Martin niezauważony wykradał dane przez 20 lat (!). Ex-pracownik NSA został aresztowany już pod koniec sierpnia, ale teraz mamy dostępnie publicznie pewne informacje. O temacie rozpisują się wszyscy. Od mainstreamu jak: Wall Street Journal / NY Times aż po bardziej techniczne serwisy jak: Arstechnica czy Engadget. Najciekawsze chyba wydaje się oficjalne pismo…
Czytaj dalej »
Ciekawy opis przełamania kilku zabezpieczeń w domenie slack.com (w tym możliwość resetu haseł innym użytkownikom). Najpierw prosta sprawa – udało się znaleźć dostęp do zabezpieczonego URL-a /server-status: wystarczyło użyć dodatkowych czterech slashy: http://…slack.com/////server-status Ciekawe, ale niewiele dało. Dalej autor odkrycia namierzył pewne URL-e w panelu administracyjnym (dostępnego dla pracowników Slacka) i…
Czytaj dalej »
Arstechnica donosi o aresztowaniu podejrzanego o udany atak na LinkedIN Rosjanina (wyciekło wtedy prawie 120 milionów rekordów). Aresztowanie odbyło się w Czechach. Jest też dostępny film z całej akcji – choć czytelnicy spodziewający się desantu z helikopterów, dziewczyn w bikini i policjantów ninja ;) raczej się zawiodą: O tym czy…
Czytaj dalej »
Cisco ogłosiło właśnie załatanie podatności klasy Buffer Overflow we flagowym produkcie ASA: Całość polega na wysłaniu odpowiednio spreparowanego pakietu NetBIOS: An attacker could exploit this vulnerability by sending a crafted NetBIOS packet in response to a NetBIOS probe sent by the ASA software. An exploit could allow the attacker to…
Czytaj dalej »
Dobra informacja, mamy wstępnie dograną salę i partnera we Wrocławiu. Sekurak Hacking Party planujemy na 13 stycznia 2017 (~18:00 – 20:30). Jeśli wstępnie chciałbyś się wybrać, wypełnij formularz: [wysija_form id=”7″] Uwaga – zapisy są wstępne (potrzebne do oszacowania wymagań pojemności sali). Finalne potwierdzenie zapisu zrobimy niedługo przed imprezą. Jak zwykle…
Czytaj dalej »
Pewnie spora liczba naszych czytelników jeszcze raczkowała, kiedy Mitnick był aresztowany za włamanie do Pentagonu: 1983.00.00 Mitnick arrested for gaining illegal access to the ARPAnet & Pentagon Sporo z Was zapewne pamięta też Czarnobyl…: 1986.00.00 Chaos Computer Club cracks German government computer that had info about Chernobyl A może trochę…
Czytaj dalej »
Na sekuraku mamy ponad 100 stron praktycznych poradników dotyczących analizy malware. Czytania na cały miesiąc :) Szybka analiza malware Analiza malware w praktyce – procedury i narzędzia Analiza malware w fałszywych fakturach od PGE Malware ukrywający się w Joomli – analiza przypadku Deobfuskacja JavaScript część pierwsza Deobfuskacja JavaScript – część druga….
Czytaj dalej »
Artykuły wiodące październikowego wydania „Linux Magazine” poświęcone są Raspberry Pi i opisują porównanie z alternatywnymi szybkimi i mocnymi płytkami Banana Pi M3 i LeMaker HiKey, samodzielną budowę optymalnego klastra HPC oraz czujnik temperatury i wilgotności z Arduino, Raspberry Pi i programem w Pythonie. Na dołączonym DVD znajduje się elastyczny i…
Czytaj dalej »
Audyt VeraCrypta wykonano, 8 błędów o krytyczności High znaleziono, nową wersję 1.19 wydano. Raport udostępniono. Świat uratowano, a tak naprawdę wykazano, że VeraCrypt posiada kilka błędów „odziedziczonych” z Truecrypta (+ kilka swoich własnych), choć żadna podatność nie wydaje się być łatwo wykorzystywalna. Z drugiej strony na audyt poświęcono raptem… 32…
Czytaj dalej »
Jeśli podoba się Wam idea całości (zobaczcie relacje z Wrocławia, Poznania, Krakowa, Sopotu, i ponownie Krakowa), może namówicie swoją firmę do wsparcia całego pomysłu? (kontakt: sekurak@sekurak.pl) Poniżej dwa możliwe pakiety wsparcia (z opisanymi benefitami dla wspierającego): Wsparcie standardowe: Dla wspierającego zapewniamy umieszczenie informacji (linkowana nazwa firmy) w następujących miejscach: Na stronie…
Czytaj dalej »
Zapraszamy na kolejne spotkanie dla administratorów sieciowych i systemowych – SysOps / DevOps Polska MeetUp, które odbędzie się w czwartek, 20 października o godz. 18:00 w sali konferencyjnej na 7. piętrze w budynku AVIVA (Gdański Business Center, budynek C, ul. Inflancka 4b), w Warszawie. Podczas najbliższego eventu będziemy mieli okazję…
Czytaj dalej »
Google wydało narzędzie o nazwie CSP Evaluator. Jak sama nazwa wskazuje służy ono do oceny przyjętej polityki CSP (Content Security Policy). Pozwala na wskazanie błędnych konfiguracji oraz stwierdzenie, czy przyjęte reguły są w stanie powstrzymać ataki XSS, Clickjacking i inne złośliwe skrypty. Aktualnie XSS jest najczęściej wybieranym wektorem ataku na…
Czytaj dalej »
Bsides@Warszawa już lada moment. Termin wprawdzie nieco kolidujący z naszym hacking party, ale na obu imprezach naprawdę tłoczno! Informacja od organizatorów: Security BSides Warsaw to najdziwniejsza konferencja z dziedziny IT Security, która do Polski zawitała po raz 5. Przygotowana przez znajomych z irca przy wsparciu ludzi dobrej woli, pod patronatem Fundacji Bezpieczna Cyberprzestrzeń….
Czytaj dalej »
Atak na Krebsa, wyciek źródeł botnetu Mirai i następnie jego analiza, pojawienie się konkurentów aż wreszcie po ataki odpalane ze świata IoT, a obserwowane przez firmy oferujące ochronę anty DDoS. Pewną nowością w „ataku maszyn” jest intensywne wykorzystanie warstwy aplikacyjnej – kto z Was wytrzyma ruch HTTP o prędkości prawie…
Czytaj dalej »
Draft dokumentu o modelowaniu zagrożeń dla szeroko rozumianej infrastruktury mobilnej (zarówno urządzenia końcowe jak i infrastruktura): Można zgłaszać jeszcze swoje pomysły, uwagi na rozbudowę dokumentu. –ms
Czytaj dalej »
