W biegu

Kilka dość wymownych cytatów sprzed chwili: Visa’s payment network has crashed across the UK and Europe, sparking chaos as transactions are failing or being denied. More than 10 (transactions) have failed. One lady had to call her bank and was quite upset, but most people have a MasterCard as well or…

Jako patron medialny zapraszamy Was na dwa ciekawe wydarzenia: https://techrisk.pl/ (Wrocław) oraz https://cybergov.pl/  (Warszawa). Czy są to wydarzenia dla Was? Aby odpowiedzieć na to pytanie polecam zerknąć na listę prelegentów tutaj i tutaj. Szczególnie warto pospieszyć się z zapisami na CyberGov (to już 7 czerwca). Organizatorzy o całym wydarzeniu piszą tak: Konferencja CyberGOV…

Dla pewności – mamy do rozdania 1 (jedno) bezpłatne miejsce na krakowskiej konferencji Confidence. Jak je zdobyć? Prześlijcie ciekawe Wasze zdjęcie w koszulce sekuraka na sekurak@sekurak.pl – my wybierzemy zwycięzcę (do ~południa w piątek 1.06). Jako nagrody pocieszenia mamy pięć piętnastodniowych dostępów do rozwal.to Do zobaczenia na miejscu :-) –ms

Pierwsza informacja pojawiła się tutaj i tutaj. W największym skrócie – można przygotować tak repozytorium, że po wykonaniu git clone, wykona się u nas złośliwy kod (zawarty przez atakującego w samym repozytorium): The solution to this problem is quite simple and effective: submodule’s folder names are now examined more closely by Git…

send.firefox.com – działa w „każdej nowoczesnej przeglądarce” i nie wymaga pluginów. Mamy możliwość uploadu pliku do jednorazowej wielkości do 1 GB, plik przed wysłaniem jest szyfrowany (można podać swoje hasło) i dostajemy linka do downloadu, który jest ważny do: Pierwszego (drugiego, trzeciego, czwartego, piątego – maksymalnie można ustawić dwudziestego) pobrania lub…

A to wszystko na tegorocznym stoisku Sekuraka na Confidence (z kodem MP_sekurak20 macie 20% zniżki). W sumie będziemy mieć aż 9 prezentacji (dwie na głównej ścieżce, pięć w community corner i dwie na specjalnym edukacyjnym evencie dla licealistów.  Jak widzicie – zarażamy bezpieczeństwem wszystkich ;-). Na pewno rezerwujcie czas na prezentację Michała…

Tym razem mamy kolejną edycję małego koszmaru z frameworkiem electronjs, wykorzystywanym do budowy aplikacji desktopowych (ze znanych appek – mamy tu Skype czy desktopowy klient Slacka). Jak działa Electron? W skrócie to paczka HTML-a / JavaScriptu z dołożonym Chromium + nodejs w backendzie: Electron based applications are basically bunch of…

Zestaw dostępny do pobrania jest tutaj. Część starsza, część nowsza. Testowanie bezpieczeństwa WiFi, PKI, przeglądy bezpieczeństwa infrastruktury, zabezpieczanie domowego komputera, przegląd po popularnych technologiach VPN-owych, … W każdym razie dobry materiał na uporządkowanie, uzupełnienie swojej wiedzy :) –ms

W ostatni piątek mieliśmy pierwsze hacking party w Warszawie, około 300 osób, świetna atmosfera i miejmy nadzieję poruszające prezentacje ;) Wyglądało to mniej więcej tak: Opowiadaliśmy trochę o bezpieczeństwie API, pokazywaliśmy hackowanie kamery, wprowadzaliśmy w tajniki XSS na przykładach prostych i bardziej złożonych :-) Jeśli ktoś był – dajcie znać…

Na wielu modelach Draytek-a można uzyskać bez uwierzytelnienia dostęp administracyjny. Producent dopiero pracuje nad nowym firmware łatającym problem, a podatność jest aktywnie wykorzystywana (zmiana serwera DNS na złośliwy i w ten sposób atak na użytkowników korzystających z routera). Prawdopodobnie atak wykorzystuje lukę w panelu webowym (producent jako chwilowe rozwiązanie problemu…

Brian Krebs donosi o podatności w API firmy LocationSmart:  it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…

Senat RP przyjął bez dodatkowych poprawek nową Ustawę o ochronie danych osobowych. Ustawa zostanie skierowana teraz do podpisu przez Prezydenta RP. Jeżeli Prezydent podpiszę ustawę, będzie ona musiała być opublikowana w Dzienniku Ustaw, a następnie po okresie „vacatio legis” (którego podstawowa minimalna długość w naszym porządku prawnym wynosi 14-dni https://pl.wikipedia.org/wiki/Vacatio_legis ) będzie…

O szyfrowaniu poczty w Thunderbird pisaliśmy już dawno temu. Ostatnio z kolei pojawiły się istotne problemy bezpieczeństwa we wtyczkach do różnych klientów pocztowych. Chyba najbardziej znany plugin do szyfrowania GPG w Thunderbird – Enigmail – wydał aktualizację, która (a może i poprzednie?) działa w dość nietypowy sposób. Piszesz maila, w…

W skrócie chodzi o serwis https://gotcha.pw/ będący pewnego rodzaju konkurencją do https://haveibeenpwned.com/ Możemy też wyszukać konta, których dane wyciekły z danej domeny – zapytanie do wyszukiwarki: @domena Na wyniku dostaniemy również częściowo zamaskowane adresy email: –ms    

RedHat załatał właśnie krytyczną podatność umożliwiającą wstrzyknięcie dowolnego polecenia (jako root) z pozycji podstawionego serwera DHCP. Można też po prostu być w sieci i opowiedzieć szybko na wysłane wcześniej zapytanie DHCP (takie możliwości daje choćby ettercap czy bettercap). Jeden z badaczy przygotował PoC-a (a raczej juz działający exploit), który… zmieścił…