Sakupljač feed-ova

Na Hrvatskom vojnom učilištu “Dr. Franjo Tuđman” od 28. studenoga do 5. prosinca 2025. provedena je međunarodna NATO vježba “Cyber Coalition 25”.

Vježba “Cyber Coalition 25” jedna je od najvećih i najznačajnijih kibernetičkih vježbi. Riječ je o vodećoj godišnjoj NATO vježbi kolektivne kibernetičke obrane koja okuplja više od tisuću sudionika iz više od trideset zemalja članica NATO-a, partnerskih država i pozvanih promatrača.

Vježbu već osamnaestu godinu organizira Savezničko zapovjedništvo za transformaciju. Republika Hrvatska uključena je u vježbu “Cyber Coalition” od 2009. kao promatrač, a od 2013. godine kao aktivni sudionik, kontinuirano jačajući svoje kapacitete u području kibernetičke obrane.

U provedbi vježbe “Cyber Coalition 25” u Hrvatskoj sudjeluje Zapovjedništvo za kibernetički prostor, kao nacionalni nositelj, zajedno s predstavnicima Ministarstva obrane RH, Oružanih snaga RH, brojnim državnim institucijama, akademskom zajednicom te privatnim sektorom. Time se osigurava širok nacionalni doprinos i međusektorska suradnja.

Djelatnici Nacionalnog CERT-a sudjelovali su u radu operativne, tehniče te obučne skupine za krizno komuniciranje.

Izaslanik načelnika Glavnog stožera Oružanih snaga Republike Hrvatske brigadir Tihomir Tomić o vježbi je rekao: “U vježbi ‘Cyber Coalition’ sudjelujemo od 2013., a vježba se od početka temelji na civilno-vojnoj suradnji. Uz Hrvatsku vojsku u vježbi sudjeluju državne institucije. Počeli smo s jednim scenarijem na mreži, zatim smo svake godine postupno uključivali sve više i više scenarija. Danas sudjelujemo u svim scenarijima, što nas čini čvršćima, jačima i stabilnijima.”

Zapovjednik Zapovjedništva za kibernetički prostor pukovnik Davor Stanković rekao je: “Danas je više nego ikad jasno da se globalna sigurnosna slika mijenja brže nego što smo godinama smatrali mogućim. Rat u Ukrajini pokazuje svijetu da kibernetički prostor više nije samo podrška konvencionalnom ratovanju – on je prvo bojište, područje u kojem napadi mogu paralizirati kritične sustave, narušiti povjerenje javnosti i destabilizirati čitave regije.”

“Istodobno, suočavamo se s porastom hibridnih aktivnosti, naprednim ransomware kampanjama te državnim i nedržavnim akterima koji se digitalnim alatima koriste za ucjenu, sabotažu i širenje dezinformacija. Sve to potvrđuje da je kibernetička sigurnost postala temelj nacionalne i kolektivne sigurnosti. Upravo zato ovakva vrsta vježbe ima iznimnu vrijednost – ona omogućuje da u kontroliranom, ali realističnom okruženju testiramo svoje sposobnosti, otkrivamo slabosti i učimo jedni od drugih”, istaknuo je pukovnik Davor Stanković.

Nacionalni voditelj vježbe pukovnik Kristijan Jakopanec objasnio je: “Vježba ima četiri razine sudionika. Prva razina je nacionalni direktor vježbe koji je odgovoran za nadzor i ukupno vođenje vježbe. Drugu razinu čine kontrolori vježbe smješteni u estonskom glavnom gradu Talinu. Oni nadziru tijek vježbe, usmjeravaju aktivnosti te aktiviraju pojedine dijelove scenarija. Na operativnoj razini djeluju voditelji i lokalni treneri. Oni prate rad obučnih skupina, daju smjernice i pomažu timovima u postizanju zadanih ciljeva, uz stalnu koordinaciju s kontrolorima vježbe. Središnji dio vježbe čine obučne skupine: tehnička, operativna, pravna i skupina za krizno komuniciranje. Svaka od njih uvježbava specifične procedure potrebne za uspješno upravljanje kibernetičkim incidentima.”

Sudionike vježbe posjetili su izaslanik načelnika Glavnog stožera Oružanih snaga RH brigadir Tihomir Tomić, izaslanik ravnatelja Zavoda za sigurnost i informacijske sustave Krešimir Šipek, inspektor iz Inspektorata obrane brigadir Davor Dabo, izaslanik zapovjednika Zapovjedništva specijalnih snaga pukovnik Marinko Šajn i pomoćnik ravnatelja Carneta Miro Đuzel.

The post Održana međunarodna NATO vježba “Cyber Coalition 25” first appeared on CERT.hr.

Kritična ranjivost, nazvana “React2Shell”, u React Server Components (RSC) Flight protokolu omogućuje udaljeno izvršavanje kôda bez autentikacije u React i Next.js aplikacijama. Ranjivi su i svi okviri (engl. frameworks) i biblioteke koje koriste React.

Sigurnosni problem proizlazi iz nesigurne deserializacije. Dobio je ocjenu ozbiljnosti 10/10 i dodijeljen mu je identifikator CVE-2025-55182.

Sigurnosni istraživač Lachlan Davidson otkrio je propust i prijavio ga React timu 29. studenog. Utvrdio je da napadač može postići udaljeno izvršavanje kôda (RCE) slanjem posebno oblikovanog HTTP zahtjeva prema React Server Function krajnjim točkama (engl. endpoints).

“Čak i ako vaša aplikacija ne implementira nijednu krajnju točku za React Server Function, i dalje može biti ranjiva ako podržava React Server Components (RSC),” upozorava React u sigurnosnom savjetu.

Sljedeći paketi u svojoj zadanoj (engl. default) konfiguraciji su pogođeni:

• react-server-dom-parcel
• react-server-dom-turbopack
• react-server-dom-webpack

React je open-source JavaScript biblioteka za izgradnju korisničkih sučelja. Održava ga Meta i široko je usvojen među organizacijama svih veličina za razvoj front-enda.

Next.js, koji održava Vercel, je framework izgrađen na Reactu koji dodaje server-side rendering, rutiranje i API krajnje točke.

Oba rješenja široko su prisutna u cloud okruženjima kroz front-end aplikacije koje pomažu u bržem i lakšem skaliranju i implementaciji arhitektura.

Utjecaj i zakrpe

Prema Reactu, ranjivost je prisutna u verzijama 19.0, 19.1.0, 19.1.1 i 19.2.0. Next.js je pogođen u eksperimentalnim canary izdanjima počevši od 14.3.0-canary.77, te u svim izdanjima 15.x i 16.x prije zakrpanih verzija.

Propust postoji u paketu ‘react-server’ koji koristi i React Server Components (RSC), a Next.js ga nasljeđuje kroz implementaciju RSC Flight protokola.

Ista ranjivost vjerojatno postoji i u drugim bibliotekama koje implementiraju React Server, uključujući Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK i Waku.

Tehničke detelje ranjivostori možete pronaći na React2Shell web stranici.

Preporučene radnje

Programerima se strogo preporučuje primjena zakrpa dostupnih u:

React:

• 19.0.1
• 19.1.2
• 19.2.1

Next.js:

• 15.0.5
• 15.1.9
• 15.2.6
• 15.3.6
• 15.4.8
• 15.5.7
• 16.0.7

Organizacije bi trebale provjeriti svoja okruženja kako bi utvrdile koriste li ranjivu verziju te poduzeti odgovarajuće mjere za ublažavanje rizika.

Izvor: https://www.bleepingcomputer.com/news/security/critical-react2shell-flaw-in-react-nextjs-lets-hackers-run-javascript-code/

The post React2Shell ranjivost (cvss 10). Hitno ažurirajte ranjive verzije first appeared on CERT.hr.

U Zagrebu je jučer održana međunarodna konferencija o podizanju razine svijesti javnosti o važnosti kibernetičke sigurnosti pod nazivom „Empowering the Human Element“, koju su organizirali European Union Agency for Cybersecurity (ENISA) i CARNET, u suradnji s Hrvatskim institutom za kibernetičku sigurnost (HIKS) te Sveučilišnim centrom za kibernetičku sigurnost na Sveučilištu Sjever.

Ovo međunarodno događanje, okupilo je više od 300 sudionika iz cijele Europe, uključujući stručnjake za kibernetičku sigurnost i edukaciju, predstavnike institucija i industrije, akademske zajednice, nevladinih organizacija te medija, kao i menadžere i donositelje odluka koji unutar svojih organizacija oblikuju strategije podizanja svijesti o kibernetičkoj sigurnosti.

U uvodnom obraćanju, Evangelos Ouzounis, voditelj izgradnje kapaciteta u ENISA-i, istaknuo je važnost podizanja svijesti o kibernetičkoj sigurnosti kao temelja otpornosti na sve složeniji krajobraz prijetnji, dok je dr. sc. Ivan Šabić, PhD, zamjenik ravnatelja CARNET-a, naglasio kako CARNET u središte svojih aktivnosti stavlja ljudski faktor te da su sustavi sigurni onoliko koliko su sigurni ljudi koji ih koriste, dodajući kako je jačanje vještina, svijesti i kvalitetnog donošenja odluka u digitalnom okruženju ključno za dugoročnu otpornost u Hrvatskoj i na razini Europske unije.

Na konferenciji su CARNET-ovi stručnjaci aktivno dijelili svoje znanje i iskustva. Renata Šimunko iz Nacionalnog koordinacijskog središta, sudjelovala je na panelu o učinkovitosti programa podizanja svijesti o kibernetičkoj sigurnosti, dok je kolega Jakov Kiš iz Nacionalnog CERT-a predstavio Cybersecurity Treasure Hunt, pokazujući kako igrifikacija može učiniti učenje interaktivnim i motivirajućim.

The post U Zagrebu održana ENISA-ina konferencija o podizanju svijesti o kibernetičkoj sigurnosti first appeared on CERT.hr.

Uoči „Crnog petka“, kada raste broj internetskih kupovina, ali i online prijevara, Hrvatska udruga banaka (HUB) u suradnji s MUP-om i CARNET-ovim Nacionalnim CERT-om pokrenula je nacionalnu kampanju „Budimo realni“.

Kroz TV spotove i edukativnu internetsku stranicu www.budimorealni.hr kampanja prikazuje primjere najčešćih oblika prijevara – od lažnih stranica banaka i phishing poziva do romantičnih i investicijskih prijevara.

Glavno lice kampanje je glumac Hrvoje Kečkeš, koji u ulozi „susjeda heroja“, uz prepoznatljivu frazu „Budimo realni“, upozorava na situacije u kojima prevaranti koriste povjerenje i brzopletost građana.

Građanima se savjetuje i da prije kupnje dobro provjere internetsku trgovinu, uključujući i iskustva drugih korisnika, te da podatke o kartici unose samo na sigurnim i pouzdanim stranicama.

Za što informiranije donošenje odluke prije online kupovine posjetite https://iffy.cert.hr/

The post CARNET-ov Nacionalni CERT partner kampanje „Budimo realni“ za sprječavanje internetskih prijevara first appeared on CERT.hr.

Na šestom izdanju Hacknitea, CTF natjecanja iz područja kibernetičke sigurnosti za učenike srednjih škola, ove je godine odnijela ekipa G04T iz Gimnazije i strukovne škole Jurja Dobrile Pazin. Iako je svim članovima ovo bilo prvo natjecanje iz područja kibernetičke sigurnosti, svojim su znanjem, upornošću i timskim radom zasluženo osvojili prvo mjesto.

Tim je mentorirao Lovro Šverko, nastavnik informatike i stručnih predmeta iz područja računalstva, a pobjedničku ekipu čine:
Filip Peršurić Bernobić
Jan Runko
Toni Sergo
Zvonimir Fadiga
Antonio Hrelja

Članovi tima G04T-a u slobodno vrijeme bave raznim interesima kao što je sviranje, programiranje, rad s mikrokontrolerima i senzorima, no svima je zajednička ljubav prema informatici i praćenju novih tehnologija.

Kako je nastao pobjednički tim

Primarna namjera mentora Lovre bila je potaknuti učenike da se prijave, okupiti ekipu iz različitih razreda prirodoslovno-matematičke gimnazije i motivirati ih da iskoriste svoje znanje u realnom i izazovnom okruženju kibernetičke sigurnosti.

„Za Hacknite smo saznali preko profesora informatike koji nam je preporučio natjecanje i rekao nam više o njemu. Privukao nas je sam stil natjecanja i mogućnost pronalaženja problema u aplikacijama.”

Prije Hacknitea članovi tima nisu ozbiljnije razmišljali o tome da bi ih kibernetička sigurnost mogla ovako zanimati, no ovo ih je iskustvo potaknulo da detaljnije istraže ovo područje.

Taktika natjecanja

Mentor Lovro navodi da su pripreme za natjecanje u potpunosti su bile u rukama učenika. Ističe da je jedan član tima, Filip, preuzeo inicijativu: prezentirao je ostalima što je Hacknite i kako se pripremiti. Kada se ekipa formirala, učenici su samostalno organizirali svoje pripreme.

Učenici su imali jasnu taktičku pretpostavku. Plan je bio da u petak pogledaju zadatke i odu relativno rano spavati, kako bi u subotu ujutro bili odmorni i mogli napraviti što veću razliku. Pretpostavili su da će ostale iskusnije ekipe rješavati zadatke cijelu noć i biti umorne drugi dan, što bi im moglo dati prednost. Ta se taktika pokazala uspješnom jer je upravo razlika stvorena u subotu bila ključna za konačnu pobjedu.

„Drugog dana natjecanja smo se probudili vrlo rano kako bismo stekli prednost pred ostalim timovima koji su još spavali.“

Neki su radili više danju, neki noću, a jedino je pravilo bilo – ne ići spavati prekasno kako bi drugi dan bili odmorni. Zadatke su rješavali najkasnije do 2 ujutro.

Najzahtjevniji i najzanimljiviji zadaci

Učenici kažu kako su im najzahtjevniji zadaci bili: Tajna poruka, Haxxor i Keygen, dok kao najzanimljivije zadatke ističu: Kanta, Tajna poruka, Keygen i galf.gnp.

Mentor Lovro smatra da je najveći napredak ovog natjecanja mentalni pomak, spoznaja učenika da kao ekipa mogu riješiti najteže zadatke i postati najbolji u državi, što im daje veliko samopouzdanje za buduće izazove i projekte.

Hacknite 2025. – iskustvo koje će pamtiti

Sudjelovanje na Hackniteu članovi tima opisali su kao uzbudljivo i iznimno pozitivno iskustvo.

„Drago nam je da atmosfera nije bila PREprofesionalna svi su na discord serveru bili jako opušteni, dragi i pozitivni.“

Posebno im je u sjećanju ostala odlična interna atmosfera tijekom privatnih Discord razgovora dok su rješavali zadatke, kroz koje su se bolje upoznali i jako dobro zabavili.

Mentora je najviše iznenadio sam rezultat i način na koji su učenici dominirali natjecanjem. Nije očekivao posebno dobar rezultat, a kamoli uvjerljivu pobjedu nad iskusnijim ekipama s obzirom na to da im je ovo bilo prvo sudjelovanje na Hacknite natjecanju.

„Moja uloga se primarno svela na emocionalno i psihološko vodstvo. Iako su učenici bili u konstantnom vodstvu, poticao sam ih da ne odustaju i da u natjecanje unose punu snagu. Čak i kada su postigli značajnu prednost, usmjeravao sam ih na rješavanje zadataka koje su smatrali nerješivima. Cilj nije bila pobjeda pod svaku cijenu, već da sami sebi dokažu da mogu pomaknuti vlastite granice i riješiti najteže izazove.“

Najposebniji trenutak za mentora bio je u nedjelju navečer, kada mu je voditelj druge ekipe javio: “Odustali su, prihvatili su 2. mjesto.” Taj trenutak za njega je bio emotivan vrhunac, potvrda da je taktika tima uspjela i da su učenici, već u prvom pokušaju, nadigrali konkurenciju.

Znanje za budućnost i planovi za dalje

Članovi tima ističu kako su kroz ovogodišnje natjecanje, a posebno kroz samo sudjelovanje na Hackniteu, naučili mnogo novih i korisnih stvari iz područja kibernetičke sigurnosti, upoznali su brojne alate i metode koji se koriste u praksi, a koje ranije nisu poznavali. Sve zajedno, iskustvo im je donijelo širok spektar znanja koje smatraju iznimno vrijednim.

Najviše se interesiraju za razvoj tehnologija i različita područja unutar kibernetičke sigurnosti, među kojima su OSINT, reverzno inženjerstvo i web kategorija, a nakon sudjelovanja na Hackniteu još im je zanimljivije otkrivati ranjivosti na internetu. Posebno im je zanimljiv rad u obrambenom, blue timu, gdje bi voljeli štititi sustave, otkrivati prijetnje i jačati sigurnosne mehanizme.

Dok se neki članovi tima jednog dana vide u ulozi sigurnosnog stručnjaka, drugi planiraju karijere poput game developera ili rada u području glazbe. Ipak, svima je kibernetička sigurnost izrazito zanimljivo i privlačno područje informatike.

Mentor Lovro kaže da se interes mora nastaviti razvijati kroz praktičan rad i natjecanja. Također, smatra da je ključno u školama prepoznati ovakve grupe učenika i pružiti im maksimalnu podršku, jer oni su ti koji će postati naši budući stručnjaci u ovom neizmjerno važnom području.

Ponovno sudjelovanje na CTF natjecanju

Kada je riječ o budućim sudjelovanjima, tim još nije potpuno siguran, zato što su neki članovi maturanti i više neće moći sudjelovati na Hackniteu. Svakako planiraju iskušati i druga CTF natjecanja, poput picoCTF-a i drugih, a dio tima volio bi u budućnosti sudjelovati i na Hackultetu. Dok mentor Lovro odlučno navodi kako će ponovo sudjelovati na Hacknite natjecanju i braniti titulu pobjednika, a svim budućim natjecateljima poručuje:

„Samo se prijavite! Nije bitno koliko znate na početku, bitno je koliko ste voljni naučiti i surađivati. Kao što je i naš tim pokazao, zajedništvo i entuzijazam su jači od dugogodišnjeg iskustva.“

Pobjeda tima G04T dokaz je da među mladima u Hrvatskoj raste snažna generacija talentiranih, znatiželjnih i motiviranih učenika spremnih suočiti se s izazovima kibernetičke sigurnosti. Još jednom od srca čestitamo pobjedničkom timu GO4T i mentoru na ostvarenom rezultatu!

The post Upoznajte pobjednički tim Hacknite natjecanja 2025 – G04T first appeared on CERT.hr.