W skrócie, zobaczcie na to szkolenie wprowadzające do tematyki bezpieczeństwa IT (2 dni, praktyczne pokazy). Na najbliższą edycję w tym roku (Warszawa,10-11.06.2019) możecie się zapisać korzystając aż z 50% rabatu (cena to 999 PLN netto), jeśli spełnicie dowolny z trzech warunków poniżej: Skondensowane informacje o szkoleniu można znaleźć tutaj (ulotka…
Czytaj dalej »
O problemie pisaliśmy niedawno – w skrócie, bez uwierzytelnienia można wykonać kod w systemie operacyjnym (uprawnienia SYSTEM) poprzez odpowiednio złośliwą komunikację RDP. Od tego czasu mamy skaner wykrywający podatność (rdpscan), dość szczegółową analizę podatności, a także około miliona maszyn dostępnych bezpośrednio z Internetu, które nie są załatane. Lepiej się pospieszcie z…
Czytaj dalej »
Uruchomiliśmy nowe 1-dniowe szkolenie: Praktyczne wprowadzenie do SDR (Software Defined Radio). Temat podjęliśmy bardziej hobbystycznie (dla naszej wewnętrznej ekipy), więc liczba miejsc jest ograniczona. Szkolenie robimy w dość kameralnych grupach – 10-12 osób. Agenda: Transmisja radiowa – teoria (prezentacja – wykład) Czym w ogóle jest radio: fale elektromagnetyczne Pierwsze radio –…
Czytaj dalej »
Pierwsza podatność wygląda mało zabawnie – zmiana haseł innym użytkownikom…: An Improper Authorization vulnerability in the SSL VPN web portal may allow an unauthenticated attacker to change the password of an SSL VPN web portal user via specially crafted HTTP requests. Podatne systemy: FortiOS 6.0.0 to 6.0.4 FortiOS 5.6.0 to…
Czytaj dalej »
130-letni gigant – First American Financial Corp.- (18 000 pracowników) działający w obszarze nieruchomości, miał gigantyczną podatność. Zmieniając numer ID w pewnym linku, można było uzyskać dostęp do poufnych dokumentów: The digitized records — including bank account numbers and statements, mortgage and tax records, Social Security numbers, wire transaction receipts, and…
Czytaj dalej »
To zapis jednego z wykładów które prowadziłem niedawno: Jeśli ktoś potrzebuje się z kolei dowiedzieć więcej (w tematach związanych z bezpieczeństwem API) – zapraszam na moje szkolenie: bezpieczeństwo API REST. –ms
Czytaj dalej »
Rejestracja tutaj, z kodem MP_SEKURAK otrzymujecie -20%. Uwaga: do poniedziałku (29.05) obowiązuje jeszcze niższa cena biletów. Agenda wydarzenia dostępna jest tutaj. Z ekipy Sekuraka / Securitum będziemy mieć kilka prezentacji: dwa na głównym tracku – będzie można zobaczyć tutaj m.in. bezprzewodowy atak na popularny presenter Logitecha (można bezprzewodowo wstrzyknąć dowolne klawisze na…
Czytaj dalej »
Wcześniej nieoficjalnie były dostępne wersje testowe, teraz oficjalnie dostępna jest wersja stabilna: Tor Browser 8.5 is the first stable release for Android. Since we released the first alpha version in September, we’ve been hard at work making sure we can provide the protections users are already enjoying on desktop to the…
Czytaj dalej »
Jeśli ktoś korzysta z szyfrowanej poczty (GPG/PGP) w Thunderbirdzie, jest bardzo duża szansa że używa wtyczki Enigmail. Właśnie został w niej załatany bug, który umożliwiał wysłanie maila i podszycie się w zasadzie pod dowolną osobę (sfałszowanie informacji o prawdziwym podpisie). Jako PoC został przygotowany mail pokazujący prawidłowy podpis od Filipa Zimmermann-a,…
Czytaj dalej »
Ministerstwo ostrzega przez mailami phishingowymi grożącymi kontrolą skarbową: Zobaczcie że mail wygląda, jak gdyby był wysłany z prawidłowej domeny (kas.gov.pl), choć odpowiednie wpisy, które znajdują się w SPF, powinny spowodować że wiadomość wyląduje w spamie. Odnośnie samego wspomnianego pisma UAC 73, widać, że autorem phishingu jest chyba ktoś o korzeniach…
Czytaj dalej »
Exploit jest ponoć bardzo skuteczny: I can confirm that this works as-is on a fully patched (May 2019) Windows 10 x86 system. A file that is formerly under full control by only SYSTEM and TrustedInstaller is now under full control by a limited Windows user. Podatność jest względnie prosta –…
Czytaj dalej »
Najpierw Facebook, teraz Google. Problem dotyczy użytkowników komercyjnych kont GSuite: (…) We made an error when implementing this functionality back in 2005: The admin console stored a copy of the unhashed password. This practice did not live up to our standards. To be clear, these passwords remained in our secure…
Czytaj dalej »
Gra Squally z dostępna jest na Steamie. Twórcy reklamują swoje dzieło tak: Squally is a 2D puzzle RPG game where you hack to progress — WITHOUT boring lessons, lectures, nor the need for prior experience. Instead, Squally teaches hacking through fun engaging puzzles where learning is a by-product. Opinie są…
Czytaj dalej »
Ransomware o dość ciekawej nazwie: RobbinHood uderzył na Baltimore 7 maja tego roku. Efekt? 10 000 przejętych rządowych komputerów i żądanie okupu w wysokości 13 BTC. Do tej pory okup nie został zapłacony, czego efektem jest m.in. brak możliwości płatności online za wodę czy opłacanie podatków od nieruchomości: city employees…
Czytaj dalej »
Wprawdzie Mozilla na pierwszym miejscu podkreśla wzrost wydajności w nowej wersji przeglądarki. My z kolei zwracamy uwagę na dostępne opcje blokowania nieprzyjaznych prywatności elementów: Domyślnie wiele opcji jest wyłączonych, ale wystarczy w ustawieniach wybrać opcję Content Blocking na Custom i otrzymujemy miłe naszym oczom opcje: blokowanie trackerów, ciasteczek, skryptów kopiących…
Czytaj dalej »
