Mamy cały czas trwający konkurs na najciekawsze zdjęcie naszej książki o bezpieczeństwie aplikacji www (zdjęcia można przesyłać aż do 20.01.2020 r.) Jeśli ktoś z kolei chciałby wygrać naszą książkę, jest zaproszony do udziału w CTF-ie: https://hackuj.ksiazka.sekurak.pl/ 10 osób, które jako pierwsze prześlą poprawne cztery flagi otrzymają po jednej książce sekuraka, kolejne pięć:…
Czytaj dalej »
5 lat więzienia wydaje się być dość łagodną karą, choć skazany Litwin – Evaldas Rimasauskas – mocno współpracował z organami ścigania. Przypomnijmy – w 2017 roku namierzono człowieka, który wykonał bezczelny phishing na Google oraz Facebooka. Podszywał się pod dostawców sprzętu IT, a schemat działa był dość prosty – rejestrował…
Czytaj dalej »
Czasem prosta metoda daje dość spektakularne wyniki. Tak i było w tym przypadku. Najpierw badacz próbował założyć konta z nietypowymi znakami w loginie (np. %00) – zakładając że może założy się admin%00, ale np. w trakcie umieszczania w bazie stosownego rekordu, feralne znaki zostaną jednak usunięte. Nic z tego, jednak…
Czytaj dalej »
Niedawno Kościerzyna, czy urząd gminy w Lututowie. Co dopiero z kolei ransomwarem „oberwała” klinika budzik. Wg doniesień zaczęło się względnie klasycznie – maile phishingowe nakłaniające do wejścia na konkretną stronę czy otworzenia załączonego dokumentu. Później szyfrowanie danych i żądanie okupu: Tydzień później doszło do ataku. Cały system informatyczny kliniki został zablokowany,…
Czytaj dalej »
Ciekawy przykład, który w zasadzie może wystąpić w każdej aplikacji webowej. Otóż przy próbie resetu hasła, GitHub podany adres mailowy najpierw robił lowercase, a później porównywał z tym w bazie. W czym problem? W Unicode. Przykład? Czyli jeśli założyłem sobie maila z np. tureckim i w nazwie, toLowerCase() normalizował to do zwykłego 'i’….
Czytaj dalej »
Horror trwał dość długo. Zaczęło się 28.11.2019 kiedy do urzędu Gminy Kościerzyna „wkroczył” ransomware. Została ogłoszona „awaria”, przez którą została sparaliżowana znaczna część systemu IT urzędu. Niestety kiepsko szło z odzyskiwaniem danych z backupu, nie było też decryptora: W odpowiedzi na zgłoszenie, CSIRT NASK poinformował wójta, że urząd padł ofiarą…
Czytaj dalej »
TLDR: iPhone + iTunes + windowsowe linki = eskalacja uprawnień do admina (obecnie brak łaty). Cała analiza dostępna jest tutaj. Najważniejsze elementy, iTunes tworzy taki oto katalog: c:\programdata\apple\lockdown . Po wpięciu telefonu do komputera, tworzony jest tu pewien plik: Po odłączeniu telefonu i ponownym podłączeniu znowu mamy ten plik ale tym…
Czytaj dalej »
Chodzi o pienią^H^H^H^H^H^H prawa autorskie. Firma stojąca za serwisem rambler.ru (jest on w ~300 najczęściej odwiedzanych serwisach na całym świecie) twierdzi, że Igor Sysoev pisał NGINX-a będąc zatrudnionym w niej jako admin. Zatem NGINX należy de facto do ramblera. Sprawa jest o tyle skomplikowana, że najpopularniejszy web serwer w Internecie, jest dostępny…
Czytaj dalej »
O tym jeszcze gorącym fakcie doniósł dr Maciej Kawecki. W całej sprawie chodzi o spółkę Bisnode i pierwszą w Polsce karę „z RODO”, która sięgnęła niemal miliona złotych. W tym przypadku firma zbierała dane z publicznie dostępnych źródeł (np. CEIDG) i wykorzystywała je w celach zarobkowych (nie informując jednocześnie przedsiębiorców…
Czytaj dalej »
![Plundervolt – nowa, niebezpieczna podatność w procesorach Intela. Programowo modyfikując napięcia można dostać się do sekretów [SGX]](https://sekurak.pl/wp-content/uploads/2019/12/sgxatak-150x150.png "Plundervolt – nowa, niebezpieczna podatność w procesorach Intela. Programowo modyfikując napięcia można dostać się do sekretów [SGX]")
Autorzy badania piszą tak: Modern processors are being pushed to perform faster than ever before – and with this comes increases in heat and power consumption. To manage this, many chip manufacturers allow frequency and voltage to be adjusted as and when needed. But more than that, they offer the…
Czytaj dalej »
Poza coraz agresywniejszym blokowaniem wszelakiej maści trackerów skutkującym m.in. takimi komunikatami: Firefox z wersji na wersję stara się zyskać zaufanie użytkowników kolejnymi ciekawostkami ze świata prywatności. Tym razem padło na FPN (Firefox Private Network) – czyli VPN wbudowany w przeglądarkę (na razie w formie rozszerzenia). Całość bazuje na lekkim i bezpiecznym…
Czytaj dalej »
Całkiem spora część z Was odebrała już naszą książkę, inni denerwują się że jeszcze jej nie otrzymali. Stąd dwa słowa aktualizacji / status update. Wysyłkę rozpoczęliśmy na początek grudnia (a dokładniej na sam początek – 3 grudnia :). Hurtową wysyłkę rozpoczęliśmy piątego grudnia. Cały czas ją kontynuujemy a przekazanie do…
Czytaj dalej »
Przecież to oczywiste / łoo, przecież Apple miał oferować 100% prywatności – wśród naszych czytelników można zapewne znaleźć fanów i jednego i drugiego podejścia do rzeczywistości ;) W każdym razie okazało się że Apple średnio respektuje ustawienia geolokalizacji na najnowszych iPhoneach 11 i w pewnych sytuacjach i tak wysyła „do chmury”…
Czytaj dalej »
Maksim Yakubets podejrzany jest o kierowanie „Evil Corp” (czy ktoś oglądał ostatnio Mr Robot?!). Jeśli ktoś zna Zeusa, Dridex czy Bugata – to właśnie produkty/malware ze stajni „Evil Corp”. Obecnie oferuje się nagrodę w wysokości $5 000 000 za wskazanie informacji prowadzących do aresztowania Maksima Jakubetsa. $100 000 000 szacowanych strat (głównie wynikających…
Czytaj dalej »
Cała akcja miała miejsce w rosyjskim lesie. Obywatel Wspólnoty Niepodległych Państw, w celu uwiarygodnienia rzeczywistej pomocy w dotarciu czterem osobom do Unii Europejskiej (do Finlandii), zbudował fałszywą granicę. Chyba dla dodania pewnej nuty dramatyzmu, wyprawa na „granicę” odbywała się samochodem, pieszo, a w pewnym momencie emigranci mieli nieść nawet ponton…
Czytaj dalej »
