Pewnie każdy z nas oglądał „Hobbita”, a przynajmniej „Władcę Pierścieni”. Jeśli tak – znacie na pewno „Żądło” – miecz świecący niebieską poświatą, w momencie gdy w okolicach znajdują się orkowie czy inne gobliny. Jeśli chcecie sprawić dziecku (lub sobie ;) prezent inspirowany „Żądłem” – autor tego bloga pokazuje jak we…

Hotel zakłóca osobiste hotspoty WiFi, zapewniając jedynie swoją usługę bezprzewodowego Internetu, za którą trzeba zapłacić $250 – $1000 per urządzenie. Brzmi jak abstrakcja? Otóż nie, w październiku 2014r. Mariott został ukarany kwotą $600 000 przez amerykańską Federal Communications Commission – właśnie za stosowanie wyżej opisanej praktyki. Co więcej, wiele innych…

Wszystkich fanów sekuraka zapraszam do skorzystania do udziału w szkoleniu – bezpieczeństwo aplikacji www. Tak naprawdę, szkolenie powinno się chyba nazywać: „zaawansowane bezpieczeństwo aplikacji www”, bo poza pewnymi podstawami można warsztatowo popracować nad takimi podatnościami jak: XXE, Shellshock, LDAP injection, XPATH injection, czy Server Side Javascript Injection. Nie brakuje także…

Jak donosi CERT Polska, ostatnio aktywny jest robak wykorzystujący podatność shellshock w bashu, dostępnym na wielu urządzeniach QNAP-a. Co ciekawe, robak po infekcji sam łata urządzenie. Szybką metodą na sprawdzenie czy jesteśmy zainfekowani, jest sprawdzenie na naszym urządzeniu dostępności portu 26 TCP (robak uruchamia na nim serwer SSH). Więcej informacji…

Ostatnio wpadła mi w ręce książka „Fair Play: The Moral Dilemmas of Spying”, autorstwa Jamesa Olsona – byłego szefa kontrwywiadu CIA. Osobiście, tytuł sugerował mi pewną „nudę” (znowu moralizowanie ;) ale w końcu się skusiłem dobrymi opiniami na Amazonie. Okazało się to dobrą decyzją…

Na portalu zespołu CERT Polska pojawił się opis działania nowego malware-u jaki w 2014 roku zaatakował użytkowników w Polsce. Według szacunków tego zespołu reagowania na incydenty komputerowe zarażonych tym rodzajem oprogramowania jest około 5000 komputerów z obszaru Polski.

Jakiś czas temu ogłosiliśmy produkcję naszego PDF-owego ZIN-a, a nawet powstało demo okładki (poniżej). Obecnie poszukujemy osoby lub firmy, która profesjonalnie złożyłaby nasze teksty do PDF.

Zainteresowanym udostępniam sekurakową prezentację z konferencji Secure. Dużo było pokazów praktycznych, film z całą nagraną sesją pokaże się na stronach organizatorów w swoim czasie ;-) Jednocześnie mamy do rozdania pięć, 3 tygodniowych, pełnych licencji na Burp Suite Pro. Licencje można otrzymać pisząc maila na skrzynkę sekurkową. Można w mailu dodać…

W jesienno-zimowym okresie zapraszamy na kilka szkoleń Securitum, organizowanych tym razem w większości w Warszawie: Akredytowane szkolenie przygotowujące do egzaminu CEHv8 (Certified Ethical Hacker). Ostatnie dwie grupy – wrześniowa i październikowa – były pełne :) A formuła zawierająca (poza materiałami EC-Council) masę praktyki – zdecydowanie się sprawdza (opinie uczestników w…

Na polskiej scenie wydarzeń dotyczących bezpieczeństwa teleinformatycznego pojawiła się nowa, warta uwagi pozycja. Mowa o konferencji Advanced Threat Summit. Sami organizatorzy (ISSA Polska oraz Evention) piszą o wydarzeniu tak: To jedyna tego typu konferencja, tak mocno sprofilowana i dotyczącą wyłącznie zagadnień spod znaku APT, DDoS oraz bezpieczeństwa aplikacji webowych. Choć…

Od pewnego czasu pytacie o dział Q&A – działający wg schematu: zadajecie pytanie, my je publikujemy, nasi czytelnicy odpowiadają / doradzają. Dzisiaj czas na pierwszy tego typu eksperyment, a zaczyna go Michał Margula (zresztą autor jednego z pierwszych tekstów na sekuraku), pytaniem: No właśnie czy ktoś z Was ma doświadczenia…

Zapraszamy na 18. edycję konferencji Secure, odbywającą się dniach 22-23.10.2014 w Warszawie. W zeszłym roku sekurak był na niej obecny z prezentacją, która okazała się małą bombą ;-)

Na rynku książek oferujących pomoc osobom zajmującym się monitoringiem bezpieczeństwa coraz lepiej. Niedawno wydana została książka „Applied Network Security Monitoring: Collection, Detection, and Analysis”.

Wykrywanie podatności w aplikacjach internetowych z reguły polega na enumeracji tzw. punktów wejścia, manipulowaniu żądaniami HTTP oraz analizie odpowiedzi. Skuteczność takiego przepływu pracy można zwiększyć dzięki Burp Proxy. Zobaczmy, jak z jego pomocą wykonywać podstawowe testy bezpieczeństwa web aplikacji.

Jakiś czas temu, zainspirowany przez sekuraka, postanowiłem zabawić moich kolegów z zespołu w pracy i zorganizować CTF. Jednym z etapów było rozszyfrowanie tokena zaszyfrowanego przy pomocy AES w trybie CBC. Token można było wprowadzić na stronie podatnej na atak padding oracle.