sekurak

Jeśli nie interesuje Cię rozwój w IT i ani jeden krok do przodu. Jeśli w sieci jesteś niezniszczalny, bo gdziekolwiek używasz hasła (nie tego samego, prawda?), czujesz się pewnie, bo nie masz go zapisanego na żółtej karteczce - to nie czytaj dalej... ⛔ Wiedz natomiast, że to co opisane poniżej, pozwoliło mi zachęcić 4 osoby do Sekurak Academy #sekurakacademy Gdy na początku roku wstąpiłem do #sekurakacademy myślałem, że to będzie kolejne, spalone, niedowiezione postanowienie noworoczne. Jak mawia klasyk - "był czas przywyknąć przecie" 👵 . Nie tym razem! 💥 Dlaczego? [Szkolenia 🎓] Różnorodność tematów (tak, witamy w cybersec), szczegółowość szkoleń i topowi trenerzy 👨🏫 razem sprawiło, że: 1. myśląc, że jestem na początku ścieżki cybersecurity, uświadomiłem sobie na dobre: TAK, JESTEM DOPIERO NA POCZĄTKU ŚCIEŻKI 2. mając od Akademii średnio jedno szkolenie tygodniowo wprowadziłem zdrowe nawyki cotygodniowego expienia w danym temacie. 3. mając do dyspozycji szkolenia z poprzedniego semestru (dostajesz to w cenie), bieżące i nadchodząće zapełniłem sobie pipeline do końca 2024. Są szkolenia, które wystarczy przerobić raz, są takie, które należy przerobić jednak kilkukrotnie, ale są tez takie na które dopiero przyjdzie czas, bo po prostu najpierw trzeba doczytać podstawy 🤓 Nie brałeś nigdy udziału w szkoleniu, w którym prowadzący, podczas Q&A, gdy pytania potrafią byc naprawde chytre i szczegółowe, ANI RAZU nie używa zwrotów: - nie wiem - sprawdze i dam znać ?? ⬇ Zapraszam do Sekurak Academy https://sekurak.academy/ [Społeczność i Discord 👨👩👧👦 ] To, że będę się wirtulanie obracał wśród w porządku ludków wiedziałem już od momentu, gdy pierwszy raz odezwałem się "na luźnych". Panująca tam przyjacielska i zdrowa atmosfera sprawiła, że jest to najchętniej obecnie odwiedzane przeze mnie miejsce w sieci. Tam nikt nie strofuje, że "temat wielokrotnie poruszany", nikt nie gani do utraty tchu, żeby "używać szukajki" (używasz, prawda 😀 ?) i nikt nic nie "zamyka" :) Pozytywnym paradoksem jakiego doświadczyłem był fakt, że rozwiązując swojego pierwszego CTFa w Akademii poczułem, że w pewnym momencie komuś wyraźnie bardziej zależy na tym, abym walczył i poznawał nowe rzeczy niż mi samemu 😲. Jest taki jeden Grzechu 😎 Tak, jest takie miejsce. Zapraszam do Sekurak Academy #sekurakacademy. [Aktywności dodatkowe 🛠 ] Akademia stworzyła wiele możliwości aktywności dodatkowych. Ja np. dołączyłem do grona QoS Ninja, gdzie recenzujemy i oceniamy sekurakowe publikacje/ebooki/mapy jeszcze przed oficjalnym release. Skorzystałem również z możliwości tworzenia oficjalnych notatek po szkoleniach, które będą sie pojawiały na Sekuraku. W obydwu przypadkach stron wyszło więcej, niż na mojej magisterce. Semestr II/2024 już rozpoczęty. Agenda? Boże, aby tylko zdrowie dopisało 🤩 Więcej, bardziej, dalej! 💪 We wrześniu MSHP w Krakowie. Tam agenda też wysadza z kapci... 💣 #sekurakacademy #securitum sekurak sekurak.academy Michal Sajdak Tomek Turba

Dziennikarz serwisu o2 zabrał się za opisywanie "olbrzymiego wycieku". Mamy tu np. ❌rekomendację żeby na względnie losowej stronie ~"wpisać hasło, żeby sprawdzić czy nie wyciekło" (!!!). ❌ Chyba nie muszę dodawać, że rekomendacja podawania jakichkolwiek swoich haseł (np. do Linkedin, Twittera, poczty, banku, ...) na losowej stronie jest ❌katastrofalnym❌ pomysłem. Po takim "podaniu hasła" rzeczywiście można uznać, że ono wyciekło. Wyciekło, w chwili kiedy je podaliśmy... ❌ Dodatkowo czytamy w leadzie newsa: "Każdy kto ma konto na LinkedInie, X(dawniej Twitter), MySpace, MyFitnesPal, Canvie, Badoo i kilkunastu innych portalach powinien natychmiast zmienić hasło." To też marna rekomendacja. Jeśli ktoś ma silne hasło, dwuczynnikowe uwierzytelnienie, nie powinien się niczego bać. ✅ Jeśli ktoś nie jest pewien czy jego hasło gdzieś wyciekło, to polecam wpisać emaila (login) w serwisie haveibeenpwned[.]com Jeszcze raz: wpisujemy tam email, nie hasło (!) i odpowiednio zmieniamy hasło w przypadku kiedy serwis zwróci info, że rzeczywiście nasze dane wyciekły 🔶 "Eksperci radzą, by wybierać silne, unikalne kombinacje" - tutaj z jednej strony sensowna rekomendacja. Z drugiej strony niewiele wnosząca, bo brak jej konkretów. Co to jest "silna kombinacja"? :-) Różne osoby zinterpretują to różnie. ✅ Osobiście w temacie haseł polecam: połączyć ze sobą 4+ nieoczywiste słowa (idealna wersja to 5+ nieoczywistych słów), tak żeby miały one w sumie >= 15 znaków. Takie hasło będzie bardzo trudne do złamania. ✅ Warto też korzystać z managerów haseł (wtedy wystarczy, że pamiętam jedno silne hasło, reszta jest generowana, przechowywana w managerze haseł) ✅ Dobrą rekomendacją jest używanie dwuczynnikowego uwierzytelnienia (dzięki temu, nawet jak ktoś zna moje hasło - nie zaloguje się na moje konto) ✅ I na koniec - pamiętajmy o unikalności haseł (różne hasła do różnych serwisów). Tutaj bardzo pomoże nam manager haseł :-)

Czy leci z nami... Copilot? 29 lipca zapraszamy wszystkich na szkolenie wprowadzające w tematykę korzystania z narzędzia AI Microsoft Copilot. Szkolenie poprowadzi znany i ceniony Tomek Turba Do 20 lipca bilety -50% z kodem: Copilot50 Zapisy: https://lnkd.in/dde64T6w Dlaczego warto? Dowiesz się min. jak stworzyć podsumowanie długiego dokumentu, jak skanować wątki e-mailowe i tworzyć ich streszczenia, w jaki sposób podsumować film lub tabelę, jak skutecznie przetłumaczyć dokument i wykorzystać potencjał integracji Microsoft Copilot w narzędziach pakietu Office oraz poznasz inne przydatne w życiu prywatnym i zawodowym ciekawostki związane z wykorzystaniem AI! :-)

Aresztowano hackera, który uruchamiał lewe access pointy WiFi na lotniskach / w samolotach / w miejscach swojej pracy. Uruchamiał jeden sprytny atak, przed którym nie pomoże i VPN. Australia. ❌ Atak to tzw. evil twin, czyli podstawienie sieci o tej samej nazwie co oryginalna ❌ Ale do której sieci podłączy się Twój laptop / telefon, jeśli będzie miał do dyspozycji kilka sieci bezprzewodowych o tej samej nazwie? Najpewniej do tej, która ma silniejszy sygnał ❌ Jeśli w samolocie pojawi się sieć, która była dostępna na lotnisku, to do wyboru mamy tylko jedną sieć - czyli ustawioną przez atakującego ❌ No dobra, ale przecież i tak szyfruję wszystko co wysyłam do Internetu (HTTPS, HSTS, VPN, i takie tam) ❌ ... ale pewnie spotkałeś się z czymś takim jak captive portal - uruchamiany czasem przy próbie podłączenia się do sieci WiFi? W skrócie: najpierw łączysz się do sieci, a następnie automatycznie otwiera Ci się okienko przeglądarkowe, gdzie musisz podać pewne dodatkowe dane, albo przynajmniej zaakceptować warunki korzystania z sieci. Dopiero po takiej akceptacji masz "pełen" dostęp do sieci ❌ Otóż nasz ~hacker odpalał właśnie fałszywy captive portal z np. "koniecznością podania swoich danych logowania do serwisów społecznościowych / emaila" ❌ Atak można przeprowadzić dla sieci "zabezpieczonych"/"otwartych", ale w przypadku otwartych jest to nieco łatwiejsze (dla "zabezpieczonych" atakujący musi po swojej stronie ustawić jeszcze hasło dostępowe - dokładnie takie samo, jak w przypadku oryginalnej sieci - w przeciwnym przypadku klient nie podłączy się do fejkowej sieci) ❌ VPN nie obroni przed takim atakiem, bo atak realizowany jest jeszcze przed tym, kiedy uzyskamy pełen dostęp do Internetu (czyli przed tym kiedy VPN będzie mógł się "podłączyć"). Analogicznie - nawet jeśli mamy połączenie przez VPN, to jeśli wpiszemy swoje dane logowania w fałszywym serwisie - scammerzy uzyskają dostęp do tych danych. ✅ Hacker został aresztowany po tym jak w trakcie jednego z lokalnych lotów w Australii, obsługa samolotu zgłosiła "podejrzaną sieć WiFi, która była rozgłaszana w trakcie lotu" ✅ W bagażu znaleziono potencjalne "narzędzia przestępstwa" czyli: "portable wireless access device, a laptop and a mobile phone" ✅ Policja przeszukała również miejsce zamieszkania ~hackera, gdzie w szczególności udało się zlokalizować "dane osobowe" wykradzione innym osobom Rekomendacje są dość oczywiste: ✅ Pamiętaj żeby nie podawać żadnych wrażliwych danych (np. danych logowania) w okienkach wyskakujących po podłączeniu się do publicznej sieci WiFi (tj. w tzw. captive portalu) ✅ Rozważ wyłączenie automatycznego podłączania się do 'otwartych' sieci WiFi, z którymi wcześniej się łączyłeś ✅ Uwaga też na ustawienia firewalla - tak żeby ew. potencjalnie podatne usługi / ew. udostępnione pliki z Twojego systemu nie były udostępnione do publicznej sieci WiFi (domyślne ustawienia firewalla zazwyczaj powinny blokować połączenia do takich usług) Więcej detali - patrz komentarz.

Starostwo powiatowe w Turku informuje o nietypowym incydencie bezpieczeństwa.  Kartony z ~4200 teczkami zawierającymi dane osobowe pozostawiono na publicznie dostępnym korytarzu, bez nadzoru. ❌ "Doszło do naruszenia poufności danych osobowych w zakresie: imię i nazwisko, PESEL, adres zamieszkania, data urodzenia, numer telefonu. Narażonych na naruszenie zostało 4188 teczek, z danymi około 8000 właścicieli pojazdów i klientów Wydziału Komunikacji Starostwa powiatowego w Turku" ❌ Wydział Komunikacji przenoszony jest do innego budynku, więc w całym zamieszaniu nie udało się znaleźć bezpiecznego miejsca na przenoszone dokumenty. Leżały one sobie pośród "innych gratów" na korytarzu. ✅ Pamiętajcie, że RODO to nie tylko bezpieczeństwo związane bezpośrednio z IT, ale dotyka również danych "papierowych"

Jak zacząć się uczyć bezpieczeństwa aplikacji webowych? Taki projekt przygotowali uczestnicy sekurak academy hackers (czyli naszego programu stażowego w ramach sekurak academy). ✅ Czuwałem nad merytoryką całości ✅ Nie obyło się bez kilku iteracji poprawek ✅ Starałem się też nie ingerować nadmiernie w mapę myśli ✅ Część informacji nie zmieściła się - jednak chcieliśmy mieć wszystko na jednej stronie :-) ✅ Jeśli masz pomysły na rozbudowę / zmiany - daj znać w komentarzu ✅ W komentarzu link do PDF

10 lipca zapraszamy wszystkich (nie jest wymagana wiedza techniczna) na najnowszą edycję, doskonale ocenianego szkolenia "Hackowanie vs. Sztuczna Inteligencja", które poprowadzi znany i ceniony Tomek Turba. Szkolenie w wersji “na żywo” jest bezpłatne.* Zapisy: https://lnkd.in/d83E_QCX Dlaczego warto? - Zobaczysz na żywo techniki ataku z wykorzystaniem AI w oparciu o Deep Fake. - Zobaczysz jak rozwiązania LLM mogą wesprzeć Cię w codziennej pracy. - Zobaczysz jak rozwiązania LLM mogą wesprzeć przestępców w codziennych atakach na przykładzie listy OWASP TOP10 LLM. - Zobaczysz jak można zhackować modele LLM różnymi metodami, w tym doprowadzić do realnego wycieku danych. - Dowiesz się jak dbać o bezpieczeństwo danych służbowych przy pracy z modelami LLM. Zapraszamy! *Jeżeli chcesz certyfikat ze szkolenia, dodatkowe materiały i zapis video kup BILET Z CERTYFIKATEM. Samo szkolenie odbywa się również w ramach Sekurak.Academy.

TeamViewer zhackowany przez grupę powiązaną z Rosją. Dostali się do (niewielkiej) części ich infrastruktury IT. Szczegóły, które są znane do tej pory: https://lnkd.in/dFbrunJk

Coś dobrego dla fanów prywatności. Proton uruchomił właśnie bezpłatnie alternatywę do Google Docs. ✅ W szczególności Proton Docs zapewnia szyfrowanie end-to-end (czyli nawet Proton nie ma wglądu w szczegóły dokumentów, nad którymi pracujemy). ✅ Producent chwali się, że "nawet naciśnięcia klawiszy i ruchy kursora są szyfrowane" ✅ Całość dostępna jest z poziomu Proton Drive -> New -> New Document

CVE-2024-6387 to krytyczna podatność typu RCE (Remote Code Execution) pozwalająca na wykonanie kodu na zdalnym systemie korzystającym z glibc z uruchomioną usługą OpenSSH jako root bez uwierzytelnienia. Luka dotyczy OpenSSH w wersji poniżej 4.4p1 oraz od wersji 8.5p1 (włącznie) do wersji poniżej 9.8p1... łatajcie się bo aktywnych obecnie jest 14 mln urządzeń, które są podatne. https://lnkd.in/d_Emz8gh