ZDNet donosi o nietypowym incydencie: Earlier this week, traffic meant for more than 200 of the world’s largest content delivery networks (CDNs) and cloud hosting providers was suspiciously redirected through Rostelecom, Russia’s state-owned telecommunications provider. Impacted companies are a who’s who in the cloud and CDN market, including big names…
Czytaj dalej »
Kilka dni temu ujawniony został ciekawy błąd zidentyfikowany w Slacku, który pozwolił na dostęp do wewnętrznych serwisów przez serwer TURN. Błąd został wyceniony na 3500 dolarów. W praktyce został wykorzystany m.in. do: Podłączenia się do serwisów z metadanymi z chmury Amazona (stamtąd można wyciągnąć tokeny IAM (Identity and Access Management),…
Czytaj dalej »
Dzisiaj (8.04.2020, start 20:00) na sekurak.tv Krzysiek Bierówka pokaże jak w łatwy sposób, od zera skonfigurować OpenVPN. Będzie też trochę informacji o bezpieczeństwie całego rozwiązania (pomijanych często w różnych tutorialach), nie zabraknie też choćby informacji jak skonfigurować 2FA. A to wszystko w kontekście pracy zdalnej :-) –ms
Czytaj dalej »
Z tym brakiem Internetu to pewna manipulacja ;) choć często nie mamy pełnego dostępu do Internetu, ale działa usługa DNS. Co wtedy? Zobaczcie na ten projekt, który zapewnia uproszczony dostęp do Wikipedii poprzez zapytania DNS. Praktyczny przykład działania? Bardzo proszę: –ms
Czytaj dalej »
Nie wiem czy wiecie, ale OpenPGP to najprawdopodobniej najpopularniejszy na świecie system szyfrowania poczty end2end. Twórcy piszą zwięźle OpenPGP is the most widely used email encryption standard. Z kolei popularna implementacja GPG dla Windowsów otrzymała niedawno zgodę na szyfrowanie komunikacji do poziomów EU-RESTRICTED i NATO-RESTRICTED. Z kolei np. Thunderbird ma…
Czytaj dalej »
Na najbliższym zdalnym remote Sekurak Hacking Party (7.04.2020, 20:00 – jeśli nie masz akurat wtedy czasu – całość będzie nagrywana) mamy trzy prezentacje (pełna agenda tutaj): 1. Bezpieczeństwo API REST – ciekawe przypadki. Michał Sajdak, 45 minut. 2. Podatność Race Condition w aplikacjach webowych – Robert Kruczek – 15 minut 3. Tytuł:…
Czytaj dalej »
Dzisiaj (6.04.2020) o 20:00 zapraszamy na kolejny otwarty live stream. Po raz kolejny Grzegorz Tworek pokaże co nieco o hackowaniu Windowsa. Stream jest już zaplanowany: https://youtu.be/U_MG3W_v43k Jeśli z kolei nie chcecie przegapić naszych kolejnych wydarzeń, zerkajcie na bieżąco tutaj: sekurak.pl/tv/ Jutro (7.04) działamy ze streamem o praktycznym szyfrowaniu poczty (19:00),…
Czytaj dalej »
The Washington Post donosi: Kilka dni po ostrzeżeniu od FBI o “przechwytywaniu” on-lineowych klas i telekonferencji, nowojorski departament edukacji (odpowiada za działanie największego dystryktu szkolnego w kraju) stwierdził, że nauczyciele nie powinni używać więcej Zooma i zaproponował przejście na Microsoft Teams. Days after the FBI issued a warning to the…
Czytaj dalej »
Pamiętacie o podatności we WhatsAppie, na którą został przygotowany exploit w Pegasusie? Po wyjściu na świat tematu, Facebook wytoczył firmie NSO (tworzącej Pegasusa) pozew sądowy. Obecnie jednak okazuje się, że w 2017 roku Facebook zgłosił się do NSO żeby zakupić pewien fragment Pegasusa. Po co? Żeby lepiej “monitorować” użytkowników iPhoneów…
Czytaj dalej »
![Rzeczpospolita: w ramach tarczy kryzysowej poczta ma otwierać (niektóre) koperty zawierające wrażliwą korespondencję. [update: MC dementuje (mają być otwierane za zgodą adresata)]](https://sekurak.pl/wp-content/uploads/2020/04/Zrzut-ekranu-2020-04-5-o-12.49.24-150x150.png "Rzeczpospolita: w ramach tarczy kryzysowej poczta ma otwierać (niektóre) koperty zawierające wrażliwą korespondencję. [update: MC dementuje (mają być otwierane za zgodą adresata)]")
W tarczy antykryzysowej zmiana prawa pocztowego? Czemu nie? ;-( Otóż “Rzeczpospolita” donosi: Z projektu wynika, że rząd na dużą skalę chce upowszechnić tzw. przesyłki hybrydowe. W skrócie oznacza to, że Poczta Polska będzie masowo otwierać koperty, a następnie przesyłki skanować i dostarczać je elektronicznie. Przepis ma dotyczyć obecnie listów wysyłanych:…
Czytaj dalej »
Coż, domyślne “szyfrowanie” w archiwach zip nie jest zbyt mocne. Przypomina o tym ta historia, opowiedziana przez Michaela Staya. Otóż pewnego dnia zgłosił się do niego Rosjanin z pytaniem o możliwość złamania pewnego zahasłowanego zipa. Michael podrapał się po głowie, przypomniał sobie o własnej pracy sprzed 19 lat, wziął kalkulator w dłonie,…
Czytaj dalej »
Dane dostępne są na tej stronie i dostępne do pobrania w PDF (po wyborze konkretnego kraju, który nas interesuje – np. Polska). W środku znajdziemy różne kategorie – np. parki, sklepy spożywcze, miejsca pracy, stacje transportu publicznego, itp: Dane są opóźnione o parę dni w stosunku do dnia dzisiejszego i pokazują…
Czytaj dalej »
Już dziś zaczyna się HackYeah, w ramach którego Michał Bentkowski poprowadzi webinar na temat atrybutu SameSite w ciasteczkach. Dowiemy się, czym ten atrybut jest, przed jakimi atakami chroni i jak powinno się go używać. Webinar zaczyna się w sobotę (4 kwietnia) o 16:00 i potrwa ok. 45 minut. Materiał będzie…
Czytaj dalej »
Jak szybko zarobić 75 000 dolarów? Wystarczy znaleźć błąd pozwalający na nieautoryzowany dostęp do kamerki w Safari (zarówno na macOS, jak i iOS)! A właściwie nie jeden błąd, a serię siedmiu błędów, takich jak znalazł Ryan Pickren podczas analizy bezpieczeństwa modelu uprawnień do kamery. Trzy z tych błędów były potrzebne…
Czytaj dalej »
Wielu z Was regularnie już ogląda materiały na sekurak.tv – bieżący harmonogram wydarzeń możecie zobaczyć tutaj. Dzisiaj (1.04.2020) wieczorem (20:00) Grzesiek Wypych na żywo zaprezentuje ciekawego buga (CVE-2019-7406): możliwość wykonania poleceń w OS jako root na wybranych modelach urządzeń TP-linka. Podatność nie wymaga wcześniejszego uwierzytelnienia. Bezpośredni link do streama tutaj. Na…
Czytaj dalej »
