CERT RSS

Završio je i ovogodišnji Hacknite, CTF natjecanje za srednjoškolce, a pobjedu je odnio tim taqi sastavljen od učenika XV. gimnazije,  Gimnazije Andrije Mohorovičića Rijeka i Tehničke škole Ruđera Boškovića Zagreb.

Peto izdanje Hacknitea privuklo je rekordni broj prijava – 76 timova = 380 učenika/ca.

Čestitamo svim sudionicima i njihovim mentorima!

Natjecanje se održalo 18. i 20. listopada 2024. godine, a nakon 48 sati ljestvica je zaključana, a nakon dodatnih provjera formiran je i konačni poredak.

U nastavku se nalaze rezultati natjecanja:

1. taqi  3990
2. Bossman Jazovci  3010
3. Mango loco  2860
4. HacKiM  2240
5. md5  2010
6. Anonisus  1910
7. BitBengeri  1660
8. Power Rangers  1660
9. 3N1GM4  1530
10. ELPRŠO  1350
11. MineHACK  1350
12. NEmarko!  1330
13. 48dfae5bec4e173f33cbe329e4faebef  1300
14. 404  1160
15. Kiseli krastavci  1140
16. 2V4N3!  1130
17. GVG  1130
18. Arf Deobad  1130
19. rekurzije  1070
20. StackOverflow  1040
21. yugoslavia  940
22. Falkonizators  930
23. Skibidi Sigme  870
24. BitGang  840
25. PCych  800
26. GAMbit  680
27. RobotkoS  590
28. ha?menijesvejedno  550
29. zdmioc  550
30. ALAJ  500
31. PDF.files  470
32. mačići  470
33. Geto jagodice  390
34. 3M1H1S  370
35. DigiDame  330
36. Tech2d  310
37. Nu_Je  300
38. HACastle  280
39. Hack&T  270
40. Neozbiljni  260
41. ICS – Istrian Cyber Shield  230
42. 2T1M1Z1P  220
43. MIOC Mašinerija  220
44. englezi  180
45. DečkiIzPilane  180
46. Požega  170
47. Crvenkapica i 4 vučice  170
48. 2L1E1D1V  130
49. TeSLA  130
50. Vendetta  120
51. Bitanga i Princeze  60
52. Noname  50
53. Error  50
54. ŠAFRANI  50
55. Prioriteti II  50
56. Manageri  50
57. PMS  40
58. 5unfl0w3r  10
59. 5KGovci  10
60. Auroras  10
61. Partija  10
62. Sipko  10

Pobjednici: tim taqi

Tim taqi sastavljen od učenika XV. gimnazije,  Gimnazije Andrije Mohorovičića Rijeka i Tehničke škole Ruđera Boškovića Zagreb, a kroz sve ih je vodila mentorica Lana Kozina.

Ivan Padjen

Zovem se Ivan Padjen, maturant sam Gimnazije Andrije Mohorovičića Rijeka. Zanimaju me informatika, fizika i matematika i natječem se od šestog razreda. Ovo mi je prvo Hacknite natjecanje, a članove svog tima sam upoznao na državnom natjecanju iz informatike. Oduvijek me zanimala informatika, zabavno mi je učiti o tome kako funkcioniraju računala, a kod ovog tipa natjecanja vezanog uz kibernetičku sigurnost mi se sviđa to što se trebaju rješavati različiti problemi i baš sam na taj način, za vrijeme samog natjecanja, puno toga naučio. Nakon srednje škole planiram upisati elektrotehniku ili računarstvo na FER-u. Nemam previše slobodnog vremena zbog škole, ali volim učiti o informatici i programirati. Kako bismo kod mladih razvili svijest o kibernetičkoj sigurnosti mogu se pokrenuti razne radionice u srednjim školama gdje bi učenici učili o kibernetičkoj sigurnosti, a predavači bi mogli biti bivši natjecatelji. Učenike bi trebalo bolje upoznati s time kako funkcioniraju mreže i računala pa bi oni sami mogli zaključiti kako se trebaju ponašati da bi bili sigurni. 

Matej Čarapić

Zdravo, ja sam Matej. Upoznao sam programiranje od rane dobi, pa sam i eventualno htio sudjelovati u CTFovima. Kroz svoje školovanje sam se puno bavio programiranjem i van nastave, pa sam kroz Hacknite malo i koristio svoje znanje u neku svrhu. Mene najviše motivira zanimanje za kibernetičku sigurnost kada čujem priče kako se dogodi nekakav exploit u nekoj aplikaciji ili servisu i kako su hakeri to izveli na tim kompleksnim aplikacijama. U budućnosti se vidim kao full-stack ili web programer, ovisno o tome što tržište traži. U slobodno vrijeme se bavim programiranjem i igranjem igrica. Trenutno za završni rad i programiram igricu. Mislim da preko poznatih za propusta koje čujemo u vijestima možemo potaknuti svijest o kibernetičkoj sigurnosti. 

Luka Barbić 

Maturant sam XV. gimnazije. Na sudjelovanje u Hackniteu motivirao me sam format natjecanja te što se održava u Hrvatskoj. Ne razmišljam previše o budućnosti. Slobodno vrijeme provodim vani s prijateljima, za računalom, ili u teretani. Mislim da je ovaj format natjecanja odličan način za potaknuti mlade na razmišljanje o kibernetičkoj sigurnosti. 

Mihael Kardum

Živim u Velikoj Gorici i trenutno pohađam 4. razred XV. gimnazije. Već se dugo bavim natjecateljskim programiranjem, no nisam se puno bavio ostalim granama informatike. Odlučio sam se natjecati na Hacknite natjecanju kako bih proširio svoje znanje o ostalim granama računarstva i naučio nešto o sprječavanju kibernetičkih napada. Nisam još puno razmišljao o tome čime ću se točno baviti u budućnosti, no vjerojatno će biti nešto vezano za informatiku. U slobodno vrijeme, osim programiranjem, bavim se sportskim penjanjem i od nedavno kickboxom, a često sudjelujem i na pub kvizovima. Smatram da bi se u školi trebalo više učiti o kibernetičkim napadima kako bismo znali kako ih spriječiti. Iako su današnje generacije informatički pismenije, još uvijek ima mnogo ljudi koji nisu svjesni svih internetskih opasnosti. 

Dario Vuksan 

Idem u četvrti razred XV. gimnazije u Zagrebu. Volim izrađivati web stranice, programirati aplikacije i APIjeve, ali i tehnologiju općenito. Uvijek mi je drago upoznati druge entuzijaste informatike. Za kibernetičku sigurnost me motivira to kako i profesionalni programeri s godinama iskustva mogu ostaviti neke kritične bugove u svom kôdu, pa volim čitati izvješća takvih propusta (CVE). Uživam u CTF natjecanjima jer sam puno vremena proveo na računalu pa imam puno znanja o raznim značajkama. U budućnosti se vidim kao back-end programer, data scientist ili database engineer. Slobodno vrijeme provodim proučavajući tehnologiju, čitam vijesti u svijetu softvera i hardvera, pratim napredak koji su dosegli svjetski stručnjaci, nove algoritme koje su otkrili i sl… Osim toga, volim reverzno engineerati web stranice i mobilne aplikacije te programirati u Pythonu. Za poticanje svijesti o kibernetičkoj sigurnosti možemo ljude izvještavati o velikim propustima koji su se dogodili i predočiti koliku to štetu može uzrokovati.

Mihael, Matej, Dario, Luka, Lana

Ivan, Dario, Luka

The post Rezultati Hacknite natjecanja. Upoznajte pobjednički tim taqi first appeared on CERT.hr.

Danas počinje European Cybersecurity Challenge 2024 (ECSC), europsko natjecanja iz kibernetičke sigurnosti, a ovo je prvi put da se održava u Italiji, u Torinu, u prostoru Officine Grandi Riparazioni. Događaj zajednički organiziraju Nacionalna agencija za kibernetičku sigurnost (ACN) i Nacionalni laboratorij za kibernetičku sigurnost.

Timovi iz 37 zemalja natjecat će se tijekom dva dana u Capture-The-Flag (CTF), Jeopardy i Attack-Defense tipovima zadataka, kako bi se utvrdilo koji je tim najspremniji.

Naš tim i ove godine brani hrvatske boje, a članovi nacionalnog tima izabrani su između 25 natjecatelja koji su svoje znanje već pokazali na Hacknite i Hackultet natjecanjima.

Više o hrvatskom ECSC timu pročitajte na poveznici: https://www.cert.hr/odrzan-ctf-trenazni-kamp-u-sklopu-hackultet-natjecanja-i-projekta-e-sveucilista/

Natjecanje će započeti svečanom ceremonijom koja počinje u 18:00 sati, a prijenos će biti dostupan na https://www.youtube.com/watch?v=hR8iYAq-Sug.

Natjecanje možete pratiti uživo putem poveznica:

1. DAN: https://www.youtube.com/watch?v=kS_smpqaN7A

2. DAN: https://www.youtube.com/watch?v=f-OOKJKtr4s

Događaj će završiti u petak (11. listopada) ceremonijom dodjele nagrada koja počinje u 16:00 sati. Kao i drugi važni trenuci, završna ceremonija bit će prenošena uživo putem YouTubea na poveznici: https://www.youtube.com/watch?v=cJiUVoNbiGg.

Sretno Team Croatia (CrOwOatia)! #ECSC2024 #TeamCroatia #SurfajSigurnije #ECSM

The post Danas počinje Europsko natjecanje iz kibernetičke sigurnosti first appeared on CERT.hr.

U primjerima koje smo zaprimili napadači straše građane policijskim pozivima u kojima ih se obavještava da je protiv njih pokrenut postupak u sklopu „ciljanog napora za suzbijanje krimninalnih aktivnosti na internetu cyberpornografije, dječje pornografije, pedofilije i ekshibicionizma“, a ako se ne jave u roku od 48 sati „će biti izdan naloz za uhićenje, a vaše ime bit će upisano Nacionalni registar seksualnih prijestupnika“.

Kako prepoznati prijevaru:

1. Lažno predstavljanje

Policija ne koristi Gmail ili neki drugi neslužbeni servis za slanje elektroničke pošte!

Uvijek provjerite s koje adrese vam je poslana poruka i radi li se o službenoj adresi policije!

Napadači koriste imena policijskih djelatnika kako bi poruka izgledala uvjerljivo.

2. Pokušavaju u vama izazvati strah

Prijete uhićenjem i upisom u registar seksualnih prijestupnika.

KRATKO VRIJEME ZA ODGOVOR – uvjeravaju vas kako ćete biti uhićeni ako ne odgovorite u roku 48 sati. Ovu taktiku napadači koriste kako biste pod utjecajem straha i pritiska nasjeli na prijevaru.

3. U porukama i dokumentima se pojavljuju pravopisne greške

4. Pokušavaju s vama ostvariti komunikaciju

Unutar poruke ili priloženog dokumenta nalazi se adresa e-pošte na koju se morate javiti. Navedene adrese nisu službene adrese policije i na njih ne šaljite poruke!

Napadači žele ostvariti komunikaciju s vama i ukrasti vam novac!

Što učiniti u slučaju pokušaja prijevare:

Ne odgovarajte na poruku. Obrišite ju.
NE dijelite osobne podatke s nepoznatim osobama.
NE fotografirajte osobne dokumente i ne šaljite ih nepoznatim osobama.
NE uplaćujte novac nepoznatim osobama za sumnjive usluge ili ucjene.
Prijavite pokušaj prijevare i podijelite informaciju s drugima kako oni ne bi postali žrtve.

Pogledajte kako izgledaju lažni dokumenti i poruke napadača:

The post Upozorenje: napadači se predstavljaju kao policija i straše građane first appeared on CERT.hr.

Od 2020. GÉANT mreža obilježava Europski mjesec kibernetičke sigurnosti velikom kampanjom podizanja svijesti. Ove godine kampanja je posvećena socijalnom inženjeringu uz slogan “Vaš mozak je prva linija obrane”.

Kampanja uključuje i besplatni webinar program stručnjaka iz znanstveno-istraživačke i obrazovne zajednice.
Webinari renomiranih predavača pokrivaju teme kao što su prijetnje iznutra, pružiti uvid u tehnike koje socijalni inženjeri koriste da prevare svoje žrtve i podijeliti više o metodama otkrivanja lažnog multimedijskog sadržaja.

Webinari će se održavati svakog četvrtka poslijepodne u listopadu od 15:00 do 16:00 CEST.

• 3. listopada 2024. – 15:00-16:00 CEST: An insider threat taxonomy, and mitigation strategies (Insajderska taksonomija prijetnji i strategije ublažavanja) – dr. Karen Renaud (University of Strathclyde)
• 10. listopada 2024. – 15:00-16:00 CEST: How to sell a fridge to a penguin – or make people fall for a phishing e-mail (Kako prodati hladnjak pingvinu – ili natjerati ljude da nasjedu na phishing e-mail) – Prof. dr. Kristin Weber (Technical University of Applied Sciences Würzburg-Schweinfurt – THWS)
• 17. listopada 2024. – 15:00-16:00 CEST: Synthetic media verification in the era of generative AI: what works and what isn’t there yet (Verifikacija sintetičkih medija u eri generativne umjetne inteligencije: što radi, a što još nije tu) – prof. Luisa Verdoliva (University of Naples Federico II)
• 24. listopada 2024. – 15:00-16:00 CEST: Responsible and ethical use of AI: challenges and insights (Odgovorna i etička uporaba umjetne inteligencije: izazovi i uvidi) – Andy Roebuck (GÉANT) i Floortje Jorna (SURF).

Istražite program webinara i registrirajte se još danas! Traje samo minutu i besplatno je.

#CSM24 #SocialEngineering #Research #Education #NRENs #SurfajSigurnije #GÉANT

The post GÉANTov program webinara povodom Mjeseca kibernetičke sigurnosti first appeared on CERT.hr.

Listopad nije samo mjesec u kojem pozdravljamo jesen u svim njenim bojama već i obilježavamo mjesec kibernetičke sigurnosti. Stigao nam je listopad, što znači da počinje još jedan Europski mjesec kibernetičke sigurnosti (ECSM), inicijativa koja ima za cilj podizanje svijesti o važnosti zaštite podataka i sigurnosti na internetu. Ove godine, glavna tema kampanje bit će socijalni inženjering, oblik kibernetičke prijevare koji koristi manipulaciju kako bi korisnici nesvjesno otkrili osjetljive informacije poput lozinki, financijskih podataka i drugih osobnih podataka.

Kroz različite aktivnosti, edukacije i radionice, kampanja će nastojati educirati građane o tome kako prepoznati znakove socijalnog inženjeringa i zaštititi se od potencijalnih prijetnji. Naglasak će biti stavljen na uobičajene tehnike prevaranata, poput phishing poruka i telefonskih poziva, te kako zaštititi osobne podatke na internetu.

Cilj nam je osnažiti pojedince i organizacije u prepoznavanju prevara i stvaranju sigurnosnih navika koje će smanjiti rizik od kibernetičkih napada. Zato, pratite naš portal i društvene mreže kako biste dobili najviše od ove kampanje. Podijelite informacije s prijateljima, kolegama i obitelji te tako postanite dio naše kampanje. #SurfajSigurnije

Europski mjesec kibernetičke sigurnosti traje cijeli listopad, a uključuje i lokalne inicijative koje će se održavati u suradnji s nacionalnim CERT-ovima i relevantnim institucijama. Sve svoje aktivnosti možete prijaviti na stranici: https://cybersecuritymonth.eu/@@activity-add.

Aktivnosti Nacionalnog CERT-a za vrijeme ECSM-a:

1. – 31. listopada | GÉANT CyberSecMonth 2024

7. – 11. listopada | European Cybersecurity Challenge – ECSC – Torino

18. – 20. listopada | Hacknite

31. listopada | Završna konferencija ZoomIn4PinkHats projekta

Budite i vi dio #ECSM kampanje i pomozite u podizanju svijesti naših građana.

#CyberSecMonth

The post Europski mjesec kibernetičke sigurnosti 2024 first appeared on CERT.hr.

Otkrivene su kritične ranjivosti CUPS sustava (Common UNIX Printing System):

CVE-2024-47076

CVE-2024-47175

CVE-2024-47176

CVE-2024-47177

CUPS je kôd otvorenog izvora koji omogućava printanje na Linux/Unix i sličnim operacijskim sustavima. Navedene ranjivosti vezane su za bibiloteke CUPS sustava, te neautentificiranom napadaču omogućuju izvršavanje proizvoljnog kôda. CUPS omogućava otkrivanje i dijeljenje printera na Linux distribucijama. Napadač potencijalno može ostvariti izvršavanje proizvoljnog (malicioznog) kôda. To može dovesti do curenja osjetljivih podataka. Uspješnim iskorištavanjem ranjivosti napadač, na primjer, može zamijeniti postojeći IPP URL printera s onim malicioznim. Prilikom “print job” može se izvršiti proizvoljno izvršavanje naredbi na računalu.

Kao mjere mitigacije navode se:

• onemogućavanje i uklanjanje cups-browsed servisa
• ažuriranje CUPS paketa
• blokiranje UDP prometa na portu 631.

Molimo provjerite da li vaši sustavi koriste CUPS, te prema potrebi primjenite mjere zaštite.

Više o samim ranjivostima možete pročitati na:

https://www.rapid7.com/blog/post/2024/09/26/etr-multiple-vulnerabilities-in-common-unix-printing-system-cups/

https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities

Kao dodatni izvor informacija dostavljemo i poveznice na blog privatnog stručnjaka za računalu sigurnost (koji je otkrio ranjivost) i obavijest Red Hat-a.

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities?sc_cid=701f2000000tyBjAAI

The post Kritične ranjivosti CUPS sustava (Common UNIX Printing System) first appeared on CERT.hr.

Hrvatsko zagorje, Terme Jezerčica, 20 žena i puna tri dana zadataka iz područja kibernetičke sigurnosti… Zvuči neobično i nespojivo, ali ovo događanje okupilo je mentorice, profesorice i nastavnice koje su se odlučile okušati u rješavanju CTF zadataka iz područja web sigurnosti, steganografije, kriptografije, reverznog inženjerstva, eksploatacije binarnog kôda, digitalne forenzike i OSINT-a.

CARNET – Sektor Nacionalni CERT je u projektu “ZoomIn4PinkHats – ZI4PH” održao trenažni kamp (bootcamp) za profesorice, nastavnice i mentorice iz 14 srednjih i osnovnih škola. Polaznice treninga stigle su iz 12 gradova: Dubrovnika, Splita, Makarske, Osijeka, Pule, Zadra, Rijeke, Samobora, Zaprešića, Ivanić Grada, Velike Gorice i Zagreba.

Polaznice su izabrane prema interesu za sudjelovanjem u projektu, a prioritet su imale one koje su od 2020. godine prijavljivale timove na Hacknite CTF natjecanje za srednjoškolce. Stigle su iz: Gimnazije Velika Gorica, XIII. gimnazije Zagreb, Škole za dizajn grafiku i održivu gradnju Split, Strukovne škole Vice Vlatkovića Zadar, Elektrotehničke i prometne škole Osijek, Srednje škole Jelkovec, Turističke i ugostiteljske škole Dubrovnik, Biskupijske klasične gimnazije Ruđera Boškovića Dubrovnik s pravom javnosti, Gimnazije Pula, Srednje škole fra Andrije Kačića Miošića Makarska, Osnovne škole Ivana Gundulića Zagreb, Srednje škole Ivan Švear Ivanić Grad, Srednje škole ban Josip Jelačić Zaprešić, Osnovne škole Turnić Rijeka i Srednje strukovne škole Samobor.

Održanim treningom osnažili smo i educirali polaznice zaposlene u srednjim i osnovnim školama za provedbu daljnjih aktivnosti edukacije učenica i pružanje podrške u njihovim projektima i radionicama koje provode s ciljem učenja o različitim temama kibernetičke sigurnosti i popularizacije područja kibernetičke sigurnosti među učenicama.

Rezultati projekata koje će provesti učenice iz uključenih škola bit će predstavljeni na konferenciji 31. listopada u Zagrebu.

Projekt je financiran kroz GÉANT Innovation Programme 2024. u trajanju od 6 mjeseci (01.svibnja – 31.listopada 2024). 

The post ZI4PH – Trenažni kamp za profesorice i nastavnice iz područja kibernetičke sigurnosti first appeared on CERT.hr.

Kvantna prijetnja, kvantna računala, qubiti, superpozicija, kvantna kriptografija, postkvantna kriptografija…

Sve su to pojmovi koji se često mogu naći u člancima o trenutnom stanju kriptografije, mogućim budućim napadima te gotovo magičnim svojstvima kvantne fizike.

Saznajte:

Što to sve trenutno zaista znači za naše informacijske sustave i usluge?

Što je od toga važno razumjeti?

Koliko smo ugroženi i kako se možemo obraniti?

Ovo predavanje će vam pokušati dati odgovore na ova pitanja kroz primjer kvantnog osnaživanja usluge provjere ranjivosti.

Predavačice:

Dunja Ivković i Žaklina Šupica, Hrvatska akademska i istraživačka mreža – CARNET, Sektor – Nacionalni CERT

Više informacija pronađite https://croqci.srce.hr/

The post Webinar: Qubiti napadaju – Kako pripremiti obranu od kvantne prijetnje? first appeared on CERT.hr.

Natjecanje u obliku CTF-a (Capture the Flag) namijenjeno je srednjoškolskim timovima. Natjecanjem se proširuje svijest o važnosti primjene sigurnosnih mjera te izbjegavanju i ispravljanju mogućih sigurnosnih propusta u programskom kôdu, postavkama ili nekoj drugoj komponenti računalnog sustava.

Hacknite natjecanje je dio kvalifikacija za nacionalni tim koji će predstavljati Hrvatsku na European Cyber Security Challenge – ECSC natjecanju.

Prijavite svoje timove i pokažite znanje iz kibernetičke sigurnosti u dosad najzanimljivijem Hackniteu!

Natjecanje će se održati od 18. listopada 2024. (petak) u 20:00 sati do 20. listopada 2024. (nedjelja) u 20:00 sati.

Pravo sudjelovanja imaju svi učenici srednjih škola u Republici Hrvatskoj uz mentorstvo svojih profesora kao prijavitelja timova.

Za sudjelovanje u nagradnom natjecanju potrebno je, tijekom prijavnog razdoblja (od 17. rujna do zaključno 13. listopada 2024.), pristupiti prijavnom obrascu Organizatora u kojem prijavitelj navodi nazive članova svojih timova (prijavitelj i pet članova tima – ukupno šest osoba) uz originalan i kreativan naziv svog tima. Za sudjelovanje u nagradnom natjecanju potrebno je:

• ispuniti prijavni obrazac za svoj tim
• upoznati se s Pravilima natjecanja
• popuniti sva polja obrasca za prijavu istinitim osobnim i kontakt podacima
• prihvatiti Pravila postavljanjem kvačice na polje “Potvrđujem da sam upoznat/a i suglasan/na s pravilima ovog natjecanja”
• prihvatiti GDPR suglasnost opisanu na stranicama cert.hr i carnet.hr

Sva dodatna pitanja možete postaviti slanjem upita na adresu elektroničke pošte ecsm@cert[.]hr!

Prijave su otvorene od 17. rujna do 13. listopada 2024. godine.

Pravilnik natjecanja je dostupan na poveznici: HACKNITE PRAVILA

The post Otvorene su prijave za Hacknite 2024! Pokažite svoje znanje iz kibernetičke sigurnosti! first appeared on CERT.hr.

Od 26. do 30. kolovoza 2024., u prostorijama Fakulteta elektrotehnike i računarstva u Zagrebu (FER), održan je CTF trenažni kamp u sklopu Hackultet natjecanja i projekta e-Sveučilišta. Kamp je organiziran u suradnji CARNET-ovog Sektora – Nacionalnog CERT-a i FER-ovog Laboratorija za sustave i signale (LSS), a okupio je 25 studenata koji su svoje znanje već pokazali na našim CTF natjecanjima. Temeljni cilj kampa bila je priprema najtalentiranijih natjecatelja za sudjelovanje na European Cybersecurity Challengeu (ECSC), koji će se održati u Torinu od 7. do 11. listopada 2024.

Sudionici su imali priliku učiti od vrhunskih stručnjaka i kroz pet dana proći kroz razne teme vezane uz kibernetičku sigurnost:

• Kriptografija (prof. Ante Đerek)
• Sigurnost web aplikacija (prof. Marin Vuković)
• Binary Exploitation (Benjamin Nadarević, FER – LSS)
• Sigurnost mreža (prof. Miljenko Mikuc)
• Sigurnost automobila (Josip Mikulić)
• Attack/Defense demonstracija (prof. Stjepan Groš)

Na završnom danu kampa održano je individualno Jeopardy style CTF natjecanje s 13 izazova u četiri kategorije: Binary Exploitation, Web sigurnost, Kriptografija i Forenzika/Mrežna sigurnost.

Deset natjecatelja plasiralo se u hrvatski tim koji će predstavljati Hrvatsku na ECSC-u 2024.

Istaknuti sudionici kampa i budući članovi hrvatskog tima podijelili su svoja iskustva i očekivanja od nadolazećeg natjecanja:

Ian “ian” Petek, student druge godine FER-a iz Zagreba, bavi se robotikom, točnije automatizacijom viličara, a CTF-ovi su mu dugogodišnji hobi. Iako se neočekivano našao na bootcampu, raduje se sudjelovanju na ECSC-u jer mu je to prvi CTF ovakvog značaja.

Danko “Dantae” Delimar, student diplomskog studija na FER-u dolazi nam iz Koprivnice. Zaljubljenik u binarne zadatke, svoju ljubav prema sigurnosti je otkrio sudjelovanjem na Hacknite natjecanju, a to ga je dovelo i do pozicije jednog od voditelj Laboratorija za kibernetičku sigurnost (KibSec) gdje podučava druge studente rješavanju CTF zadataka. Nakon pobjede na Hackultetu postao je član i nacionalnog tima, a na ECSC-u očekuje teške zadatke i odličnu atmosferu.

Antonio “antony” Fran Trstenjak iz Svete Nedelje, student je programskog inženjerstva na  Sveučilištu Algebra, s izvrsnim rezultatom na Hackultetu, osigurao je mjesto na bootcampu, a zatim i u nacionalnom timu. Nada se da će se dobro zabaviti i upoznati nove ljude tijekom natjecanja.

Karlo “Zgubidan” Smirčić, student FER-a iz Kastva, kibernetičkom sigurnosti se bavi već tri godine  te aktivno sudjeluje u CTF natjecanjima. Na bootcampu je dodatno proširio svoje znanje za koje vjeruje da će mu pomoći na ECSC-u. Posebno ga zanimaju web zadaci i nada se uspjehu i na europskoj razini.

Roko “rdobovic” Dobovičnik vjerni je zagovaratelj otvorenog kôda iz Svete Nedelje, student je prve godine FER-a. Član je pobjedničkog BrownBird Team-a na H4CKNITEa kojeg opisuje kao jedno od najzabavnijih natjecanja na kojima je sudjelovao. Posebno ga zanima programiranje, a najbliža kategorija na CTF-ovima mu je web.

Filip “FilipTheWise” Novak, student FOI-a iz Čakovca, voli zadatke iz forenzike jer su mu poput zabavne detektivske avanture, a nije mu mrska ni kriptografija. Smatra da će mu ECSC biti prilika za usavršavanje timskog rada i rješavanje složenih zadataka, pogotovo u A/D dijelu natjecanja.

Antonio “Tonco” Ivanović iz Goričana, student je prve godine računarstva na TVZ-u, od drugog razreda srednje sudjeluje na Hacknite natjecanjima, a prošle godine je njegov tim osvojio drugu mjesto. Na bootcampu je dosta toga naučio i proširio je svoje vidike u području kibernetičke sigurnosti. Najzanimljiviji su mu zadaci iz Web sigurnosti te mu je velika želja nastaviti karijeru u području etičkog hakiranja.

Toni “Tonik” Kukec, student FER-a, dolazi  iz Kastva. Većinu života se bavi tehnologijom, počevši od Lego robota u osnovnoj školi, napredovao je do softvera, ali i malo većih robota (FIRST Robotics Competition). U kibernetičku sigurnost ušao je nakon Hacknite natjecanja, koje ga je zainteresiralo za temu. Nakon mnogo truda došla je i pobjeda na Hackniteu kao i sudjelovanje na ECSC-u, što je za njega jedno nezaboravno iskustvo na kojem je upoznao brojne vršnjake iz cijele Europe s kojima dijeli zajedničke interese. Raduje se što će ih opet susresti u Torinu na ovogodišnjem ECSC-u.

Hackultet CTF trenažni kamp pružio je studentima jedinstvenu priliku za usavršavanje u svijetu kibernetičke sigurnosti, a izabrani tim svaki vikend trenira na raznim regionalnim i međunarodnim online CTF natjecanjima  te s nestrpljenjem iščekuje natjecanje u Torinu, gdje će imati priliku predstavljati Hrvatsku na međunarodnoj sceni.

Sretno Team Croatia (CrOwOatia)! #ECSC2024 #TeamCroatia #SurfajSigurnije

The post Održan CTF trenažni kamp u sklopu Hackultet natjecanja i projekta e-Sveučilišta first appeared on CERT.hr.

Apache je izdao zakrpu za kritičnu ranjivost u softvera otvorenog koda OFBiz (Open For Business), koja bi napadačima mogla omogućiti izvršavanje proizvoljnog koda na ranjivim Linux i Windows poslužiteljima.

OFBiz je paket poslovnih aplikacija za upravljanje odnosima s kupcima (CRM) i planiranje poslovnih resursa (ERP) koji se također može koristiti kao framework, temeljen na Javi, za razvoj web aplikacija.

Ranjivost je dobila oznaku CVE-2024-45195, a otkrili su je istraživači iz Rapid7. Ova ranjivost napadačima omogućuje da neautentificiranim izravnim zahtjevima pristupe ograničenim resursima.

„Napadač bez valjanih vjerodajnica može iskoristiti nepostojanje provjere autorizacije pregleda u web aplikaciji za izvršavanje proizvoljnog kôda na poslužitelju“ – Ryan Emmons vodeći istraživač u Rapid7.

Ovom zakrpom se rješavaju još tri ranjivosti (CVE-2024-32113, CVE-2024-36104, CVE-2024-38856), a sve su imale ishodište u istom problemu.

Rapid7 je izdao i izvješće u kojem su detaljnije opisali ranjivosti, a možete ga pročitati na poveznici: https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed/

Izvor: https://www.bleepingcomputer.com/

The post Izdana je zakrpa za Apache OFBiz first appeared on CERT.hr.

Microsoft je izdao zakrpe za 90 ranjivosti koje uključuju 10 ranjivosti nultog dana, a 6 ih se aktivno iskorištava.

6 ranjivosti koje je potrebno hitno zakrpati:

CVE-2024-38189 (CVSS score: 8.8) – Microsoft Project Remote Code Execution Vulnerability

CVE-2024-38178 (CVSS score: 7.5) – Windows Scripting Engine Memory Corruption Vulnerability

CVE-2024-38193 (CVSS score: 7.8) – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

CVE-2024-38106 (CVSS score: 7.0) – Windows Kernel Elevation of Privilege Vulnerability

CVE-2024-38107 (CVSS score: 7.8) – Windows Power Dependency Coordinator Elevation of Privilege Vulnerability

CVE-2024-38213 (CVSS score: 6.5) – Windows Mark of the Web Security Feature Bypass Vulnerability

Više informacijama o ranjivostima možete pročitati na stranici https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

#SurfajSigurnije

The post Microsoft je izdao zakrpe za 90 ranjivosti first appeared on CERT.hr.

U organizaciji Agencije Europske unije za kibernetičku sigurnost (ENISA), od 19. do 20. lipnja 2024. godine, održana je sedma po redu kibernetička vježba Cyber Europe. U vježbi je simuliran koordinirani kibernetički napad na kritičnu infrastrukturu s naglaskom na energetski sektor. Cilj vježbe bio je procijeniti spremnost i učinkovitost odgovora na kibernetičke incidente koji mogu imati dalekosežne posljedice na društvo i gospodarstvo. 

CARNET-ov Nacionalni CERT, kao nacionalni koordinator vježbe, okupio je ukupno 78 kibernetičkih stručnjaka iz raznih tvrtki i institucija (SPAN, APIS-IT, KING-ICT, HAKOM, Shneider Electric, Hrvatski telekom, A1 Hrvatska) kako bi testirali svoju spremnost i snalaženje u ulogama koje bi imali u slučaju stvarnog napada. 

Zahvaljujući Spanu i njihovom Centru za kibernetičku sigurnost čak 40 igrača se okupilo uživo na jednom mjestu, dok su ostali sudjelovali online. 

„Mi smo posebno ponosni na činjenicu da smo upravo mi domaćini u našem Centru za kibernetičku sigurnost jer je upravo naša misija približiti zajedno i udružiti profesionalce kako bi međusobno učili i razmjenjivali znanja i iskustva“, rekao je Neven Zitek, voditelj Spanovog Odjela za odgovor na kibernetičke incidente. 

Scenarij vježbe započeo je simuliranim napadom na sustave za upravljanje električnom mrežom i distribuciju plina. Napad je rezultirao prekidima u opskrbi energijom, što je dovelo do značajnih smetnji u svakodnevnom životu i poslovanju. Tijekom simulacije, napadači su koristili sofisticirane metode kako bi infiltrirali sustave i onesposobili ključne komponente infrastrukture. 

Kako se vježba odvijala, posljedice napada su se proširile na sektore prometa i zdravstva što je uzrokovalo poteškoće u pružanju zdravstvenih usluga i prekide u obavljanju prometnih usluga. Ovaj dio vježbe istaknuo je utjecaj poremećaja rada energetskog sektora na druge kritične usluge, pokazujući kako kibernetički napadi na jedan sektor mogu imati domino efekt na druge sustave i ljudski život. 

Tijekom vježbe, nacionalne i europske institucije za kibernetičku sigurnost, kao i relevantne institucije iz pogođenih sektora, aktivno su surađivale u odgovorima na incidente. Vježba je omogućila testiranje učinkovitosti postojećih protokola za odgovor na kibernetičke napade, kao i poboljšanje komunikacijskih kanala i koordinacije među različitim institucijama, sektorima i državama članicama. 

Vježba je pokazala da je kibernetička sigurnost ključna komponenta nacionalne sigurnosti i da je nužno kontinuirano unapređivati sposobnosti za prevenciju, detekciju i odgovor na kibernetičke prijetnje. Preporučeno je jačanje međunarodne suradnje, redovita organizacija sličnih vježbi te ulaganje u edukaciju i podizanje svijesti o kibernetičkoj sigurnosti na svim razinama društva. 

„Zajednica kibernetičke sigurnosti u Hrvatskoj nije velika. Moramo međusobno surađivati, razmjenjivati znanja i prakse, sudjelovati na ovakvim događanjima kako bismo povećali svoje kapacitete i sposobnost Hrvatske da se obrani od kibernetičkih prijetnji“, rekla je Nataša Glavor, pomoćnica ravnatelja CARNET-a za Sektor – Nacionalnog CERT-a. 

Vježbe poput ove predstavljaju važan korak u jačanju otpornosti Europske unije na kibernetičke prijetnje, osiguravajući bolju zaštitu kritične infrastrukture i sigurnost građana. 

Pogledajte dojmove i atmosferu s vježbe:

The post Kibernetička vježba Cyber Europe 2024 first appeared on CERT.hr.

Nacionalni CERT zaprimio je prijave pokušaja prijevare u kojima se napadači predstavljaju kao dijete u nevolji.

Građani sve češće dobivaju poruke u kojima se napadači predstavljaju kao članovi obitelji, a posebno su na meti majke.

Napadači koriste strah i roditeljski nagon za pomoć svojoj djeci te se nadaju da će roditelji u panici i brzopletosti nasjesti na prijevaru.

Cilj ove prijevare je krađa novca.

Prijevara ide ovako:

Napadači šalju poruke u kojima se obraćaju roditeljima.

„Mama pokvario mi se mobitel. Ovo je moj novi broj. Pošalji mi poruku.“

Ako uđete u komunikaciju s njima u nastavku će vas tražiti da platiti određeni trošak koji je nastao zbog kvara mobitela ili nekog drugog razloga.

„Ne mogu platiti novi mobitel, jer ne mogu pristupiti svom računu s ovim brojem. Iz banke su mi rekli da dođem sutra. Molim te uplati novce na ovaj račun, a ja ti dam gotovinu večeras“

U nastavku pročitajte razgovor s jednim od prevaranata.

The post Upozorenje: prevaranti kontaktiraju roditelje i predstavljaju se kao djeca u nevolji first appeared on CERT.hr.