Aktualności

Mieliśmy shellshocka, mieliśmy heartbleeda, czas na GHOSTA, który dzisiaj został ogłoszony przez team Qualysa. Błąd tym razem jest przepełnieniem bufora w jednej z funkcji standardowej linuksowej biblioteki glibc: __nss_hostname_digits_dots() – ale można się do niej „dobić” (exploitując podatność) korzystając niezmiernie popularnej rodziny funkcji:   gethostbyname*(). Jak to piszą odkrywcy buga: This…

Zobaczcie tylko na jeszcze świeży kawałek Javascriptu tutaj. Przykładowo – w Chrome wystarczy użyć F12 -> Console i wkleić kod do przeglądarki. Można też z niewielką modyfikacją (ostatnia linijka) uruchomić taki javascript ze swojego serwera. Co wykorzystuje ten mechanizm? Na razie jeszcze mało popularny mechanizm WebRTC (Web Real-Time Communication), wykorzystywany…

Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród „Top 10 bug reporters 2014”. Gratulacje!

CNN opisuje ciekawy eksperyment – otóż załodze z projektu openworm, udało się skopiować sieć nerwową robaka „Caenorhabditis elegans” do firmware-u robota Lego Mindstorms. Następnie podłączyli „sonar sensor” z Lego w miejsce nosowych neuronów czuciowych robaka, a odpowiednie neurony motoryczne – w miejsce bocznych neuronów zwierzęcia. Bez dodatkowego programowania wpływającego bezpośrednio…

Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych? Samą teorię pentestów tego typu komponentów można znaleźć np. w siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części), prezentacjach (np.  Blackhat – o testowaniu SOAP, czy praca…

Ciekawy problem opisuje na blogu HD Moore. Otóż okazuje się, że tzw. Automated Tank Gauge – komponent monitorujący / zarządzający działaniem pewnych procesów na stacjach benzynowych (np. monitorowanie stanu paliwa czy uruchamianie alarmów np. w przypadku wycieków), jest niekiedy osiągalny z poziomu Internetu – na porcie 10001 TCP. Dokładniej, na porcie…

Mamy do rozdania 20 kalendarzy sekuraka (w każdej paczce gratis również naklejka + sekurakowa smycz). Jak można je zdobyć? Wystarczy napisać na: kasia@sekurak.pl i przesłać: Adres do wysyłki (nie wysyłamy do paczkomatów) Kilka zdań o sobie ;) Pierwsze 20 osób które wyślą maila, otrzyma 1 darmowy pakiet jak wyżej. Sam…

PFP, czyli 'Power Fingerprinting’ to metoda wykrywania malware’u za pomocą analizy poboru prądu przez procesory.     Pierwotnie projekt PFP miał na celu ochronę urządzeń przemysłowych, jednak znajduje on swoje rozwiązanie również na urządzeniach mobilnych m.in. sprawdził się na platformie Android. Technologia pozwala m.in. wykryć użycie w Linuksie polecenia systemowego chmod…

4 lutego zapraszam wszystkich (a szczególnie poznańskich ;) czytelników sekuraka na spotkanie grupy PTAQ (Poznań Testing And Quality group). W trakcie godzinnej prezentacji o różnych problemach w aplikacjach webowych pokażę: kilka wersji podatności OS command Exec (łącznie z ShellShock), mniej znany problem –  XXE, będą też dwie chwile o hackowaniu…

Nikt nie dziwi się tym, że w wielu książkach o bezpieczeństwie można znaleźć przykłady wykorzystania podatności XSS. Jednak ciekawe jest to, że czasem takiego „papierowego” XSS-a można aktywować on-line: zobaczcie na stronę www.safaribooksonline.com: PS Lepiej nie szukajcie książek o OS Command Exec ;-) –ms

O bezpieczeństwie Androida oraz iOS (zarówno od strony systemu operacyjnego, infrastruktury i rynku malware) pisaliśmy już jakiś czas temu. Od dłuższego czasu w systemie Google-a dostępne są takie mechanizmy bezpieczeństwa jak: Sandboxing, SELinux, ASLR, Fortify Source, szyfrowanie danych urządzenia, ostrzeżenia przed wysyłką SMS-ów premium, itd. Mająca już parę miesięcy, piąta…

Czy interesowaliście się kiedyś jak wygląda bezpieczeństwo satelit? Miejmy nadzieję, że niekoniecznie tak jak innego popularnego sprzętu sieciowego (tj. dziurawy Linux na pokładzie). W każdym razie, być może niedługo tego typu problemy będą codziennością – a to za sprawą Elona Musk-a, który wykłada 10 miliardów dolarów na projekt: powszechny Internet…

Badacze z Dell SecureWorks Counter Threat Unit (CTU) odkryli malware, który atakuje kontrolery domeny Active Diretory i umożliwia logowanie się jako dowolny użytkownik do pozostałych usług (np. poczta, VPN) w sieciach, które wykorzystują tylko jedno-składnikowe uwierzytelnianie. Analizę zachowania tego złośliwego oprogramowania, które nazwali 'Skeleton-Key’, można przeczytać na stronie Dell SecurWorks….

W 2015 zbliżają się dwie premiery opowieści filmowych o walce w cyberprzestrzeni. W piątek do polskich kin wchodzi film Michaela Manna („Gorączka”, „Informator”, „Ostatni Mohikanin”) pod tytułem „Haker” (oryginał: „Blackhat”). Reżyser znany głównie z filmów poświęconych przestępcom, zainspirowany informacjami o robaku Stuxnet, postanowił podjąć temat przestępstw informatycznych. Oprócz przychylnych zapowiedzi…

Potrzebujecie ciekawego, niebanalnego tła na konferencję czy inną geek-imprezę? Polecam w takim razie przyjrzeć się aktualizowanym na żywo mapom ataków, których zestawienie przygotował Brian Krebs. Na początek polecam Cyber Threat Map autorstwa FireEye: oraz IPviking:   Więcej tego typu serwisów – w oryginalnym poście oraz komentarzach do niego. –ms