W ramach demo udostępniamy Wam film z pierwszego (marcowego) remote sekurak hacking party. To około 2h materiału dla fanów bezpieczeństwa aplikacji webowych (omawialiśmy XSSy, podatności w GMailu, Chrome czy masę innych podatności stricte aplikacyjnych). Kolejna edycja już za kilka dni – dla osób, które wykupiły bilet dostępne będą również nagrania (nie…
Czytaj dalej »
O temacie informowaliśmy jakiś czas temu, a obecnie o temacie pisze bank PKO BP, oraz ING: W ostatnim czasie obserwujemy zwiększoną aktywność oszustów podszywających się pod infolinie banków. Zachowaj ostrożność – możesz stracić wszystkie pieniądze, będąc przekonanym, że działasz zgodnie z instrukcjami swojego banku. Czy hackują infolinie bankowe? Nie, ale…
Czytaj dalej »
Jeśli chcecie zapoznać się z bezpieczeństwem JWT – zerknijcie tutaj. W dużym skrócie tokeny JWT stosowane są niekiedy jako pewnego rodzaju klucze API. Nie masz dobrego klucza – nie skorzystasz z API. Proste. Żeby użytkownik nie mógł podrobić (czy wręcz stworzyć) takiego tokenu – (standardowo) używane są podpisy: Jeśli nie…
Czytaj dalej »
Serwis gniezno24.com przekazał informację o wycieku danych osób objętych kwarantanną (dokładniej chodzi o fizyczne adresy): Udało się nam dotrzeć do wspomnianej listy, która jest długa na kilka stron [oraz zawiera około 300 pozycji – przyp. sekurak]. Zawarte na nich są adresy z terenu Gniezna, ale również wielu miejscowości z powiatu…
Czytaj dalej »
O problemie donosi sama firma, mająca w 2019 roku około 17 miliardów USD przychodu (dla porównania to 1/3 tego co Google): Cognizant can confirm that a security incident involving our internal systems, and causing service disruptions for some of our clients, is the result of a Maze ransomware attack Sprawa…
Czytaj dalej »
Takie tematy, łącznie z łamaniem na żywo zaprezentujemy na jednym z naszych kolejnych LIVE streamów. Będzie oczywiście w akcji hashcat działający na GPU ;-) Kiedy? 21.04.2020, 20:00. Zapisy poniżej: [wysija_form id=”25″] –ms
Czytaj dalej »
Na początek małe demko: Chcecie sami spróbować? Proszę bardzo: echo -e '#!/bin/sh\n\necho „Niszczenie hdd!”\nexit 0\n\033[2Aecho „Hej sekuraki !”\n’ > script.sh Jak czytać najbardziej newralgiczny moment? \033[2A ? Zobaczmy: \033 (ósemkowo) – to start ucieczki [ oznacza, że użyjemy „Control Sequence Introducer” 2A oznacza dwa razy „Cursor Up” (kod A) Jeśli…
Czytaj dalej »
Clearview AI to marzenie każdej ze służb. Wrzucasz zdjęcie dowolnej osoby, a dostajesz w wyniku inne zdjęcia badanego osobnika, które gdziekolwiek pokazały się w Internecie (wraz z informacją gdzie). Techcrunch tymczasem donosi o wycieku źródeł kilku aplikacji Clearview: cybersecurity firm SpiderSilk, found the repository storing Clearview’s source code. Although the repository was protected…
Czytaj dalej »
Dzisiaj (17.04, 20:00) zapraszamy na nasz około godzinny stream poświęcony SDR-owi (Software Defined Radio). Tym razem Piotr Rzeszut po krótkim, teoretycznym wprowadzeniu pokaże na żywo jak używać całości. Będziesz mieć pytania, nie wiesz jak zacząć? Będziesz mógł się dowiedzieć na chacie :) Zapraszamy, i zerkajcie również na nasze archiwalne filmy….
Czytaj dalej »
Vice donosi o dwóch 0-dayach na Zooma: jeden z nich to „przyjemny i czysty RCE” (Remote Code Execution) w zoomowej aplikacji na Windowsy. Druga podatność dotyczy klienta na MacOS (choć nie jest to RCE). Istnienie tych podatności, dziennikarz Vice potwierdził w trzech niezależnych źródłach, choć sceptycy powiedzą – pokażcie exploita…
Czytaj dalej »
Co dopiero pisaliśmy na gorąco o niedawnym wycieku danych z KSSiP. Obecnie mamy nieco więcej informacji. Sama Szkoła pisze: Prawdopodobne jest, że do wycieku danych osobowych doszło na skutek zaniedbania jednej (…) firm [zewnętrznych, obsługujących KSSiP – przyp. sekurak] To rzeczywiście dość częsty przypadek, kiedy atakowany jest dostawca. Cały czas mocno…
Czytaj dalej »
Co dokładnie zaatakował ransomware? Infrastrukturę IT jednego z dostawców tytułowych firm: Visser Precision. Tym razem FBI odradziło płacenia okupu: FBI has alerted all companies in this regard stating that paying the ransom is like encouraging cybercrime further. And moreover, it doesn’t guarantee a decryption key from hackers when the ransom is…
Czytaj dalej »
„Czysty” i bardzo często używany program, dostępny jest tutaj: https://www.e-pity.pl/ CERT Polska ostrzega jedna przed wariantem dostępnym pod taką domeną: epity2020[.]p[l]. Uwaga, CERT ostrzega, że samo wejście na tę stronę z systemu Android skutkuje próbą instalacji malware. Z kolei po pobraniu i uruchomieniu fałszywej aplikacji możemy spodziewać się na komputerze malware…
Czytaj dalej »
Ruszamy z kolejną edycją naszego remote Sekurak Hacking Party :) Zacznijmy od końca – jeśli ktoś nie brał udziału w poprzednich wydarzeniach (omawialiśmy tematy: najciekawsze błędy aplikacyjne z 2019 roku, Bezpieczeństwo API REST, XSS w Google, obejście CSP, błąd w Chrome, Podatność Race Condition, magiczne XSS-owe sztuczki) – to kupując bilet…
Czytaj dalej »
Taką luźną sugestię czy raczej pytanie zapodał dzisiaj na Twitterze @prywatnik. Na stronach rządowych w sekcji „Anti-Covid Offer by Polish Business” pojawił się interesujący produkt pod nazwą: Quarantine Warden by Comarch. W broszurze (lub w bardziej rozbudowanej prezentacji) czytamy: Gwarantuje ciągły monitoring użytkownika (!) „Guarantees continuous monitoring of the user” Posiada zabezpieczenie…
Czytaj dalej »
