Na polskiej scenie wydarzeń dotyczących bezpieczeństwa teleinformatycznego pojawiła się nowa, warta uwagi pozycja. Mowa o konferencji Advanced Threat Summit. Sami organizatorzy (ISSA Polska oraz Evention) piszą o wydarzeniu tak: To jedyna tego typu konferencja, tak mocno sprofilowana i dotyczącą wyłącznie zagadnień spod znaku APT, DDoS oraz bezpieczeństwa aplikacji webowych. Choć…

Od pewnego czasu pytacie o dział Q&A – działający wg schematu: zadajecie pytanie, my je publikujemy, nasi czytelnicy odpowiadają / doradzają. Dzisiaj czas na pierwszy tego typu eksperyment, a zaczyna go Michał Margula (zresztą autor jednego z pierwszych tekstów na sekuraku), pytaniem: No właśnie czy ktoś z Was ma doświadczenia…

Zapraszamy na 18. edycję konferencji Secure, odbywającą się dniach 22-23.10.2014 w Warszawie. W zeszłym roku sekurak był na niej obecny z prezentacją, która okazała się małą bombą ;-)

Na rynku książek oferujących pomoc osobom zajmującym się monitoringiem bezpieczeństwa coraz lepiej. Niedawno wydana została książka „Applied Network Security Monitoring: Collection, Detection, and Analysis”.

Wykrywanie podatności w aplikacjach internetowych z reguły polega na enumeracji tzw. punktów wejścia, manipulowaniu żądaniami HTTP oraz analizie odpowiedzi. Skuteczność takiego przepływu pracy można zwiększyć dzięki Burp Proxy. Zobaczmy, jak z jego pomocą wykonywać podstawowe testy bezpieczeństwa web aplikacji.

Jakiś czas temu, zainspirowany przez sekuraka, postanowiłem zabawić moich kolegów z zespołu w pracy i zorganizować CTF. Jednym z etapów było rozszyfrowanie tokena zaszyfrowanego przy pomocy AES w trybie CBC. Token można było wprowadzić na stronie podatnej na atak padding oracle.

Jeśli posiadasz doświadczenie w realizacji testów penetracyjnych i podoba Ci się wiedza publikowana na sekuraku, zapraszam do zespołu pentesterów Securitum.pl.

Kilka dni temu Stefan Esser opublikował ciekawy wpis będący Proof of Concept nowej podatności zlokalizowanej w silniku PHP. Stefan pokazał jak w PHP wykorzystać funkcję (czy raczej błąd w funkcji) phpinfo() aby wyciągnąć dane binarne z pamięci serwera. Wykorzystanie podatności wymaga możliwości uruchomienia skryptu z phpinfo() na serwerze. Jeśli to…

Nowy konkurs na najlepszy tekst o bezpieczeństwie – tym razem do wygrania 2x oficjalne materiały przygotowujące do certyfikatu CHFI (Computer Hacking Forensic Investigator) + voucher na egzamin. Trzecia nagroda – bezpłatny udział w szkoleniu Securitum.

Ostatnio pisaliśmy o ciekawym projekcie na kickstarterze (półinteligentny grill)… i od tego czasu opisywany start-up wprowadził do sprzedaży miniaturowe urządzenie tego typu!

Zostało już niewiele czasu do szkolenia przygotowującego do CEHv8 organizowanego przez Securitum. Przez 5 dni (23-27.06) będziemy intensywnie akumulować wiedzę (w zasadzie to już zaczęliśmy – uczestnicy otrzymali pakiet wiedzy do samodzielnej nauki jeszcze przed szkoleniem). Sam kurs, poza materiałem wymaganym na egzaminie, zawiera dużo praktyki a także kilka niespodzianek:…

Na zaproszenie blogerów-prawników, niecały tydzień temu, prezentowałem temat dotyczący bezpieczeństwa systemów mobilnych („ochrona danych na urządzeniach mobilnych”). Prezentacja w PDF do pobrania.

Dzisiaj ukazała się nowa wersja OpenSSL (1.0.1h oraz analogiczne z linii poniżej). Po krytycznej podatności heartbleed, chyba bardziej skrupulatnie zabrano się za przegląd kodu tej popularnej biblioteki kryptograficznej. Opis załatanych błędów nie napawa optymizmem, przykładowo CVE-2014-0224 mówi o możliwości podsłuchu (deszyfracji) ruchu SSL pomiędzy klientem a serwerem. Whoops. Wprawdzie po…

Publikujemy wyniki konkursu. Na konkurs wpłynęło 9 prac, a nagrodzone zostały następujące osoby: miejsce Patryk Krawaczyński – tekst „Analiza powłamaniowa systemu Linux za pomocą sysdig” – nagroda: iPad Air. miejsce Piotr Chmyłkowski – tekst o ataku padding oracle -nagroda: jedno ze szkoleń securitum. Gratulacje! Kiedy będzie można przeczytać zgłoszone na…

Były już inteligentne pralki, inteligentne gniazdka (w wielu odmianach), inteligentne telewizory, czy nawet budynki. Czas na inteligentnego grilla!