Od 1.4.2025 sa na Slovensku zavádza daň z firemných transakcií Slovenskí súdruhovia sa inšpirovali autoritatívnymi diktátormi – Madurom vo Venezuele a Orbánom v Maďarsku, ktorí ako jediní dvaja zaviedli daň z akýchkoľvek transakcií. Nemá ju žiadna krajina eurozóny, len Slovensko. Slovná úloha: “Máme dva firemné bankové účty v dvoch rôznych bankách. Na každom máme 10000 […]

Problém mobilnej anonymity Dystópia v Európe naberá plné obrátky a dosiahnuť skutočnú anonymitu z mobilných zariadení je veľký problém. Na obrázku nižšie môžeme vidieť, že väčšina štátov vyžaduje povinnú registráciu SIM kariet na OP alebo pas. Znamená to, že všetci mobilní operátori v danom štáte (a samozrejme aj samotné štátne inštitúcie) majú kompletnú informáciu o […]

Popis práce: Hľadanie bezpečnostných zraniteľností v Android a/alebo iOS aplikáciach a v najpestrejších webových aplikáciach a webových službách. Testovanie mobilných aplikácií zahrňuje detailné otestovanie mobilných aplikácií a príslušných webových služieb v súlade s OWASP Mobile Security Testing Guide, testovanie webových aplikácii je obvykle realizované podľa OWASP Web Testing Guide. Výsledok testovania je zdokumentovaný tvorbou výslednej […]

V spoločnosti Nethemba sme 14.8. vypublikovali blog Možnosť plošného získania a zneužitia EÚ vakcinačných certifikátov, kde sme odhalili a demonštrovali kritickú zraniteľnosť v systéme eHranica: K odhaleniu tejto zraniteľnosti došlo úplnou náhodou pri bežnom používaní formuláru eHranica (nešlo o žiadny cielený útok). Z našej strany nebolo prekonané žiadne bezpečnostné opatrenie (žiadne tam nebolo). Na demonštráciu […]

Ako na základe mena a dátumu narodenia získať EÚ vakcinačný preukaz ľubovoľného občana SR 1 História zraniteľností Podobne ako pri poslednej zraniteľnosti NCZI, kedy sme boli schopní stiahnuť všetky PCR/antigen testy a osobné informácie všetkých testovaných občanov, aj túto zraniteľnosť sme objavili čistou náhodou (čo znamená, že sme nerealizovali žiadny cielený scan, nehľadali konkrétne zraniteľnosti, […]

1 Čo je Red Teaming? V nasledujúcom článku si vysvetlíme, čo presne znamená “Red Teaming”, v čom sa líší od tradičných penetračných testov, v čom je prístup “Red Teamingu” unikátny a prečo najlepšie simuluje reálny koordinovaný útok. V Nethembe sme “Red Teaming” vykonávali mnoho rokov predtým ako sa v technickej verejnosti ujal tento termín – […]

Toto je tretie pokračovanie článku Príručka nášho zákazníka I a Príručka nášho zákazníka II. Opakované testy a bug bounty program Výsledky vykonaného penetračného testu alebo bezpečnostného auditu sa vzťahujú vždy len na konkrétny dátum, kedy zákazník od nás obdrží výslednú správu. My, ani žiadna iná IT security firma na svete nedokáže garantovať, že daná aplikácia […]

Všetko, čo ste chceli vedieť o našich IT bezpečnostných službách Cieľom nasledujúceho dokumentu je na základe našich 14-ročných skúseností v oblasti etického hackovania (vykonaných stovky penetračných testov a bezpečnostných auditov pre množstvo našich zákazníkov) vysvetliť ako si vybrať vhodný penetračný test alebo bezpečnostný audit a to tak, aby bol v súlade s vašimi očakávaniami, bol […]

Ako si vybrať vysoko bezpečný Android telefón a najbezpečnejší Android systém   Úvod Tento článok je prirodzeným pokračovaním a istým spôsobom vyvrcholení mojich starších článkov Ako si maximálne zabezpečiť laptop (na Purism Librem s Qubes OS) a Chráňte svoje dáta: Odstrihnite sa od Google, ktoré odporúčam prečítať predtým, ako sa rozhodnete zakúpiť bezpečný Android telefón […]

V aplikácii Moje eZdravie sme identifikovali triviálnu zraniteľnosť, ktorá nám umožnila získať osobné informácie o viac ako 390 000 pacientoch, ktorí boli na Slovensku testovaní na COVID-19 (na demonštráciu sa nám podarilo získať osobné informácie o viac ako 130 000 pacientoch, z toho viac ako 1600 COVID-19 pozitívnych). Medzi získané osobné informácie každého pacienta patrí […]

Hackeri si bohužiaľ “vhodný čas” na útok nevyberajú. Sme svedkami agresívnych hackerských útokov na nemocnice (Výsledky testů na koronavirus zdržel kyberútok na FN Brno) či systém zdravotníctva v USA (Hackers Attack Health and Human Services Computer System, Cyber-Attack Hits U.S. Health Agency Amid Covid-19 Outbreak).  Internet je zaplavený malwareom a phishing scam útokmi (The Internet […]

Pre Investigatívne centrum Jána Kuciaka (ICJK) sme vykonali bezpečnostnú analýzu e-Kasa pokladníc.   Odhalili sme kritickú zraniteľnosť v bezpečnostnom dizajne, ktorá sa týka väčšiny najpoužívanejších e-Kasa pokladníc na Slovensku.   Demonštrovali sme, že „bezpečné“ chránené dátové úložisko (CHDÚ), kde by sa mali ukladať všetky vydané doklady bez akejkoľvek možnosti zmazania alebo úpravy, dokážeme 100% odemulovať […]