W biegu

Niedawno uruchomiliśmy nasz kanał na YouTubie (sekurak.tv), gdzie jest cały czas dostępnych kilka świeżych materiałów. Co więcej – kolejne nasze LIVE streamy będą archiwizowane właśnie tam. Jak nie przegapić kolejnych wydarzeń? W tym miejscu będziemy na bieżąco aktualizować  informację o nadchodzących wydarzeniach. Co z tym hackowaniem Windows? Grzesiek Tworek (m.in….

Microsoft ostrzega o dość niesympatycznym błędzie. Wystarczy pod Windowsem otworzyć odpowiednio spreparowany dokument (zapewne ze „złośliwym” fontem w środku) aby napastnik wykonał kod w OS (z uprawnieniami SYSTEM). Co więcej błąd jest wykorzystywany obecnie w atakach celowanych: Microsoft has become aware of limited targeted Windows 7 based attacks that could…

OpenWRT to popularne otwartoźródłowe oprogramowanie, używane często w miejsce oryginalnego oprogramowania na routerach różnych producentów. Wczoraj Guido Vranken opublikował opis błędu, który zidentyfikował w procesie instalacji oprogramowania, który może skutkować możliwością wykonania dowolnego kodu po stronie urządzenia (CVE-2020-7982). Praktyczny atak będzie jednak wymagał wcześniejszego przeprowadzenia Man-in-the-middle co nieco zmniejsza krytyczność…

Wczoraj poprowadziłem na YouTube stream na temat rozpoczęcia przygody z bezpieczeństwem IT. Nagranie ze streamu jest już dostępne. W trakcie streamu tworzyłem na bieżąco mapę myśli z różnymi możliwymi ścieżkami w bezpieczeństwie IT, którą załączam poniżej. Jeśli macie jakieś dodatkowe pytania lub uwagi dotyczące tematyki ze streamu, piszcie komentarze :)…

Kontynuujemy nasze streamy na żywo w ramach kanału sekurak.tv (dostępne są tutaj nasze dwa ostatnie filmy). Dzisiaj (23. marca) o 19:00 Michał Bentkowski opowie jak od zera wdrożyć się w ciekawy świat bezpieczeństwa IT. Jeśli macie jakieś pytania do Michała, możecie zadać je tutaj lub na chacie podczas transmisji :-) Do…

Dzisiaj w serii #vulnz, ciekawy błąd (CVE-2020-10558) znaleziony ostatnio przez @Nuzzl2 w samochodzie Tesla Model 3. Krótko mówiąc: z poziomu ekranu w samochodzie można uruchomić przeglądarkę webową, którą podatna jest błąd typu DoS. W wyniku przejścia na specjalnie spreparowaną stronę internetową, możliwe było całkowite zajęcie zasobów procesora, w wyniku czego zablokowane były wszystkie…

Coż, scamów związanych z obecną pandemią będzie zapewne wiele, a tymczasem mamy ponoć pierwszy przykład sprawnego działania wymiaru sprawiedliwości w USA (w temacie COVID-19). Dzisiaj (w niedzielę) sąd wydał stosowną decyzję, więc serwis ten zapewne za moment przestanie działać (niektórzy mogą więc teraz pomyśleć, że tytuł jest nieco na wyrost…

Niedawno w Internecie zaczęła krążyć informacja o tym, że francuska policja analizuje mapy – np. takie które można udostępnić z aplikacji Strava – a następnie wystawia mandaty. Wszystko w związku z mocnym ograniczeniem wychodzenia na zewnątrz przez obywateli (są jednak tutaj wyjątki). Materiałem źródłowym był m.in. ten twit, a powyższe zdjęcie…

Taką ciekawostkę przekazuje Brian Krebs przy okazji doniesień o ransomware w fintechu Finastra (dostarcza rozwiązań do prawie wszystkich 50 największych banków globalnie). W każdym razie, wracając do sedna – niektórzy wydali tego typu oświadczenia: nie atakujemy (na razie) jednostek służby zdrowia (co nie w obecnych czasach nie jest takie oczywiste :/),…

Dzisiaj w serii #vulnz: bruteforce hasła to jeden z najprostszych ataków, jakie można przeprowadzać na aplikacje webowe, a zarazem nadal zadziwiająco skuteczny. Polega w największym skrócie na tym, że dla zadanej nazwy użytkownika próbujemy masowo zgadywać jego hasło. Przykładowo, jeśli strzelimy, że nazwą użytkownika jest admin, możemy następnie próbować zgadywać…

Baza została zebrana przez jedną z brytyjskich firm związanych z bezpieczeństwem. Z jednej strony nie ma tam nic nowego – to po prostu przeszło 5 miliardów wyciekniętych rekordów na przestrzeni ostatnich 5 lat (prawdopodobnie wszystkie wycieki są „znane”). Mamy tu e-maile, hasła (czasem plaintext, czasem hashe), jest też podane źródło…

Na sekuraku staram się znacznie ograniczać rozmaite off-topiki, które nie są związane z bezpieczeństwem IT. Ale tym razem sytuacja jest wyjątkowa. COVID-19. Osobiście zawsze podziwiałem ludzi pracujących w służbie zdrowia. Często jest to ciężka praca, z narażeniem swojego zdrowia (i swojej rodziny), często również z niedostatkami sprzętowymi. Obecnie można to…

W dobie paniki oraz astronomicznych cen masek ochronnych przestępcy wymyślają coraz nowsze akcje. Dość nietypową sytuację w Warszawie opisuje Onet. Zapukali do drzwi, przedstawili się jako policjant i inspektor sanepidu i poprosili o wydanie zapasu maseczek ochronnych, w związku z ich brakiem w szpitalach. Byli też w innych gabinetach stomatologicznych. (…) Miało…

Pełne entuzjazmu zdjęcie podróżującej po Europie ekipy pana McAffego poniżej. A za wskazanie dokładnej lokalizacji, gdzie było ono zrobione można było uzyskać satysfakcję :-) McAfee w ramach podpowiedzi do tego nietypowego konkursu podrzucił na Twitterze małego hinta: zdjęcie jest robione w trakcie powrotu do Londynu. Co można wywnioskować z fotki…

W dzisiejszym odcinku z serii #vulnz omówimy ciekawy błąd znaleziony przez @xdavidhu (David Schütz) w pewnym wyrażeniu regularnym, które weryfikowało poprawność nazwy domeny w wielu usługach Google. Wszystko zaczęło się od tego, że David natrafił na stronę pod następującym adresem URL: https://console.developers.google.com/henhouse/?pb=[„hh-0″,”gmail”,null,[],”https://developers.google.com”,null,[],null,”Create API key”,0,null,[],false,false,null,null,null,null,false,null,false,false,null,null,null,null,null,”Quickstart”,true,”Quickstart”,null,null,false] Dalej będziemy tę stronę nazywać henhouse (jak…