Podatność LDAP injection – definicje, przykłady ataku, metody ochrony

16 marca 2017, 20:16 | Teksty | komentarze 4
Podatność LDAP injection – definicje, przykłady ataku, metody ochrony

Czym jest LDAP? Lightweight Directory Access Protocol (LDAP) to protokół pozwalający na wymianę informacji wykorzystując protokół TCP/IP. Przeznaczony jest on do korzystania z usług katalogowych, czyli obiektowych baz danych reprezentujących użytkowników sieci i zasoby. LDAP jest powszechnie stosowany w wielu usługach, z których zapewne najbardziej znaną jest Active Directory firmy…

Czytaj dalej »

GDPR/RODO – Wymagania stawiane przed Inspektorem Ochrony Danych

09 marca 2017, 15:03 | Teksty | komentarzy 10
GDPR/RODO – Wymagania stawiane przed Inspektorem Ochrony Danych

Kto i kiedy jest zobowiązany do powoływania Inspektora Ochrony Danych? Analizując dogłębnie GDPR należy zauważyć, iż funkcji Inspektora Ochrony Danych nie poświęcono zbyt wiele artykułów. Wydaje się, że konieczność dodefiniowania zakresu bezpośrednich odpowiedzialności tego podmiotu będzie przeniesiona na konkretne regulacje krajowe. Podejście takie wydaje się być rozwiązaniem dość sensownym zważywszy…

Czytaj dalej »

Jak ukryć hotspot Wi-Fi przed Windowsem XP?

08 marca 2017, 12:10 | Teksty | komentarze 22
Jak ukryć hotspot Wi-Fi przed Windowsem XP?

Szukając błędów w sposobie wyświetlania nazw sieci Wi-Fi (w różnych urządzeniach), często możemy natknąć się na ciekawy błąd. W systemie Windows XP (np. w wersji Professional z Service Pack 3) możemy stworzyć hotspot Wi-Fi, który nie zostanie wykryty przez standardowy panel do wyszukiwania „Połączenie sieci bezprzewodowej”. Nietypowa nazwa Wi-Fi W celu weryfikacji…

Czytaj dalej »

Wikileaks odpala bombę. Wyciek pełnych możliwości hackerskich CIA.

07 marca 2017, 18:59 | Aktualności | komentarzy 19
Wikileaks odpala bombę. Wyciek pełnych możliwości hackerskich CIA.

Jeśli ktoś chce szybko mięsa – proszę: mamy tutaj w pełni bojowe exploity (ang. weaponized exploits) zawierające 0-daye na iPhone / Androida (tu będziecie pewnie narzekać że starocie) / Windowsa. Nie brakuje też pakunków zmieniających telewizory Samsunga w ukryte mikrofony. W oryginale: (…) arsenal and dozens of „zero day” weaponized exploits against…

Czytaj dalej »

Odtworzyli przeszło 40-letnie pliki z taśm znalezionych w warszawskim muzeum techniki…

03 marca 2017, 22:43 | Aktualności | komentarzy 15
Odtworzyli przeszło 40-letnie pliki z taśm znalezionych w warszawskim muzeum techniki…

Po żmudnym i mocno nietypowym procesie analizy udało się z pięciu taśm odzyskać grubo ponad 1000 plików zapisanych w Polsce w latach 1973 – 1984.

Wśród nich znaleziono perły, które zostały uznane już jako utracone. Są to choćby źródła oprogramowania minikomputera K-202 (skonstruowany w latach 1970-1973), czym dotykamy samych początków historii polskich komputerów…

Czytaj dalej »

Bug bounty w administracji publicznej w Polsce?! Prośba o komentarze!

03 marca 2017, 18:30 | Aktualności | komentarzy 49
Bug bounty w administracji publicznej w Polsce?! Prośba o komentarze!

Ministerstwo Cyfryzacji opublikowało właśnie dokument: „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022„. Rzeczywiście w dokumencie jest mowa o bug bounty – ale o tym za moment. Niedługo uczestniczę w panelu dyskusyjnym – m.in. z minister cyfryzacji Anną Streżyńską – jeśli podrzucicie ciekawe pomysły / rozwiązania czy ogólnie komentarze do…

Czytaj dalej »

Inteligentne misie przejęte! Wyciek 800 000 kont / dostęp LIVE do nagrań i zdjęć użytkowników

28 lutego 2017, 10:30 | Aktualności | 1 komentarz
Inteligentne misie przejęte! Wyciek 800 000 kont / dostęp LIVE do nagrań i zdjęć użytkowników

Akcja na rynku inteligentnych zabawek się rozkręca. Najpierw Barbie, później niemiecka rekomendacja zniszczenia lalki Calya (oskarżenie o ukryte urządzenie szpiegowskie). Teraz przyszła pora na większą „bombę”. Na początek zaczęło się od wycieku, którym zajął się znany nam Troy Hunt. Chodzi o inteligentne misie (CloudPets), które umożliwiają na przesyłanie głosu (przez clouda) do…

Czytaj dalej »

Google pokazuje kolizję na SHA-1. Wielki zderzacz SHA-1 wykonał 9 trylionów obliczeń…

23 lutego 2017, 18:19 | Aktualności | komentarzy 12
Google pokazuje kolizję na SHA-1. Wielki zderzacz SHA-1 wykonał 9 trylionów obliczeń…

Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a  szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…

Czytaj dalej »

Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

20 lutego 2017, 13:40 | Teksty | komentarzy 5
Nagłówek X-Forwarded-For – problemy bezpieczeństwa…

Nagłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP…

Czytaj dalej »