Aktualności

US Cert opublikował zestawienie potencjalnych protokołów mogących posłużyć do amplifikacji (czyli sztucznego zwiększenia) wolumenu ruchu używanego w ataku DDoS. Do tej pory najpopularniejszym protokołem tego typu był DNS, a ostatnimi czasy zyskuje na popularności NTP (zauważmy swoją drogą, że NTP posiada ponad 10-krotnie większy „Bandwidth Amplification Factor” od DNS, co…

Na sekuraku mamy już sporo tekstów, ale zawsze może być więcej, prawda? Tylko razem zachęcamy Was do wzięcia udziału w konkursie na najlepszy tekst o tematyce związanej z bezpieczeństwem IT. Do wygrania iPad Air (lub gotówka) oraz szkolenie z bezpieczeństwa.

Twórcy Metasploita chwalą się ciekawym nowym modułem: Android Browser and WebView addJavascriptInterface Code Execution. Ponoć 70% androidowców jest podatnych. Na czym polega problem? Zobaczmy.

Tym razem warsztatowe szkolenie z bezpieczeństwa aplikacji www, organizowane przez Securitum i wspierane przez sekuraka odbywa się w Warszawie (10-12 marca 2014).

02.02.2013 ruszył publicznie sekurak – mimo, że wygląd serwisu planowany był na początku jako wersja 'beta’, to przyjął się jako wersja finalna :-) Zresztą sam layout planowaliśmy od początku jako prosty, w miarę estetyczny, bez zbytnich udziwnień i nie koniecznie z czarnym tłem (mniej bolą oczy ;-)

Tym razem mogliście się zmierzyć z taką tematyką jak: różne rodzaje kodowania, postscript, aplikacja androidowa czy inne 'niespodzianki’ ;-) Lista zwycięzców, którzy poprawnie podali w pełni poprawne odpowiedzi: PL (RaspberryPi) Jarosław Pukacki (RaspberryPi) Anita Łukowska (RaspberryPi) Tomasz Danielewski (książka) Bartłomiej Balcerek (książka) Łukasz Jankowski (książka) Marcin Piosek (gratulacje) Paweł Sroczyński…

Organizacja OWASP pracuje nad odmianą znanego projektu OWASP TOP 10. Nowe przedsięwzięcie – OWASP Internet of Things Top Ten Project – ma na celu rozpowszechnienie informacji o najczęściej spotykanych błędach wśród nowoczesnych gadżetów oraz inteligentnego sprzętu domowego. Oto obecne propozycje najpowszechniejszych zagrożeń czających się w „Internet of Things„: Administrative Interface with Weak/Default Credentials…

Razem z firmą HP zapraszamy Was do wzięcia udziału w prostym ale dość urozmaiconym hackme. Mamy tym razem aż 6 nagród: 3 zestawy Raspberry Pi oraz książki.

Ciekawe zachowanie zauważyliśmy w oficjalnym sklepie międzynarodowej organizacji ISO (International Organization for Standardization): funkcjonalność przypominania hasła wysyła nasze stare hasło w plaintext.

Zapraszam na kolejną edycję szkolenia z bezpieczeństwa sieci / testów penetracyjnych. (17-19.03.2014, Kraków.) Całość kursu ma formę warsztatową i pracujemy w dużej mierze na realnych systemach w LAB.

Twórcy nmapa – popularnego skanera portów, przygotowali 5-gigapikselowy kolaż obrazujący milion najpopularniejszych serwisów www. Jest wśród nich sekurak :-)

Tym nieco krzykliwym tytułem zwracamy uwagę na pewną analizę wykonaną przez firmę Proofpoint. W grudniu 2013r. badała ona pewien botnet, który posłużył do wysyłania masowej ilości spamu (około 750 000 wiadomości). Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w botnet poza zwykłymi PC-tami były włączone również routery…

PC Magazine opublikował niedawno porównanie możliwości kilkunastu bezpłatnych antywirusów. Dla każdego produktu wymienione mamy plusy, minusy; dostępna jest także bardziej rozbudowana recenzja. Nie lubiącym czytać polecamy skrótową tabelę prezentująca wyniki przeprowadzonych testów. –ms

Dostaliśmy od jednej z firm propozycję zasponsorowania nagrody dla kolejnego hackme, które powinno ruszyć jeszcze w styczniu. Mamy budżet 1200 PLN netto (+vat) – my z tego nie bierzemy nic, a całość budżetu chcemy przeznaczyć na nagrody dla Was :-) No właśnie – czy macie jakieś pomysły na nagrody (nagrodę)…

Ostatnio zapanowała pewna moda na hackowanie urządzeń sieciowych ;) Tym razem osobom zainteresowanym tematem polecam dość rozbudowaną analizę bezpieczeństwa urządzenia BrightBox dostarczanego przez jednego z ISP w Wielkiej Brytanii. Mamy tutaj zestaw rozmaitych podatności takich jak: dostęp do istotnych danych bez uwierzytelnienia (hasła dostępowe, klucze WPS, …), przesyłanie haseł w…