PSA: Jeśli używacie w swoich wyvibecodowanych projektach wrappera/proxy do modeli językowych, zwanego LiteLLM to sprawdźcie sobie jakie macie wersje, a jeśli instalowaliście wczoraj, to lepiej zrotujcie sobie wszystkie klucze jakie tam macie, zanim skończycie z rachunkami za pizdyliard tokenów i innych zasobów. ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)
Swoją drogą bardzo ładny case study ataku typu "supply chain". Wisienką na torcie jest to, że Trivy, narzędzie, przez które im wbili do CI/CD, to narzędzie "security".
https://www.theregister.com/2026/03/24/trivy_compromise_litellm/
#itsecurity #ai #security #programowanie
W robocie jest. Jutro wracam to się zobaczy czy była jakaś panika.
@szatkus-4 Jeśli nie było, to ja bym zrobił. A następnie lał w pysk devów, którzy nie pinują wersji zależności. ( ͡° ͜ʖ ͡°)
Zaloguj się aby komentować
The Internet Was Weeks Away From Disaster and No One Knew
#linux #bezpieczenstwo #cybersecurity #security #veritasium
Temat opisany w 15 minut zamiast godziny i bez reklamy vpnowego scamu:
https://www.youtube.com/watch?v=LY8_35a_DEA
(Ogółem polecam cały kanał, świetnie tłumaczy skomplikowane rzeczy)
@Aramil Właśnie miałem pisać WTF xD. Widzę tytuł filmu i myślę, że to jest opisana jakaś akcja z początków internetu czy coś a tutaj się okazuje, że to jest blisko godzinny materiał o tej sytuacji z XZ z zeszłego roku. W sensie WTF? Przecież do opisania tego wystarczył krótki artykuł w którym nawet znalazło się miejsce na przykłady w kodzie.
Dlatego właśnie nie przepadam za tym kanałem - Veritasium. Ja rozumiem, że ich materiały są w miarę ok merytorycznie ale imo nie szanują czasu oglądającego.
I tu się ujawnia zaleta Debianów i Ubuntu które są tak opóźnione z nowymi paczkami, że zainfekowane wersje xz nie zdążyły się pojawić w apt xD
@Deykun Koleś wcisnął Stallmana, Torvarldsa, OpenSSH oraz clickbaitowy tytuł.
Zaloguj się aby komentować
Co tak naprawdę stało się z CVE-2026-20841?
Ktoś w Microsofcie pomyślał: „a co jeśli Notatnik mógłby wykonywać polecenia?” — i wypuścił to włączone domyślnie. Atakujący mogą teraz podsunąć użytkownikom złośliwy plik .md, ty otwierasz go, klikasz link i BUM — kod uruchamia się z pełnymi uprawnieniami użytkownika. Pełne przejęcie systemu. To aż tak poważne.
~
Sama podatność jest dość prosta. Obsługa Markdown w Notatniku nie sprawdza, co znajduje się w tych linkach, zanim je wykona. Specjalnie przygotowany plik z odpowiednim prefiksem protokołu robi resztę.
~
Wystarczy phishing i kliknięcie użytkownika zamienia się w pełne przejęcie systemu.
https://www.reddit.com/r/cybersecurity/comments/1r21w44/cve202620841_windows_notepad_remote_code/ ?
#microslop #microsoft #windows #cybersecurity #security
@Deykun na szczęście ja używam tylko notepad++ ( ͡° ͜ʖ ͡°)
@maximilianan robiłeś ostatnio aktualizację? https://notepad-plus-plus.org/news/hijacked-incident-info-update/
@szatkus-2 he he
Zaloguj się aby komentować
Rzadko mi się to zdarza (na szczęśliwości), ale czasami wpada spotkanie świąteczne w społeczności CSO/CISO. I wtem zwykły czarnuch z IT przepoczwarza sie w korpoludka "żeby tym na górze żyło się ze świadomością "it's fine!"" Żartuję - społeczność CSO/CISO to mega support w ramach wymiany doświadczeń, edukacji nt sec i szeroko rozumianego networking. ᕦ( ͡° ͜ʖ ͡°)ᕤ
Taaak, to pierwszy Andzej w garniaku tutej. 🙃 #cybersecurity #security #it #brandzlowaniesieitsec #spolecznosc #jebacbiede
Zaloguj się aby komentować
ESET odkrył lukę w programie WinRar która jest wykorzystywana przez rosyjskich hakerów z grupy RomCom. Jak ktoś korzysta z WINRAR to lepiej zaktualizujcie program do wersji 7.13
https://www.cve.org/CVERecord?id=CVE-2025-8088
#winrar #bezpieczenstwo #niebezpiecznik #zaufanatrzeciastrona #informatyka #it #security #cyberbezpieczenstwo #cybersecurity #windows #windows10 #windows11 #komputery #swiat #rosja #eset
@Mikuuuus może kurła jeszcze licencję mam kupić?
Zaloguj się aby komentować
Jak zabezpieczyć system Windows Server? W jaki sposób wykonać bezpieczną konfigurację systemu Windows Server? Jakie kroki należy podjąć, aby zapewnić ochronę danych i zasobów w środowisku Windows Server? Jakie są najlepsze praktyki w zakresie hardeningu systemu? Jakie narzędzia i techniki można...
Czytam sobie o sposobach kradzieży samochodów-dzięki uprzejmości i informacji od użytkowników tutaj, i jestem zaskoczony, jak producenci samochodów olewają temat zabezpieczeń antywłamaniowych.
Kradzież na gameboya: Okazuje się, że samochody mają serwisowe klucze. Takie hasło serwisowe, że jak się je ukradnie z ASO, możesz wchodzić do cudzych samochodów jak do własnego xD I tak właśnie się dzieje.
Serio!?!?! XXI wiek i takie coś? xD
Najbardziej mnie śmieszy Dodge/Chrysler/Jeep. Zrobili specjalny moduł - Security Gatway. Pewnie produkcja, zaprojektowanie tego kosztowało pierdyliard dolarów, speci od zabezpieczeń zarobili milony....
A jak on podłączony?
OBD2 port -> Security gateway -> wychodzą porty na magistralę CAN.
Jak obejść ten Security gateway? Po prostu podłączyć się parę centymetrów wyżej, za modułem security gateway i masz samochód jak na tacy.
Przecież to jest kpina od producentów xD Jawnie wspierają kradzieże samochodów. #samochody #kradziez #zlodziej #bezpieczenstwo #security
@object zwiększa trudność kradzieży? Zwiększa.
@object czepianie się fiata za to, że sgw da się obejść w kilka minut gdy kia i hyundai wypuszczają auta pozbawione immobilisera jest "trochę" dziwne.
@object a jeszcze jedna sprawa, da się w ogóle fiata odpalić przez obd?
@Felonious_Gru uuu @rm-rf , próbowałeś?
@object ale co uuuu?
Vagi od dawna widziałem narzędzia wpinane do obd, niektóre japonczyki to nawet nie trzeba do auta wsiadać tylko można stać obok. Co najmniej ford, tesla i vag mają odpalanie samochodu z aplikacji w telefonie, więc kolejny fajny wektor ataku.
U fiata omijanie immo wymaga podmiany softu w sterowniku silnika żeby numer kluczyka z emulatora się zgadzał. Złodzieje po prostu podmieniali cały sterownik silnika na taki z przygotowanym immo emulatorem to to szybko i cicho xD
Ale to, że ja metody nie widziałem to nie znaczy, że nie istnieje
Zaloguj się aby komentować
Kiedy ostatnio podczas rejestracji na jakiejś stronie internetowej otrzymaliście login i hasło w treści maila rejestracyjnego?
#it #cybersecurity #itsecurity #security
Nigdy. To by było głupie, hasło przecież ja sam tworzę.
@Konto_serwisowe No, a gdybyś stworzył swoje hasło i dostał je plain textem w treści maila?
@utvikler Sprawdziłbym do którego roku lat dziewięćdziesiątych się przeniosłem.
Zaloguj się aby komentować
Więcej mimiki niż w całej sadze Zmierzch
Zaloguj się aby komentować
W najnowszym #3 wydaniu ICD News omawiamy tematy związane z sztuczną inteligencją, ewolucją mediów społecznościowych głównego nurtu oraz cyberatakamim które zdalnie uszkadzają setki tysięcy routerów. Zestawienie zawiera wybrane przez nas treści wraz z krótkimi komentarzami od naszego zespołu...
Standard notes zostanie przejęte przez protona tak jak wcześniej simple login. Miejmy nadzieję że lepiej niż simple login zostanie zintegrowane a deweloperzy nie zostaną oddelegowani od swojego projektu na rzecz na przykład proton passa jak deweloperzy SL.
Dla tych którzy obawiają się trzymania wszystkich jajek w jednym koszyku, to z prywatnych alternatyw do notatek zostaje już chyba tylko Joplin, notesnook i cryptee
https://standardnotes.com/blog/joining-forces-with-proton
#proton #protonmail #prywatnosc #bezpieczenstwo #security
@pawcio__ Dzięki za info.
Ciekawe, czy będą dawać premium na Standard Notes w ramach premium Protonowego, jak ma to miejsce z Simple Login
A ten Proton Pass daje radę? Korzystam z Bitwardena i uważam, że jest super. Nawet jak mam w planie Proton Passa, to nie chciało mi się nigdy sprawdzać, czy warto przerzucać się z Bitwardena na ProtonPassa.
@HmmJakiWybracNick nie wiem czy daje radę bo korzystam tylko z protonmaila i kiedyś korzystałem z proton VPN ale aplikacja na Linuxa to dramat więc zmieniłem na innego dostawcę.
Według mnie poza tym że nie tak JW. napisałem nie warto trzymać wszystkiego u jednego dostawcy, to poza protonmailem i SL, reszta apel protona trochę ssie i można znaleźć lepsze. Np. dysk nadal nie ma apki na Linuxa. Na Windowsa jest od niedawna. I są lepsze alternatywy według mnie.
@pawcio__ No z dysku protona korzystam i też uważam, że jest dość słaby. Na androida googlowski lepiej działa do synchronizacji zdjęć, a na windowsa onedrive ;v
Zaloguj się aby komentować
Ludzie kochani i nie kochani też. Potrzebuję zamówić na alegro zestaw 4 kamer zewnętrznych, na wifi. Weźcie doradźcie coś, ja się kurde nie znam, budżet to 1200 zł. Sorry jak tagi się nie zgadzają i z góry dzięki.
#diy #cybersecurity #security #allegro
Nie kupuj jakiegoś hikvision czy innego szmelcu. Laguje, aplikacja toporna i źle przetłumaczona, jak straci neta przestaje nagrywać na lokalną kartę pamięci (!).
Mam pozytywne doświadczenia z TP-Link. Są w tej samej cenie co chińczyki, a nie mają powyższych wad.
Jeśli chcesz ustawić samodzielne podążanie kamerą non-stop po tej samej trasie (to ma jakąś nazwę), zarżniesz zębatki w tanim chińczyku. Innych nie miałem okazji wypróbować.
Zaloguj się aby komentować
Od lutego wraz z Niebezpiecznikiem ruszamy z kursem ataków XSS.
Zapisz się na listę oczekujących i pobierz przy okazji przykładowe nagranie
➤ https://xss.niebezpiecznik.pl/
#pentesting #technologia #cybersecurity #security #hacking
NordVPN w pakiecie?:)
Zaloguj się aby komentować
Dzieeeeń dobrego wtorku wszystkim! :)
Mamy nowy wpis na blogu!
Po co jest ten token CSRF?
https://gildia-developerow.pl/po-co-jest-ten-token-csrf/
Wchodząc w świat Symfony niektóre rzeczy robimy z automatu, bo tak jest w dokumentacji. Nie zawsze zdajemy sobie sprawę z tego, o co tak na prawdę chodzi z pewnymi detalami. Jednym z takich detali jest token CSRF, który na pierwszy rzut oka wydaje się uciążliwy. Ale jest ważny, o czym będę pisał dzisiaj.
Tagi: #programowanie, #naukaprogramowania i #programista15k w #php, #symfony i trochę #security
Zaloguj się aby komentować
W swojej pracy praktycznie codziennie spotykam się z JSON Web Tokenami. Mimo że używam ich tak często, to jak dotąd nie miałem okazji usystematyzować i poszerzyć mojej wiedzy o nich. W najnowszym artykule nadrobiłem ten błąd i przygotowałem mega pigułę wiedzy o JWT. W artykule dowiesz się o...
Co jest cięższe do zrobienia? CEH czy CISSP?
#kiciochpyta #security #cybersecurity
Zaloguj się aby komentować
Na Ebookpoint trwa promocja z okazji "Dnia Bezpiecznego Komputera".
Około setki tytułów z branży security przecenionych do -50%.
https://ebookpoint.pl/pagec/3976o/9/promocja/17821
#cybersecurity #security
Zaloguj się aby komentować
wcześniej we współpracy z anydesk a teraz z Krakenem psuje szyki scamerom
https://www.youtube.com/watch?v=zrZZYGjAh_o
#security #scam #internet
Zaloguj się aby komentować
No i przy okazji dowiedzieliśmy się jak nazywała się ta kobita od torby za 15 złotych w sprawie Mariki
Najlepsze jest to,że to dalej wisi na twitterze. Oni to naprawdę zrobili !
#pis #marika #prokuratura #bekazpisu #daneosobowe #wyciekdanych #security
Trzy najgorsze zarazy jakie dotknęły Polskę w ciągu ostatnich 100 lat? Faszyzm, komunizm, no i najgorsze ścierwo, kaczyzm wraz podludzką padliną społeczną, która ich wybrała. PiSowieccy podludzie chyba chcą mieć kolejne dziecko na sumieniu, po tym chłopaczku zaszczutym przez pisowskiego kmiota Oskarka.
@dsol17
Czemu cię to śmieszy?
teraz neonaziole i inne konfederacyjne śmiecie będą jej uprzykrzać życie.
chcialbys żeby ktoś tobie to zrobił?
@GordonLameman Śmieszy mnie to dlatego,że gdyby chodziło o uprzykrzanie mi życia nie miałbyś obiekcji co mogę poprzeć cytatami twoich odpowiedzi do mnie.
Śmieszy mnie to dlatego,że dla torebki wartej 15 zł albo ideologii ta idiotka poszła z tym do sądu byle uprzykrzyć życie "neonaziolom" i nawet nie pomyślała,że z takim rządem kwestią czasu jest gdy to jej uprzykrzą życie.
Stronom, obrońcom, pełnomocnikom i przedstawicielom ustawowym udostępnia się akta sprawy sądowej oraz daje możność sporządzenia z nich odpisów lub kopii. Za zgodą prezesa sądu akta te mogą być udostępnione również innym osobom. Informacje o aktach sprawy mogą być udostępnione także za pomocą systemu teleinformatycznego, jeżeli względy techniczne nie stoją temu na przeszkodzie.
Rozumiesz co to oznacza ? To oznacza,że jeśli jako przypadkowa osoba padasz ofiarą chuligana który cię nie zna, to podczas procesu i po procesie chuligan może poznać niektóre twoje dane. I NIC nie stoi na przeszkodzie,by się nimi z kimś potem podzielił albo skorzystał z nich potem by cię szukać i zrobić ci krzywdę za to,że zgłosiłeś sprawę. Oczywiście większość chuliganów jest na to stanowczo za głupia,ale możliwość JEST.
Śmieszy mnie wreszcie to jak pan prokurator wdrożył ochrone danych osobowych. Myślisz,że to było intencjonalne ? No nie wiem istnieje możliwość że prokurator nie wiedział co czyni - i TO jest dopiero zabawne i przerażające zarazem
chcialbys żeby ktoś tobie to zrobił?
Nie chciałbym. I dlatego mój drogi ja stosuję profilaktykę.Bardzo szeroką profilaktykę jeśli chodzi o prywatność. Na tyle solidną,by nie ujawnić krytycznych informacji o mnie.
@dsol17
idiotą to jesteś ty, a nie ona.
pisalem ze nie mam zamiaru uprzykrzać ci życia, a jedynie pomoc - sprawić ze zaczniesz się leczyć i przestaniesz wymyślać te urojone spiski.
jesli to cię śmieszy, że neonaziole będą dręczyć tą dziewczynę to znak że jesteś głupim smieciem.
a le twoje miejsce na ziemi dokładnie na to wskazuje. Na to kim jesteś. Tylko twój mózg jeszcze tego nie przepracował i wciąż m obwiniasz wszystkich innych za to jakim jesteś przegrywem.
Komentarz usunięty
Zaloguj się aby komentować
