Ostatnio wpadła mi w ręce ciekawa książka o tytule jak w temacie. W czym rzecz?

Pod koniec kwietnia rusza konkurs CTF (po naszemu: hackme), organizowany przez polską grupę Dragon Sector.

Problemy związane z heartbleed nabierają rozmachu. Wprawdzie podatnych jest raczej nie „60%” czy „większość” serwerów w Internecie – jak to donoszą niektóre serwisy – ale raczej około 20% i to webserwerów. Nie zmienia to faktu, że podatność jest chyba jedną z paskudniejszych jeśli chodzi o ostatnie parę lat.

Niedawno ukazała się książka: „The Hacker Playbook: Practical Guide To Penetration Testing” – wprowadzająca w tematy pentestingu.

Ogłoszony dzisiaj na FB pomysł rozdania smyczy „Sekurak Hacking Party” oraz naklejek sekurakowych wzbudził bardzo duże zainteresowanie. Jak więc zatem można bezpłatnie otrzymać te gadgety?

The Register donosi o płatnej aplikacji „Virus Shield” która przez chwilę była na pierwszym miejscu w GooglePlay. Czego oczekujemy od dobrego antywirusa? Nieobciążania naszego systemu, nienarzucania swojej obecności, braku reklam, a na telefonie – przykładowo niewielkiego wpływu na zużycie baterii. „Virus Shield” ma to wszystko…tyle że tak naprawdę aplikacja ta absolutnie nic nie robi :-)

Wykryto krytyczny błąd w OpenSSL – jednej z najpopularniejszych bibliotek wykorzystywanych przy zestawianiu połączeń SSL/TLS. To kolejna podatność w infrastruktyrze SSL po choćby odkrytym w zeszłym roku Lucky Thirteen, niedawnym Applowym goto fail czy podobnych problemach w GnuTLS. Wracając do samego OpenSSL – sami autorzy biblioteki opisują problem dość lakonicznie.

XSS jest jednym z najczęściej opisywanych błędów bezpieczeństwa aplikacji internetowych. Na Sekuraku podatność miała już swój artykuł, było też kilka tekstów o XSS-ach w Google’u, a nawet o wykorzystaniu ich do ataku DDoS. Dzisiaj ciekawy przypadek, nieoczywistego błędu XSS.

Po około 2 godzinach nasze najnowsze hackme rozwiązała pierwsza osoba – otrzymuje wejście na Honeynet Workshop. Plik do analizy pobrało 215 osób (tyle mamy unikalnych adresów IP dostających się do pliku hackme), a pełne rozwiązanie, udostępnione przez zwycięzcę, można zobaczyć tutaj. Pełna lista osób, które podały prawidłowe odpowiedzi (kolejność zgodna…

Firma Incapsula poinformowała właśnie o wykryciu nietypowego, ale bardzo niebezpiecznego ataku typu DDoS. Tym razem atak odbywał się w warstwie aplikacyjnej (HTTP) i polegał na wykorzystaniu podatności typu persistent XSS w jednym z najczęściej odwiedzanych serwisów w Internecie. Sam wyżej wspomniany serwis umożliwia hostowanie nagrań video, a także ich komentowanie….

Ruszamy z nowym hackme, w którym nagrodą jest bezpłatny udział w konferencji Honeynet Workshop, o której pisaliśmy już wcześniej.

Chcielibyście zagrać czasem w pracy i przy okazji czegoś ciekawego się nauczyć? Nie macie pomysłu na rozkręcenie imprezy? Polecam zatem przyjrzeć się oryginalnej grze: Control-Alt-Hack.

Na blogu jednego z bug hunterów pojawił się bardzo ciekawy wpis o błędzie znalezionym w Google w październiku zeszłego roku. Czy błąd w usłudze DNS może doprowadzić do XSS-a? Okazuje się, że tak.

Ciekawy twitt pokazujący komunikat z Dropbox-a, który nie pozwala udostępnić pewnych plików … komukolwiek: Certain files in this folder can’t be shared due to a takedown request in accordance with the DMCA Dropbox, w wyżej linkowanym komunikacie, jako przyczynę podaje potencjalne naruszenie prawa autorskiego. Oczywiście w takim przypadku pojawiają się…

Jeszcze przez 2 tygodnie (tj. do 14. kwietnia) można wysyłać teksty na nasz konkurs: „najlepszy tekst o bezpieczeństwie”. Mamy do rozdysponowania dwie nagrody: iPada (z możliwością wymiany na gotówkę) oraz jedno ze szkoleń z bezpieczeństwa organizowanych przez Securitum.