Sekurak - piszemy o bezpieczeństwie

W naszej serii o różnych, popularnych rozwiązaniach wśród środowisk DevOps mamy już ElasticSearch oraz Mesos/Marathon. Natomiast jeśli skupimy się stricte na ilości ujawnianych danych okazuje się, że prawdziwie miażdżącą siłą w tej kategorii jest Hadoop/HDFS.

Decyzja o tym, jakie oprogramowanie wykorzystamy w wybranym celu, często podejmowana jest na podstawie analizy czasu potrzebnego na jego wdrożenie oraz sumarycznej ilości funkcji, jakie ten system nam dostarczy. Prawdopodobne jest jednak to, że tam, gdzie priorytetem jest wygodna i czas, w pierwszej kolejności ucierpi bezpieczeństwo.

Pewnie znacie już działy teksty/narzędzia na sekuraku? To około trzystu unikalnych/autorskich opracowań, które w zdecydowanej większości publikowane są tylko u nas. Chcecie więcej? To czytajcie dalej…

Zespół hack^H^H^H^H fascynatów technicznego bezpieczeństwa; osoby piszące na sekuraku, tworzące zadania na rozwal.to czy prezentujące na Sekurak Hacking Party. Luźna atmosfera i wszyscy otwarci na dzielenie się wiedzą. A teraz najważniejsze – atakowanie systemów o różnej skali i z różnych branż, brak nudy…

OWASP OpenSAMM (Open Software Assurance Maturity Model) to otwarty framework pozwalający na sprawne opracowanie i wdrożenie strategii dot. bezpieczeństwa oprogramowania rozwijany przez OWASP.

OpenSAMM do tematu bezpieczeństwa oprogramowania podchodzi systematycznie i całościowo, definiując 12 praktyk bezpieczeństwa pogrupowanych w 4 podstawowe funkcje biznesowe: Governance, Construction, Verification and Deployment.

Czwarty numer magazynu Sekurak/Offline dotyczy jeszcze raz tematu bezpieczeństwa aplikacji webowych. Tym razem wracamy z kolejnym wydaniem po pół roku i mamy dla Was 70 stron.

Opis frameworku Frida, pozwalającej wstrzykiwać się w istniejące procesy na urządzeniach mobilnych, a następnie śledzić lub zmieniać ich działanie. W artykule pokazano to na przykładzie podmiany działania metody sprawdzającej poprawność certyfikatu SSL.

W tym artykule pokazuję sposób, w jaki jeszcze niedawno można było przeprowadzić „spoofing” paska adresu w przeglądarkach Chrome i Firefox. Innymi słowy – sprawić, by domena wyświetlana w pasku adresu przeglądarki nie była tą, na której użytkownik rzeczywiście się znajduje. W konsekwencji atak można wykorzystać do phishingu, np. w celu kradzieży danych użytkownika.

Analiza incydentów bezpieczeństwa, jak sensownie podejść do GDPR/RODO, bezpieczeństwo aplikacji webowych, praktyczne wprowadzenie do bezpieczeństwa, czy budowanie świadomości dla pracowników nietechnicznych…

Niniejszy artykuł pokazuje jak wygląda kwestia bezpieczeństwa aplikacji mobilnych napisanych w JavaScript z wykorzystaniem frameworka Apache Cordova pod kątem występowania podatności Cross-Site Scripting.

Kiedy rozmawiałem z Maćkiem Pokornieckim (autorem kilku tekstów na sekuraku o GDPR/RODO) o tematach związanych nową regulacją o ochronie danych osobowych, nie spodziewałem niczego specjalnego; wszyscy techniczni ludzie z IT podchodzą do tematów proceduralno-prawnych jak do jeża; w skrócie – nikomu niepotrzebna nuda… Myliłem się.

Niniejszy artykuł jest kontynuacją artykułu nmap w akcji – przykładowy test bezpieczeństwa. W poprzednim artykule pokazałem jak wykorzystać zebrane informacje do uzyskania dostępu do systemu. Natomiast w tym artykule chcę zaprezentować jak uzyskany dostęp zamienić na najwyższe uprawnienia w systemie, czyli wykonać podniesienie uprawnień.

Niedawno Microsoft załatał krytyczną podatność w popularnym protokole SMB (możliwość zdalnego wykonania kodu), która była wykorzystywane przez jedno z ujawnionych w wyniku wycieku narzędzi NSA: EternalBlue.

Obecnie exploit został doposażony w funkcję ransomware i automatycznego atakowania innych systemów.

Tego jeszcze nie było – w dużym skrócie jeśli macie na swoim Windows plik C:\Users\Public\MicTray.log powinniście czuć się zaniepokojeni – jest to bowiem log zawierający naciśnięte przez Was na klawiaturze przyciski (czyli w uproszczeniu log z ukrytego keyloggera).

Na początek samo stanowisko: Firmware Security Architect. Brzmi intrygująco? Bo jest i wymaga kilku niezależnych umiejętności z obszaru security: trochę z obszaru IoT, trochę z obszaru pentestów, …