Zobaczcie na ciekawą analizę problemu z Dropbox.  Interesujące jest to, że problemem nie jest samo oprogramowanie klienckie dropbox-a jako takie, ale sposób w jaki wpływa ono na inne procesy, wyłączając w pewnym obszarze jeden z mechanizmów ochrony przed podatnościami typu buffer overflow – ASLR. Warto też dodać, że problematyczna jest…

Jeden z wiedeńskich profesorów – Puter Purgathofer, skonstruował z klocków Lego (programowalne Lego Mindstorms), ciekawą maszynę.

Zerknijcie na małe zestawienie tutaj. Wśród perełek np. szybkie polecenie resetujące ustawienia karty sieciowej – z manualnej adresacji IP na DHCP: netsh int ip reset all czy „awaryjna” możliwość zebrania ruchu sieciowego jeśli nie możemy zainstalować na danej maszynie wiresharka czy tcpdumpa: netsh trace start capture=yes tracefile=c:\capture.etl Jest też „skopiowany”…

Jednym z etapów realizacji testów penetracyjnych jest wyszukiwanie oraz analizowanie podatności skanowanej maszyny. OpenVAS jest narzędziem, które potrafi automatyzować tą pracę.

O świetnym generatorze pakietów scapy pisaliśmy już wiele razy. Dzisiaj, w ramach ciekawostki, zerknijcie na implementację obsługi protokołu modbus właśnie w scapy. Sam protokół modbus jest bardzo intensywnie wykorzystywany w sieciach przemysłowych (obsługa wodociągów, elektrowni, rurociągów, etc.), a konkretniej, używany jest przede wszystkim do komunikacji z różnego rodzaju czujnikami (temperatura,…

Parę dni temu ukazała się pewna analiza podatności w serwerze ssh (ROSSSH) instalowanym na urządzeniach Mikrotik. Podatne są wersje na systemach RouterOS 5.* oraz 6.* Co umożliwia luka? Według autora znaleziska: Exploitation of this vulnerability will allow full access to the router device. czyli w wolnym tłumaczeniu: Wykorzystanie tej podatności…

Jeśli ktoś jeszcze chce zapisać się na Sekurak Hacking Party – to gorąco zapraszamy :) Najbliższa edycja już 7 września w Krakowie (11:00-17:00). W skrócie: Sekurak Hacking Party to bezpłatne, całodzienne warsztaty, gdzie będzie można nauczyć się rozmaitych technik wykrywania podatności w urządzeniach sieciowych. Pracujemy na realnym sprzęcie – w…

Jeśli chciałbyś zupełnie legalnie włamywać się do systemów IT, a przy tym jeszcze nieźle zarabiać, zapraszam do zespołu Securitum.pl.

Zachęcam do śledzenia jeszcze ciepłego wątku na reddicie, dotyczącego utworzenia małej bazy wiedzy dokumentów, kursów, czy po prostu interesujących materiałów w Internecie – oczywiście dotyczących bezpieczeństwa IT. Masa przydatnych linków. –ms

Ukazała się nowa wersja darmowego narzędzia gpg4win, zapewniającego funkcjonalność GPG (w tym szyfrowanie e-maili) w systemach Windows.

Zobacznie tylko tutaj: http://www.google.ps/ –ms

Czy musieliście kiedyś podchodzić do serwera linuksowego żeby zobaczyć co jest wyświetlone na jednej z wirtualnych konsoli? Mały trick jak można to zrobić logując się zdalnie na maszynę (np. przez ssh): Przykład (cat /dev/vcs1) – ktoś podszedł fizycznie do serwera i próbował logować się na roota (nota bene, w górnej…

W zasadzie z technicznego punktu widzenia nie ma problemu żeby zbudować własny Internet. Specyfikacje protokołów są gotowe i przetestowane. Podobnie – niedrogi i przystosowany do całości sprzęt. Jak donosi the daily dot, w praktyce, własny 'równoległy’ Internet zaczęto budować w 2002 roku w Grecji. Główną motywacją rozwoju alternatywnej sieci była…

Właśnie ukazała się nowa wersja tego znanego narzędzia służącego do odzyskiwania haseł. Z największych zmian warto wspomnieć obsługę wielu nowych algorytmów: TrueCrypt 5.0+ 1Password Lastpass OpenLDAP {SSHA512} AIX {SMD5} and {SSHA*} SHA256(Unix) aka sha256crypt MacOSX v10.8 Microsoft SQL Server 2012 Microsoft EPi Server v4+ Samsung Android Password/PIN GRUB2 RipeMD160, Whirlpool,…

Zapraszamy do śledzenia cyklu tekstów w Web Application Firewallach. Pierwsza część stanowi wstęp oraz opis systemu naxsi (moduł Nginx-a).