Sekurak - piszemy o bezpieczeństwie

Zaczynamy kilkuczęściowy cykl na sekuraku dotyczący nowych europejskich wymogów dotyczących danych osobowych (GDPR). Tym razem stawka jest spora bo maksymalne kary za złamanie GDPR zostały ustalone na dziesiątki milionów euro (czy nawet więcej).

Mówiąc o wyzwaniach, jakie czekają wszystkich gromadzących, przetwarzających i przesyłających dane osobowe, warto zatrzymać się na chwilę na prawach podmiotów, jakich dane będziemy przetwarzać. Jest to istotne zarówno z punktu widzenie zrozumienia tego, w jaki sposób zabezpieczać zbiory danych, jak również z punktu widzenia ryzyka naruszeń wymagań GDPR.

Jednym ze sposobów pozyskania kontroli nad atakowanym celem jest wykorzystanie dobrze opisanych błędów w przestarzałych wersjach oprogramowania lub domyślnych ustawień poszczególnych usług działających na atakowanej maszynie. Ten artykuł przedstawi, czym jest proces utwardzania, oraz opisze narzędzia pozwalające w szybki sposób zidentyfikować niepoprawnie skonfigurowane usługi w systemie.

Jest to jedno z częstszych pytań, które otrzymuję od dłuższego czasu W dużym skrócie, idealna karta do testów bezpieczeństwa WiFi powinna…

W temacie backupu mieliśmy już dłuższe teksty o Clonezilli Live oraz Clonezilli Server edition; tym razem dłuższe opracowanie o dostępnym bezpłatnie rozwiązaniu Ur Backup.

Tym razem nie jest to bezczelny phishing kierujący bezpośrednio do dziwnie wyglądającej domeny, na której jest hostowana niby strona ze zmianą hasła do Google.

TL;DR – różne wersje pakietu Microsoft Office w nieco losowych sytuacjach wysyłają Wasze edytowane dokumenty do Microsoftu – w celu konwersji…

Rozmiar typowej biblioteki waha się w granicach od 10 000 do 200 000 linii kodu, a przeprowadzone badania wskazują, że w przeciętnej aplikacji Javy znajduje się od 5 do 10 luk na każde 10.000 linii kodu. Bazując na tych danych, trzeba stwierdzić, że prawdopodobieństwo nie wystąpienia żadnej luki w bibliotece…

13 stycznia 2017r. mieliśmy pierwsze Sekurak Hacking Party we Wrocławiu, które wzbudziło wyjątkowe zainteresowanie uczestników. W imprezie uczestniczyło około 540 osób!

W maju 2018 roku wymagane będzie spełnienie zapisów określonych w rozporządzeniu parlamentu EU w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (w skrócie: GDPR). Największym chyba problemem jest możliwa do nałożenia kara za niespełnienie wymogów…

Akcja zaczęła się od publikacji raportu firmy MedSec – działającej w porozumieniu z funduszem Muddy Waters. Ta ostatnia nazwa wydaje się podejrzana, pardon, mętna?

Tak, ma to znaczenie – raport miał obniżyć cenę akcji firmy St Jude Medical, w której urządzeniach zostały wykryte podatności.

Zupełnie przypadkiem wpadła mi w ręce, wydana listopadzie 2016 roku, książka „Hash Crack”. Nowe wersje rozmaitych narzędzi, dużo różnych przykładów i linków – na 60 stronach. Czy warto kupić?

Mamy dostępnych kilka dokumentów: dekret prezydencki w temacie, wspólne oświadczenie FBI, ODNI, DHS. Trochę technicznych konkretów mamy w raporcie tutaj. W ramach całej operacji wskazany jest też m.in. adres z Polski…

Trzeci numer magazynu Sekurak/Offline dotyczy ponownie tematu bezpieczeństwa aplikacji webowych. Jest to jak dotąd najbardziej rozbudowany numer – ponad 80 stron tekstów.

Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…