W magazynie Wired można przeczytać artykuł Kevina Poulsena dotyczący wykorzystania przez FBI narzędzia pentesterów – Metasploita – do identyfikacji osób rozpowszechniających dziecięcą pornografię w sieci Tor. Obecnie trwa proces karny, w którym między innymi analizowana jest przez biegłych wiarogodność narzędzia Metasploit.
Czytaj dalej »
Analiza kodu stron internetowych może być koszmarem – mieszanina HTML/JS/CSS jest często plątaniną wielu bibliotek, kontekstów, zdarzeń oraz zmiennych, w których łatwo się pogubić. Zniechęca to nie tylko web developerów, ale również inżynierów bezpieczeństwa, do przeprowadzania szczegółowej inspekcji kodu, który zostaje zwracany przez serwer web aplikacji. Poznajmy kilka sztuczek, które ułatwią analizę elementów budujących współczesne strony internetowe.
Czytaj dalej »
Jakiś czas temu pisaliśmy o funkcjonalności click-to-play, która jest dostępna w większości przeglądarek. Umożliwia ona domyślne wyłączenie wszystkich pluginów i odpowiednie monity proszące o zgodę na uruchomienie, w momencie kiedy plugin jest uruchamiany. Niedługo ta opcja będzie domyślna dla niemal wszystkich pluginów.
Czytaj dalej »
8. kwietnia 2014 Microsoft kończy wsparcie dla systemu Windows XP. Jak radzić sobie w sytuacji, kiedy nie będziemy mieli już aktualizacji łatających krytyczne problemy bezpieczeństwa? W tekście przedstawiam kilka strategii podejścia do problemu.
Czytaj dalej »
Dzisiaj przedstawiamy małe opracowanie, które powinno przede wszystkim zainteresować osoby pracujące w jednostkach administracji publicznej. Mowa jest o pewnym rozporządzeniu, które nakłada na tego typu jednostki m.in. obowiązek realizowania cyklicznych autów bezpieczeństwa czy uczestniczenia w szkoleniach z zakresu bezpieczeństwa. Są też wskazanie minimalne wymagania bezpieczeństwa dla systemów IT.
Czytaj dalej »
Publikujemy badanie naszego czytelnika, które dotyczy pewnej wcześniej niepublikowanej podatności na urządzeniach D-Link. Całość pokazana ze szczegółami – łącznie z tak istotną rzeczą jak uruchomienie wyciągniętej z firmware binarki na emulatorze i debugowanie jej w takim właśnie środowisku.
Czytaj dalej »
Zobaczcie na ciekawy zbiór krótkich screencastów (wymagany flash) pokazujących w działaniu m.in. kilka narzędzi o których pisaliśmy: Splunk, Security Onion, Wireshark, ZAP, OpenVAS, nmap NSE – to tylko kilka z nich :) –ms
Czytaj dalej »
Amerykańska Federalna Komisja Handlu oskarżyła niedawno twórcę popularnej (dziesiątki milionów pobrań) aplikacji Brightest Flashlight o nieautoryzowane pobieranie wrażliwych danych użytkowników.
Czytaj dalej »
Tematyka bezpieczeństwa sieci przemysłowych (czyli służących do sterowania takimi kompleksami jak: elektrownie, wodociągi, kopalnie, gazociągi, linie produkcyjne, …) jest w dalszym ciągu niezbyt dobrze opisana czy zbadana. W tym krótkim poradniku postaram się wskazać kilka przydatnych zasobów dla osób, które odpowiedzialne są w jakiś sposób za zabezpieczanie tego typu systemów.
Czytaj dalej »
Jak wiemy dzięki wnikliwym obserwacjom użytkowników telewizorów z serii LG Smart, urządzenia te wysyłają do swego producenta szereg informacji mogących zagrozić naszej prywatności. W końcu doczekaliśmy się oficjalnej odpowiedzi firmy LG, w międzyczasie pojawiły się jednak również nowe fakty odnośnie zbieranych informacji.
Czytaj dalej »
W dobie powszechnego dostępu do Internetu posiadanie własnego serwisu WWW stało się standardem. Dziś trudno znaleźć firmę, która nie opublikowałaby choćby prostej wizytówki w postaci np. statycznej strony internetowej w HTML. W przeważającej większości są to jednak rozbudowane serwisy oferujące m.in. korzystanie z oferowanych usług bądź dokonywanie zakupów bezpośrednio z poziomu przeglądarki internetowej.
Czytaj dalej »
Mozilla Firefox jest od dłuższego czasu najpopularniejszą przeglądarką internetową w Polsce. Dzięki odpowiedniej konfiguracji, nasze okno na wirtualny świat uodpornimy na większość internetowych zagrożeń. Dziś podpowiadamy więc, w jaki sposób możemy uczynić z naszego Firefoksa twierdzę (niemal) nie do zdobycia.
Czytaj dalej »
Większość złośliwych stron internetowych próbuje zainfekować nasze systemy za pośrednictwem popularnych wtyczek w przeglądarkach internetowych, takich jak Java, czy też Flash. Całkowita rezygnacja z wtyczek może oznaczać brak dostępu do wielu treści, dlatego lepszym rozwiązaniem może być skorzystanie z mało znanej funkcji samych przeglądarek, jaką jest Click-to-Play.
Czytaj dalej »
Do tej pory poznaliśmy HTML5 przede wszystkim jako doskonałe narzędzie do omijania różnych filtrów w webaplikacjach. Nowy język pomaga atakującym na łatwiejsze przeprowadzenie klasycznego ataku na strony internetowe, przede wszystkim te z rodzaju XSS. Oczywiście bezpieczeństwo HTML5 nie dotyczy wyłącznie tematyki wstrzyknięć – czas poznać nowe wektory ataku, na przykład na magazyny danych webaplikacji.
Czytaj dalej »
Wzrost popularności języka HTML5 jest ogromny. Nowa technologia to niestety również wiele zagrożeń, które mniej lub bardziej dotkliwie mogą uderzyć w rosnącą wykładniczo grupę nieświadomych użytkowników i ich urządzeń.
Skąd może nadejść niebezpieczeństwo i jak się przed nim chronić?
Aby móc zrozumieć problematykę zagrożeń, które przynosi ze sobą HTML5, należy przybliżyć fundamentalną zasadę bezpieczeństwa nie tyle stron internetowych, co przeglądarek je wyświetlających. Mowa tutaj o Same Origin Policy (SOP), która w dobie HTML5 ma znaczenie jak nigdy dotąd.
Czytaj dalej »