Wszyscy użytkownicy Microsoft Office zapewne znają krój pisma Calibri – w końcu począwszy od stycznia 2007 roku jest on używany jako domyślny we wszystkich wersjach znanego nam pakietu biurowego. Wtedy też został udostępniony publicznie. Nie wiedziała jednak o tym rodzina Nawaza Sharifa, byłego premiera Pakistanu, który obecnie oskarżany jest o nadużycia korupcyjne. M.in. jego córka…

OWASP OpenSAMM (Open Software Assurance Maturity Model) to otwarty framework pozwalający na sprawne opracowanie i wdrożenie strategii dot. bezpieczeństwa oprogramowania rozwijany przez OWASP.

OpenSAMM do tematu bezpieczeństwa oprogramowania podchodzi systematycznie i całościowo, definiując 12 praktyk bezpieczeństwa pogrupowanych w 4 podstawowe funkcje biznesowe: Governance, Construction, Verification and Deployment.

W zasadzie tyle w temacie :P Wydawanie nowego typu certyfikatów ma się rozpocząć od stycznia 2018r. Swoją drogą ktoś podzieli się dobrymi/złymi wrażeniami odnośnie działania Let’s Encrypt? –ms

Wpis na blogu jest dość spory, ale całość sprowadzała się do prostej rzeczy: okazało się, że domeny odpowiadające oficjalnym serwerom nazw  dla domeny .io (dig NS io. ) można było śmiało zarejestrować na siebie. No dobra – dokładnie rzecz biorąc – cztery z siedmiu. Przykład takiej nazwy to ns-a1.io Autor cytowanego…

Najciekawsze materiały lipcowego wydania „Linux Magazine” zawierają analizę tworzenia bardziej czytelnych wyrażeń regularnych z Simple Regex Language, instrukcje zabezpieczania i monitorowania kontenerów w środowiskach Enterprise oraz przegląd interfejsów graficznych dla Systemd. Na dołączonym DVD znajduje się Debian 9. Wewnątrz wydania również: dystrybucje: elegancka, prosta i oparta na Arch Linuksie Chakra…

Google właśnie wypuścił lipcowy Android Security Bulletin, gdzie wśród całej hordy błędów oznaczonych jako RCE/Critical, jest też CVE-2017-9417 w sterownikach Wi-Fi Broadcoma. Jeśli sam Google nadaje taką flagę dla buga w swoim produkcie, raczej nie może być drobnostka. Pamiętacie podobną historię sprzed paru miesięcy? Wygląda to na podobny i wg autora…

Checkpoint opisuje androidowy malware o nazwie CopyCat, który wg szacunków tylko w dwa miesiące potrafił zainfekować około 14 milionów Androidów –  z czego aż 8 milionów zostało zrootowane. Operacja – wg wyliczeń Checkpointa – przyniosła 1.5 miliona dolarów przychodu, który był generowany przez różne odmiany fałszywych reklam (były to ordynarne…

Dla najnowszej wersji Petya (EternalPetya/NotPetya) ktoś żąda 100 BTC, tymczasem niejaki Janus, udostępnił klucz prywatny z wysokim prawdopodobieństwem umożliwiający deszyfrację dla wszystkich poprzednich wersji Petya (dla pewności: niestety nie wliczamy w to najnowszej odmiany). Kto więc zachował obraz zaszyfrowanego dysku, może otwierać szampana. Moment ten może wyglądać tak: Jak czytamy…

Na start – jak chcecie zobaczyć takiego zip-a – proszę. To przykład zip bomby, zipa śmierci, czy bomby dekompresyjnej. W przykładzie z tytułu, ktoś zdenerwował się ciągłym skanowaniem swojego serwisu i postanowił odsyłać zip-bomby (warto zwrócić uwagę na dyskusyjną legalność takiego działania…). W tym przypadku została użyta prostsza bomba, gdzie plik…

Powoli pracujemy nad książką sekuraka (taką papierową) – w modelu self-publishing. Na obecną chwilę mamy gotową około połowę zawartości. Wszystkie tematy które chcemy opisać podzieliliśmy na podstawowe i zaawansowane. Do książki wejdą tylko te pierwsze (a może kiedyś będzie i druga część? wtedy zajmiemy się drugą pulą). Jeśli ktoś z Was…

Dzisiaj pojawiła się możliwość kupna uniwersalnego klucza prywatnego użytego w najnowszym wariancie Petya. Cena – 100 BTC. Jak owy klucz miałby działać? W pierwszej fazie Petya szyfruje pliki o wybranych rozszerzeniach za pomocą algorytmu AES. Klucz do AES-a jest losowany i szyfrowany kluczem publicznym twórcy malware. Mając więc klucz prywatny…

Standardowy projekt OWASP-u „Testing guide” jak można się domyślić dotyczy testowania bezpieczeństwa aplikacji webowych. Od jakiegoś czasu OWASP zajmuje się też nieco pobocznymi obszarami jak: bezpieczeństwo aplikacji mobilnych czy IoT. Tym razem dostępną mamy w wersji beta, książkę „Mobile Security Testing Guide„, która pokazuje jak przetestować pod względem bezpieczeństwa aplikacje przygotowane…

Czwarty numer magazynu Sekurak/Offline dotyczy jeszcze raz tematu bezpieczeństwa aplikacji webowych. Tym razem wracamy z kolejnym wydaniem po pół roku i mamy dla Was 70 stron.

Jeden z użytkowników Reddita, zadał pytanie czym może być nietypowe urządzenie, które znalazł ukryte w gniazdku elektrycznym w swoim pokoju hotelowym: Po wielu różnych opcja w komentarzu, okazało się że najprawdopodobniej jest to urządzenie szpiegowskie umożliwiające podsłuch za pomocą sygnału GSM, w cenie około 15 dolarów amerykańskich. Adaptacja, która została zrobiona,…

Microsoft niedawno załatał kolejną podatność w Windows Defenderze, która umożliwiała wykonanie kodu na systemie ofiary. Wystarczyło przesłać exploita np. mailem i w przypadku real time protection Windows Defender automatycznie skanował podejrzaną binarkę. Podejrzana binarka z kolei wykorzystywała błąd w antymalware Microsoftu, dając pełną kontrolę nad atakowanym komputerem. Sam Microsoft opisuje to dość zgrabnie:…