Informacje tutaj zebrane pochodzą z kanałów RSS wielu stron o tematyce IT security. Dzięki tej metodzie możliwe jest sprawdzanie na bieżąco w jednym miejscu, czy na interesujących nas stronach pojawiły się nowe artykuły. Kanał Really Simple Syndication (RSS) jest automatycznie aktualizowany, w chwili  gdy na obserwowanej stronie pojawi się nowy artykuł.

sekurak.pl

Bezpieczeństwo JWT (JSON Web Token) – 30 minutowa prezentacja

To zapis jednego z wykładów które prowadziłem niedawno: Jeśli ktoś potrzebuje się z kolei dowiedzieć więcej (w tematach związanych z bezpieczeństwem API) – zapraszam na moje szkolenie: bezpieczeństwo API REST. –ms Artykuł Bezpieczeństwo JWT (JSON Web Token) – 30 minutowa prezentacja pochodzi z...

24.Maj.2019


Zapraszamy na tegoroczny Confidence – czeka na Was aż sześć naszych prezentacji!

Rejestracja tutaj, z kodem MP_SEKURAK otrzymujecie -20%. Uwaga: do poniedziałku (29.05) obowiązuje jeszcze niższa cena biletów. Agenda wydarzenia dostępna jest tutaj. Z ekipy Sekuraka / Securitum będziemy mieć kilka prezentacji: dwa na głównym tracku – będzie można zobaczyć tutaj m.in....

24.Maj.2019


Szyfrujesz ZIP-y? Można do 15 godzin odzyskać każde hasło do 15 znaków (przy pewnych założeniach)

Ostatnio ciekawą informację przekazał twórca hashcata: Support for PKZIP Master Key added to with an insane guessing rate of 22.7 ZettaHash/s on a single RTX 2080Ti. All passwords up to length 15 in less than 15 hours with only 4 GPUs! Czym jest PKZIP? Jest to pierwszy program, który...

24.Maj.2019


Tor Browser na Androida dostępny w Google Play

Wcześniej nieoficjalnie były dostępne wersje testowe, teraz oficjalnie dostępna jest wersja stabilna: Tor Browser 8.5 is the first stable release for Android. Since we released the first alpha version in September, we’ve been hard at work making sure we can provide the protections users are...

23.Maj.2019


Można podrabiać podpis cyfrowy w mailach w Thunderbird (podatność w Enigmail)

Jeśli ktoś korzysta z szyfrowanej poczty (GPG/PGP) w Thunderbirdzie, jest bardzo duża szansa że używa wtyczki Enigmail. Właśnie został w niej załatany bug, który umożliwiał wysłanie maila i podszycie się w zasadzie pod dowolną osobę (sfałszowanie informacji o prawdziwym podpisie). Jako PoC...

23.Maj.2019


Uwaga: kontrola skarbowa. A nie, to phishing. Uważajcie.

Ministerstwo ostrzega przez mailami phishingowymi grożącymi kontrolą skarbową: Zobaczcie że mail wygląda, jak gdyby był wysłany z prawidłowej domeny (kas.gov.pl), choć odpowiednie wpisy, które znajdują się w SPF, powinny spowodować że wiadomość wyląduje w spamie. Odnośnie samego wspomnianego...

23.Maj.2019


CERT Polska

Ciekawe techniki wyłudzania danych w sieci

W ostatnim czasie zespół CERT Polska zaobserwował pojawienie się witryny hxxps://genialnykredyt[.]eu. Nasza analiza wykazała, że zarówno sama strona, jak i odsyłające do niej ogłoszenia publikowane w lokalnych tablicach, mogą stanowić element zorganizowanej kampanii, której celem są dane osobowe...

06.Maj.2019

SECURE 2019 – Call for Speakers

Rozpoczynamy poszukiwanie prelegentów na tegoroczną edycję konferencji SECURE. Jeżeli posiadasz wiedzę na interesujący temat i chciałbyś przedstawić go w gronie światowej klasy ekspertów ds. bezpieczeństwa IT, zachęcamy do zapoznania się z zasadami zgłoszeń poniżej. SECURE to odbywająca się w...

25.Kwi.2019

Zgłoszenia i incydenty w 2018 roku

Wielkimi krokami zbliża się publikacja corocznego raportu CERT Polska. Prace redakcyjne i edytorskie idą pełną parą, a w międzyczasie chcemy podzielić się z czytelnikami naszego bloga statystykami z zeszłego roku. Są one pewnym przybliżeniem krajobrazu bezpieczeństwa teleinformatycznego w...

07.Mar.2019

Rozwijamy otwarty sandbox Cuckoo

Przez ostatni rok współpracowaliśmy z Hatching.io nad rozwojem projektu Cuckoo Sandbox. Skupiliśmy się głównie na wdrożeniu zaawansowanych mechanizmów analizy pamięci, opracowanych przez nasz zespół w ciągu ostatnich lat. Opublikowanie narzędzia onemon jest ostatnim etapem naszej współpracy....

22.Lut.2019

ECSM 2018 – rozwiązania zadań

Poniżej przedstawiamy rozwiązania do zadań, które pojawiły się na organizowanym przez CERT Polska CTF-ie organizowanym w ramach Europejskiego Miesiąca Cyberbezpieczeństwa. Przez przeczytaniem zachęcamy do próby samodzielnego zmierzenia się z nimi – zadania są dostępne w portalu...

22.Sty.2019

Przeciwdziałanie phishingowi wykorzystującemu technikę man-in-the-middle

Zespół CERT Polska zaobserwował interesującą technikę phishingową zastosowaną wobec użytkowników popularnego polskiego agregatora treści. W sieci zrobiło się również głośno za sprawą pojawienia się nowego narzędzia Modlishka służącego do automatyzacji tego typu ataków. Artykuł opisuje mechanizm...

21.Sty.2019

Timber by EMSIEN-3 LTD

niebezpiecznik.pl

* 55 tys. kary dla związku sportowego za upublicznienie adresów i PESEL-i sędziów

Urząd Ochrony Danych Osobowych poinformował o nałożeniu kolejnej już kary finansowej “za RODO”. Tym razem karę dostał “jeden ze związków sportowych”, który upublicznił w internecie dane osobowe posiadaczy licencji sędziowskich. Problem w tym, że upubliczniony zestaw danych obejmowałnie tylko...

17.Maj.2019


* Policja zatrzymała phisherów, którzy wyłudzili niemal 1 mln zł atakując firmy transportowe

Lubuska policja poinformowała o zatrzymaniu pięciu osób dokonujących ataków phishingowych na polskie firmy. W komunikacie wspomniano też, że przestępcy korzystali z oprogramowania ransomware, choć nie wiadomo co dokładnie z nim robili. Podmieniali rachunki przy wymianie walut Zatrzymani od 2016...

19.Kwi.2019


* Infoshare 2019: mocne akcenty dla deweloperów i okazja do spotkania Niebezpiecznika (mamy zniżki)

Na Infoshare co roku do Gdańska przyjeżdżają startuperzy, inwestorzy, przedstawiciele korporacji, programiści i marketerzy. Dwa dni konferencji to 9 tematycznych scen, 200 prelegentów, ponad 150 wystąpień oraz imprezy towarzyszące. W tym roku przewidziano wiele atrakcji dla deweloperów. Jedna z...

18.Kwi.2019


* Ciekawy opis CTF

Nawet jeśli nie gracie w CTF-y, warto się przyjrzeć temu opisowi rozwiązania jednego z CTF-ów. Osoby zainteresowane bezpieczeństwem mogą podpatrzeć kilka tricków i technik. Oczywiście trzeba pamiętać, że pentest realnych aplikacji różni się od zadań na CTF (te są dość wysublimowane), ale to nie...

02.Kwi.2019


* Prelekcje, targi pracy, konkursy – zbliżają się Lubelskie Dni Informatyki

Lubelskie Dni Informatyki to bezpłatna konferencja naukowo – technologiczna, która rokrocznie gromadzi pasjonatów oraz entuzjastów technologii informatycznych na różnym etapie rozwoju kariery zawodowej. Tegoroczna, XII edycja odbędzie się 13 kwietnia w Lubelskim Parku Naukowo – Technologicznym...

01.Kwi.2019


* Zapoznaj się z decyzją ws. pierwszej kary “za RODO”

Na stronie UODO pojawiła się pełna treść decyzji w sprawie kary, o której pisaliśmy w tekście pt. RODO: Niemal milion złotych kary dla polskiej firmy za przetwarzanie danych przedsiębiorców. Warto zauważyć, że choć nazwę ukaranej firmy zanonimizowano to jednak ustalenie tej firmy na podstawie...

28.Mar.2019


zaufanatrzeciastrona.pl

Weekendowa Lektura: odcinek 316 [2019-05-26]. Bierzcie i czytajcie

Zapraszamy do kolejnego wydania Weekendowej Lektury. Zebraliśmy dla Was kolejną porcję ciekawych informacji o nowo odkrytych lukach, realizowanych atakach, krążących w sieci szkodnikach i działaniach osób stojących na straży bezpieczeństwa. W dzisiejszym odcinku szczególnie polecamy w części... 

26.Maj.2019


Wilk albo rekin – czyli o tym, że sprzedać można wszystko

Jordan Belfort nazwał sam siebie „Wilkiem z Wall Street”, a świat podchwycił to miano. Wilk – bezkompromisowy, łamiący reguły, „ sprzedajesz lub giniesz ”. Tylko u nas – za darmo – historia wilka, który spadł na cztery łapy. Na stronie firmowej Jordana Belforta znajduje się krótki film, w którym... 

22.Maj.2019


Emotet – trojan bankowy w ofensywie bohaterem miesiąca

Choć do końca miesiąca zostało jeszcze trochę dni, to niektórzy analitycy już teraz stwierdzają, że maj 2019 należy do Emoteta, który funkcjonuje w cyberprzestrzeni od marca 2017, będąc następcą takich trojanów bankowych jak Dridex, Geodo, Feodo. Jako ofiary malware (a właściwie jego operator)... 

20.Maj.2019


Weekendowa Lektura: odcinek 315 [2019-05-19]. Bierzcie i czytajcie

Zapraszamy do kolejnego wydania Weekendowej Lektury. W pocie czoła zgromadziliśmy kilkadziesiąt linków do ciekawych artykułów pokazujących aktualny krajobraz zagrożeń. Życzymy udanej lektury. W dzisiejszym odcinku szczególnie polecamy w części fabularnej reportaż o współpracy między twórcami... 

19.Maj.2019


Polskie fora, rosyjski łącznik, serbska mafia i iPhone’y za 40% ceny

Co mają ze sobą wspólnego fikcyjne forum z dziesiątkami tysięcy postów, nieistniejące przesyłki rzekomo odebrane przez klientów, fanpage ze smoothies i rabat 60% na elektroniku? Oto wyniki naszego nowego śledztwa. Zaczęło się od reklamy na Facebooku, którą zobaczył jeden z naszych Czytelników.…... 

18.Maj.2019


Efekt Instagrama na przykładzie Anny Delvey, czyli o nowoczesnym oszustwie

Panna Delvey, założycielka Anna Delvey Foundation, ciekawa świata młoda dama z wizytą w Nowym Jorku, Niemka, dziedziczka fortuny. Albo – Anna Sorokina, urodzona w Moskwie, średnio znająca niemiecki, oszustka. O której chcecie przeczytać? Anna uważa, że każdy ma prawo do dobrego życia i ma w tym... 

17.Maj.2019


locos.pl

Hakerzy ukradli bitcoiny warte dziesiątki milionów dolarów

Hakerzy przełamali zabezpieczenia jednego z najpopularniejszych narzędzi do wydobywania bitcoinów i ukradli jego użytkownikom dziesiątki milionów dolarów . Z dostępnych informacji wynika, że ofiarą ataku padło narzędzie Nicehash. Jego użytkownicy stracili ponad 4700 bitcoinów o łącznej wartości... 

10.Gru.2017


Urządzenia Internetu Rzeczy ewoluują, ale nadal są podatne na ataki

Inteligentne urządzenia połączone z internetem uważa się powszechnie za bardzo wygodny sposób ułatwienia życia ludziom. Ale w jakim stopniu korzystanie z nich jest bezpieczne z cyberprzestępczego punktu widzenia? W 2015 r. badacze z Kaspersky Lab postanowili sprawdzić, jak realne jest zagrożenie... 

10.Gru.2017


Krytyczne luki we wtyczkach dla sklepów obsługujących Przelewy24

Sprawę dokładnie opisała Zaufana Trzecia Strona , a dotyczy luk we wtyczkach do wielu różnych rodzajów platform handlowych, przygotowanych przez serwis Przelewy24.pl. Sprawa dla niektórych klientów jest poważna a Przelewy24 opublikowały w tym zakresie alert na swojej stronie. Więcej... 

05.Lis.2017


Projekt ustawy o krajowym systemie cyberbezpieczeństwa

Zapewnienie wysokiego poziomu cyberbezpieczeństwa – to jeden z priorytetów Ministerstwa Cyfryzacji, określony już w listopadzie 2015 roku. Zarówno na poziomie krajowym, jak i w Unii Europejskiej. Prezentowany projekt ustawy o krajowym systemie cyberbezpieczeństwa to wynik prac ekspertów zarówno... 

03.Lis.2017


Interwencje GIODO w sprawie zabezpieczania danych osobowych przez uczelnie

Warszawska szkoła wyższa AlmaMer zabezpieczyła już dokumenty z danymi osobowymi studentów i pracowników. Z kolei po kontroli trzech uczelni w Katowicach GIODO składa zawiadomienia do prokuratury. Więcej... 

17.Paź.2017


hack.pl

Błąd w procesorach firmy Intel wymusza załatanie systemów Windows, macOS oraz Linux

W procesorach firmy Intel wykryto dwie niebezpieczne luki, które mogą zostać wykorzystane przez atakujących do przechwycenia danych aplikacji poprzez uzyskanie dostępu do pamięci jądra. Pierwsza z luk - Meltdown - może pozwolić na usunięcie bariery między aplikacjami użytkownika a wrażliwymi... 

05.Sty.2018


Atak oprogramowania ransomware WannaCry

W ubiegły piątek doszło do zmasowanego, ogólnoświatowego ataku oprogramowania ransomware o nazwie WannaCry. Zadaniem szkodliwego programu było zaszyfrowanie danych ofiar i żądanie zapłacenia okupu. Szkodliwe oprogramowanie zastosowane w ataku wykorzystuje lukę w systemach Windows, która... 

13.Maj.2017


Ile zarabiają cyberprzestępcy?

5 dolarów - nawet za tak niedużą kwotę cyberprzestępcy są skłonni zaatakować wybraną stronę i przeprowadzić atak trwający 5 minut.400 dolarów, jeśli dany serwis online ma być „bombardowany” przez 24 godziny. Atakowany w tym czasie może stracić tysiące, a nawet miliony dolarów. Średnia cena ataku... 

29.Mar.2017


Szkodliwe narzędzie Adwind RAT atakuje firmy w 100 państwach i terytoriach

Wykryto nowy masowy atak przeprowadzony przy użyciu narzędzia zdalnego dostępu (RAT) o nazwie Adwind. Ten wielofunkcyjny szkodliwy program został wykorzystany w atakach na ponad 1 500 firm w ponad 100 państwach i terytoriach. Ataki objęły różne branże, w tym handel detaliczny i... 

23.Lut.2017


Jak bezpiecznie kupować online przed świętami?

Według badań „Raport: Zakupy świąteczne 2016” przeprowadzonych przez firmę Deloitte, prawie 40% funduszy na prezenty świąteczne polscy konsumenci wydadzą w sklepach internetowych. Ta wartość nie umknie uwadze cyberoszustów. Aby poszukiwanie świątecznych podarunków nie skończyło się przykrą... 

07.Gru.2016