń czytelników o naszej książce: bezpieczeństwie aplikacji WWW: „Znakomicie napisana, perfekcyjnie wydana” „Gruba, tłusta i dobra jak kebab z budy :D” „Jak pożyczyłem książkę swojemu szefowi, to nie mogę się doprosić o zwrot….

Czytaj dalej »

Dzisiaj (16.06) kolejne remote sekurak hacking party! :) Tym razem pomówimy o bezpieczeństwie BGP oraz zerkniemy pod maskę Windowsowi.

16 czerwca 2020, 10:24 | W biegu | 0 komentarzy
Dzisiaj (16.06) kolejne remote sekurak hacking party! :) Tym razem pomówimy o bezpieczeństwie BGP oraz zerkniemy pod maskę Windowsowi.

Na wydarzenie możecie jeszcze zakupić bilet (zachęcamy również do zerknięcia na abonamenty dostępowe – z nimi jest również dostęp do wszystkich archiwalnych rSHP, które rozpisane są też pod tym linkiem). Agenda dzisiejszego wydarzenia (zaczynamy o 20:00, kto nie zdąży będzie mógł oglądnąć później – będzie nagranie): 1. Grzegorz Tworek – Opowieści hackera Windows: zajrzyj…

Czytaj dalej »

Postbank: pracownicy banku wydrukowali tajny „master key” a następnie dzięki niemu zrealizowano około 25 000 „lewych” transakcji.

15 czerwca 2020, 20:29 | W biegu | komentarzy 6
Postbank: pracownicy banku wydrukowali tajny „master key” a następnie dzięki niemu zrealizowano około 25 000 „lewych” transakcji.

O sprawie donoszą lokalne (RPA) media: The breach resulted from the printing of the bank’s encrypted master key in plain, unencrypted digital language at the Postbank’s old data centre in the Pretoria city centre. (…)The master key is a 36-digit code (encryption key) that allows its holder to decrypt the…

Czytaj dalej »

Wykryto backdoory w słowackiej sieci rządowej. Potencjalna możliwość podsłuchu rozmów / emaili.

15 czerwca 2020, 12:42 | W biegu | komentarzy 5
Wykryto backdoory w słowackiej sieci rządowej. Potencjalna możliwość podsłuchu rozmów / emaili.

O sprawie piszą lokalne, słowackie media. W sprawie zadziałała Národná kriminálna agentúra i zatrzymano czterech podejrzanych (w tym wysoko postawiona osoba – generał Peter Ď.) Nie ma dostępnych wielu szczegółów (dobro śledztwa), ale jest mowa o wyizolowanych z sieci rządowej urządzeniach: The devices will now be examined by experts who…

Czytaj dalej »

Darmowe, pierońsko dobre wydarzenie: lightning Sekurak Hacking Party. Gynvael, Adam z Z3S, Paweł Maziarz, ekipa sekuraka. Wbijajcie!

10 czerwca 2020, 11:48 | W biegu | komentarzy 5
Darmowe, pierońsko dobre wydarzenie: lightning Sekurak Hacking Party. Gynvael, Adam z Z3S, Paweł Maziarz, ekipa sekuraka. Wbijajcie!

Kto się jeszcze nie zapisał może zrobić poniżej (wystarczy tylko e-mail; wydarzenie jest bezpłatne). Planujemy w sumie około 15 skondensowanych prezentacji (maksymalnie treściwa formuła ligtning talk 5-10 minut), w trakcie ~trzygodzinnego eventu (26.06.2020, 20:00). Jeśli ktoś nie będzie mógł uczestniczyć – będzie nagranie :-) Obecna agenda (w trakcie tworzenia) wygląda…

Czytaj dalej »

Ransomware. Amerykańskie miasto, planuje zapłacić równowartość 1 100 000 PLN (to już cena po negocjacjach) – być może boją się ujawnienia własnych e-maili…

10 czerwca 2020, 11:35 | W biegu | 0 komentarzy
Ransomware. Amerykańskie miasto, planuje zapłacić równowartość 1 100 000 PLN (to już cena po negocjacjach) – być może boją się ujawnienia własnych e-maili…

O temacie donosi Brian Krebs, a chodzi o niewielkie (40 000 mieszkańców) miasto Florence (Alabama). Najpierw oficjele dementowali, że w akcji był ransomware, jednak później przyznali że dotknięty został m.in. system poczty elektronicznej miasta a w akcji jest grupa ransomware o kryptonimie DoppelPaymer. Co ciekawe, grupa ta zazwyczaj żąda dość wysokich kwot…

Czytaj dalej »

Świeży raport z testów penetracyjnych – w sumie 30 podatności zlokalizowanych w 6 dni

09 czerwca 2020, 18:41 | W biegu | komentarze 2
Świeży raport z testów penetracyjnych – w sumie 30 podatności zlokalizowanych w 6 dni

Raport w PDF można pobrać tutaj, a uzyskaliśmy formalną zgodę na jego publikację. Jeśli chcecie zobaczyć inne tego typu raporty – tutaj przykład z systemu Eventory, a tutaj raport z testów bezpieczeństwa Yeti Force. W nowym raporcie największym problemem okazał się brak dobrze zaimplementowanego modelu autoryzacji do danych. W ten…

Czytaj dalej »

Największe skuchy bezpieczeństwa… wg czytelników sekuraka

08 czerwca 2020, 20:24 | W biegu | komentarze 4
Największe skuchy bezpieczeństwa… wg czytelników sekuraka

To jeden z lightning talków, który zagości na naszej „pierońsko dobrej i darmowej konferencji (tutaj też zapisy)”. Co będzie materiałem źródłowym do ligtning talka? Ta ankieta, w której jeszcze można brać udział. Odpowiedzi na razie mamy przeszło 450 (!).  Nasi czytelnicy na pytanie „Największe skuchy bezpieczeństwa, które widziałeś:” odpowiadali np….

Czytaj dalej »