W październiku crackerzy udostępnili bazę danych klientów Adobe. Pół roku wcześniej, podobną wpadkę zaliczyli twórcy programu Evernote, chociaż w tym przypadku przynajmniej nie doszło do publikacji danych. Obie te sytuacje są również wzorcowym przykładem, jak nie informować klientów o incydentach bezpieczeństwa. Okazuje się jednak, że jedna z firm zaczyna powoli uczyć się na błędach.

Ciekawy i zwięzły przewodnik – jak w kilka(naście) minut skonfigurować na web serwerze uwierzytelnianie certyfikatem klienckim SSL. –ms

Tematyka bezpieczeństwa sieci przemysłowych (czyli służących do sterowania takimi kompleksami jak: elektrownie, wodociągi, kopalnie, gazociągi, linie produkcyjne, …) jest w dalszym ciągu niezbyt dobrze opisana czy zbadana. W tym krótkim poradniku postaram się wskazać kilka przydatnych zasobów dla osób, które odpowiedzialne są w jakiś sposób za zabezpieczanie tego typu systemów.

Wspierające sekuraka Securitum zrealizowało właśnie pierwszą edycję zamkniętą 5-dniowego szkolenia przygotowującego do egzaminu CEH (Certified Ethical Hacker), które najwyraźniej przypadło kursantom do gustu.

Niedawno bez większych fanfarów ogłoszono End-of-Life popularnej biblioteki Apache Struts 1. Co to oznacza? Na przykład brak aktualizacji bezpieczeństwa w Struts1: Given a major security problem or a serious bug is reported for Struts 1 in near future, can we expect a new release with fixes? As of now, actually…

W ramach konkursu mobile Pwn2Own pokazano właśnie 0-day na najnowszą przeglądarkę chrome (wersja na Androidzie). Proof of Concept (czyli właśnie wykonanie kodu) pokazano na urządzeniach: Nexus 4 oraz Samsung Galaxy S4 (ofiara wystarczy, że wejdzie na odpowiednio przygotowaną stronę). Autor znaleziska w ramach nagrody zainkasował $50.000, a jak też czytamy…

Organizatorzy konferencji Secure (NASK+CERT Polska) poinformowali na swoim facebookowym profilu o najlepszej wg uczestników prezentacji. Ku naszemu pewnemu zaskoczeniu, najlepszą prezentacją okazała się prelekcja sekurakowa :] Sami organizatorzy piszą tak: Najlepiej ocenioną przez uczestników prezentacją okazały się „Wybrane ataki na urządzenia sieciowe” Michała Sajdaka z sekurak.pl. Michał bezapelacyjnie wygrał w…

Krótki, ale treściwy post o rozpakowywaniu oprogramowania firmware. Głównie z wykorzystaniem narzędzia binwalk, ale nie tylko.

Zobaczcie na opis dość nowatorskiej metody odzyskiwania oryginalnego adresu MAC w kartach z chipsetem Atheros (problem dotyczy systemów Linux, ale kto wie czy podobnego procesu nie można przeprowadzić w systemach Windows). W skrócie – okazuje się że tego typu karty reagują nie tylko na komunikację przesyłaną jej 'aktywny’ adres MAC……

Zerknijcie na ciekawy projekt dezasemblera pracującego on-line. Całość dostępna jest z przeglądarki internetowej i zapewnia obsługę znacznej liczby platform (i386, arm czy mips to bardzo niewielka próbka), oczywiście możliwość uploadu własnych plików wykonywalnych, czy udostępniania swoich analiz innym osobom. Projekt jest jeszcze w fazie beta, a autorzy powinni popracować m.in. nad…

Twórcy legendarnego GIMP-a ogłosili parę dni temu, że przestają korzystać z platformy sourceforge.net, która do tej pory służyła im jako dystrybucja oprogramowania.

Niedawno zostało udostępnione narzędzie hashtag, umożliwiające identyfikację około 250 rodzajów hashy. Jak działa ten prosty skrypt napisany w pythonie? Na wejściu przyjmuje hash (hashe), oraz generuje odpowiedni wynik (dopasowuje prawdopodobny algorytm / algorytmy, z wykorzystaniem którego hash został  utworzony). Przykładowe użycie wygląda jak poniżej (grafiki – za ww. stroną autora)….

Miło nam ogłosić, że Sekurak został patronem medialnym konferencji Cisco Secure. Z tej okazji do wygrania darmowa wejściówka.

Dostępny jest już w sieci raport z ostatnich dużych cyber-ćwiczeń NATO – LockedShields ’13

Zaczynamy pracę nad platformą obsługującą nasze hackme (czyli mamy człowieka który zadeklarował się pomóc w kodowaniu całości :) Chcemy aby hackme były powiązane z konkursami, ale także aby były uniwersalną platformą umożliwiającą zwiększanie wiedzy związanej z technicznym bezpieczeństwem IT. Funkcjonalności / założenia: Rejestracja użytkowników Punktowane rozwiązanie każdego zadania Ilość punktów…