Ostatnio pisaliśmy o wycieku około 40 milionów danych kart płatniczych z sieci Target. Teraz sami zainteresowani podnieśli te szacunki do przedziału 70-110 milionów (!), co może oznaczać aż drugi największy tego typu wyciek danych w historii (największym znanym incydentem tego typu był atak z 2009 roku na Heartland Payment Systems…

Praktyczny i mocno techniczny przewodnik pokazujący hackowanie urządzeń do videokonferencji Polycoma (pokazane techniki są w dużej mierze uniwersalne) – całość w nawiązaniu do naszej ostatniej publikacji o poszukiwaniu dziur w D-Linkach. –ms

Czym jest analiza ryzyka IT? Po co ją realizować? Jak się do niej zabrać? Krótki, praktyczny przewodnik wprowadzający do tematyki analizy ryzyka IT.

Mamy dla Was 3 kalendarze sekuraka (na rok 2014): Co zrobić aby wygrać jeden z nich? Wystarczy napisać maila na adres: sekurak@sekurak.pl z tytułem: kalendarz i w treści podać jak najwięcej autorów, którzy do tej pory napisali coś u nas :-) Podanie jednej fizycznej osoby z nicka / Imienia i…

Pewnie część z Was zna stronę Qualysa umożliwiającą przetestowanie ustawień SSL dowolnego serwisu webowego dostępnego w Internecie. Dostępny jest też podobny serwis – howsmyssl.com, tyle że testujący klienta. Wystarczy wejść na ww. stronę aby zobaczyć ustawienia w swojej przeglądarce wraz ze wskazaniem które elementy skonfigurowane są poprawnie, a które ewentualnie…

Ostatnio pisaliśmy o błędzie 0-day na proftpd, tym razem serwis 1337day sprzedaje 0-daya, umożliwiającego skasowanie admina dowolnej strony na FB. Wg opisu można na bazie buga przygotować prostego worma automatycznie rozpowszechniającego się po facebooku (czego oczywiście odradzamy). Przypominamy, że śledzenie tego typu baz z exploitami 0-day ułatwia ewentualne przygotowanie odpowiedniej,…

Intel ogłosił dzisiaj nową, miniaturową platformę: Edison. Wydaje się, że RaspberryPi przetarło na rynku drogę do niewielkich i tanich komputerów, umiejących realizować w zasadzie wszystko co ich nieco starsi i więksi bracia. Pomysł się przyjął, czas więc na mocne uderzenie giganta. Czym więc charakteryzuje się Intel Edison? Niewielki rozmiar Interfejsy:…

Po kilku fragmentarycznych i niepełnych wyjaśnieniach wiemy już, że atak na openssl.org nastąpił poprzez słabe hasła dostępowe w infrastrukturze hostingodawcy, co dało atakującym dotęp do konsoli zarządczej hypervisora. Fakt ten właśnie potwierdzili sami zainteresowani – na stronach projektu openssl: The OpenSSL server is a virtual server which shares a hypervisor…

Ciekawy wpis pokazujący analizę bankowej aplikacji androidowej do generowania kodów jednorazowych.

Serwis 1337day udostępnił właśnie do kupienia jeszcze świeżego exploita na proftpd. Exploit ten został prawdopodobnie użyty do ostatniego (skutecznego) ataku na serwer ftp BBC. Administratorom posiadającym w swojej infrastrukturze proftpd zalecamy czujność i/lub /czasową/ rekonfigurację firewalli. –ms dzięki dla Sebastiana za podesłanie info  

Jak pisze odkrywca tej ciekawostki, nie są to wprawdzie adresy zaczynające się np. od C0-CA-C0 , ale teraz zmieniając adres MAC będzie można nieco poudawać automat z puszkami ;-) –ms

Zobaczcie na ciekawy zbiór krótkich screencastów (wymagany flash) pokazujących w działaniu m.in. kilka narzędzi o których pisaliśmy: Splunk, Security Onion, Wireshark, ZAP, OpenVAS, nmap NSE – to tylko kilka z nich :) –ms

W ramach noworocznej niespodzianki, na stronach Securitum udostępniamy kilka przykładowych wzorów dokumentów: Przykładowa polityka bezpieczeństwa, Przykładowa instrukcja reagowania na incydenty bezpieczeństwa IT, Przykładowa procedura umieszczania nowych systemów w strefie DMZ.

Wszystkim naszym Czytelnikom życzymy:

W nawiązaniu – w pewnym sensie – do rozpoczętej niedawno serii (Bezpieczeństwo sieci przemysłowych / SCADA – kilka ciekawych zasobów), dzisiaj parę słów o ciekawych miejscach w sieci dotyczących bezpieczeństwa urządzeń mobilnych.