Nikt nie dziwi się tym, że w wielu książkach o bezpieczeństwie można znaleźć przykłady wykorzystania podatności XSS. Jednak ciekawe jest to, że czasem takiego „papierowego” XSS-a można aktywować on-line: zobaczcie na stronę www.safaribooksonline.com: PS Lepiej nie szukajcie książek o OS Command Exec ;-) –ms

O bezpieczeństwie Androida oraz iOS (zarówno od strony systemu operacyjnego, infrastruktury i rynku malware) pisaliśmy już jakiś czas temu. Od dłuższego czasu w systemie Google-a dostępne są takie mechanizmy bezpieczeństwa jak: Sandboxing, SELinux, ASLR, Fortify Source, szyfrowanie danych urządzenia, ostrzeżenia przed wysyłką SMS-ów premium, itd. Mająca już parę miesięcy, piąta…

Czy interesowaliście się kiedyś jak wygląda bezpieczeństwo satelit? Miejmy nadzieję, że niekoniecznie tak jak innego popularnego sprzętu sieciowego (tj. dziurawy Linux na pokładzie). W każdym razie, być może niedługo tego typu problemy będą codziennością – a to za sprawą Elona Musk-a, który wykłada 10 miliardów dolarów na projekt: powszechny Internet…

Potrzebujecie ciekawego, niebanalnego tła na konferencję czy inną geek-imprezę? Polecam w takim razie przyjrzeć się aktualizowanym na żywo mapom ataków, których zestawienie przygotował Brian Krebs. Na początek polecam Cyber Threat Map autorstwa FireEye: oraz IPviking:   Więcej tego typu serwisów – w oryginalnym poście oraz komentarzach do niego. –ms

Ciekawa prezentacja z końca 2014 roku o hackowaniu urządzenia Cisco ASA. Pewnie część z Was myśli, że software w tym urządzeniu to jakieś tajne i skomplikowane oprogramowanie Cisco, a tak naprawdę to… scustomizowany Linux :) a metody jego rootowania są dość proste: W każdym razie, zainteresowanych tematyką bezpieczeństwa ASY, odsyłam…

Jak prawie wszystkie początki Internetu, również narzędzie ping wywodzi się z kręgów wojskowych, co opisuje krótka historia tego narzędzia (autorstwa autora pinga ;-). Mike Muuss opisuje zarówno historię nazwy 'PING’, ale również kilka ciekawostek, typu przekierowanie pinga przez pewnego administratora do zestawu stereo: ping goodhost | sed -e 's/.*/ping/’ |…

Pewnie każdy z nas oglądał „Hobbita”, a przynajmniej „Władcę Pierścieni”. Jeśli tak – znacie na pewno „Żądło” – miecz świecący niebieską poświatą, w momencie gdy w okolicach znajdują się orkowie czy inne gobliny. Jeśli chcecie sprawić dziecku (lub sobie ;) prezent inspirowany „Żądłem” – autor tego bloga pokazuje jak we…

Hotel zakłóca osobiste hotspoty WiFi, zapewniając jedynie swoją usługę bezprzewodowego Internetu, za którą trzeba zapłacić $250 – $1000 per urządzenie. Brzmi jak abstrakcja? Otóż nie, w październiku 2014r. Mariott został ukarany kwotą $600 000 przez amerykańską Federal Communications Commission – właśnie za stosowanie wyżej opisanej praktyki. Co więcej, wiele innych…

Wszystkich fanów sekuraka zapraszam do skorzystania do udziału w szkoleniu – bezpieczeństwo aplikacji www. Tak naprawdę, szkolenie powinno się chyba nazywać: „zaawansowane bezpieczeństwo aplikacji www”, bo poza pewnymi podstawami można warsztatowo popracować nad takimi podatnościami jak: XXE, Shellshock, LDAP injection, XPATH injection, czy Server Side Javascript Injection. Nie brakuje także…

Jak donosi CERT Polska, ostatnio aktywny jest robak wykorzystujący podatność shellshock w bashu, dostępnym na wielu urządzeniach QNAP-a. Co ciekawe, robak po infekcji sam łata urządzenie. Szybką metodą na sprawdzenie czy jesteśmy zainfekowani, jest sprawdzenie na naszym urządzeniu dostępności portu 26 TCP (robak uruchamia na nim serwer SSH). Więcej informacji…

Ostatnio wpadła mi w ręce książka „Fair Play: The Moral Dilemmas of Spying”, autorstwa Jamesa Olsona – byłego szefa kontrwywiadu CIA. Osobiście, tytuł sugerował mi pewną „nudę” (znowu moralizowanie ;) ale w końcu się skusiłem dobrymi opiniami na Amazonie. Okazało się to dobrą decyzją…

Na portalu zespołu CERT Polska pojawił się opis działania nowego malware-u jaki w 2014 roku zaatakował użytkowników w Polsce. Według szacunków tego zespołu reagowania na incydenty komputerowe zarażonych tym rodzajem oprogramowania jest około 5000 komputerów z obszaru Polski.

Jakiś czas temu ogłosiliśmy produkcję naszego PDF-owego ZIN-a, a nawet powstało demo okładki (poniżej). Obecnie poszukujemy osoby lub firmy, która profesjonalnie złożyłaby nasze teksty do PDF.

Zainteresowanym udostępniam sekurakową prezentację z konferencji Secure. Dużo było pokazów praktycznych, film z całą nagraną sesją pokaże się na stronach organizatorów w swoim czasie ;-) Jednocześnie mamy do rozdania pięć, 3 tygodniowych, pełnych licencji na Burp Suite Pro. Licencje można otrzymać pisząc maila na skrzynkę sekurkową. Można w mailu dodać…

W jesienno-zimowym okresie zapraszamy na kilka szkoleń Securitum, organizowanych tym razem w większości w Warszawie: Akredytowane szkolenie przygotowujące do egzaminu CEHv8 (Certified Ethical Hacker). Ostatnie dwie grupy – wrześniowa i październikowa – były pełne :) A formuła zawierająca (poza materiałami EC-Council) masę praktyki – zdecydowanie się sprawdza (opinie uczestników w…