Sekurak - piszemy o bezpieczeństwie

Nieco luźniejsza, ale niezmiernie interesująca krótka historia sabotażu na zespół rozwiązujący konkurs amerykańskiej agencji DARPA (Defense Advanced Research Projects Agency).

Wszystkich czytelników Sekuraka zapraszamy na anglojęzyczne szkolenie warsztatowe „Offensive HTML, SVG, CSS and other Browser-Evil” prowadzone przez znanego badacza bezpieczeństwa aplikacji webowych – Mario Heidericha. Szkolenie organizowane jest przez Securitum.

DARPA, rządowa agencja USA do spraw rozwoju zaawansowanych projektów obronnych, zaprezentowała przedstawicielom Scientific American i dziennikarzom programu 60 minutes z CBS (video) projekt wyszukiwarki internetowej, której zadaniem jest indeksować zasoby Internetu ukryte przed komercyjnymi wyszukiwarkami takimi jaki Google, czy Yahoo.

Czasem w otrzymanym mailu coś przykuje naszą uwagę i spowoduje zapalenie się czerwonej lampki. Może to być adres nadawcy, dziwny załącznik lub link w treści wiadomości. Wtedy będziemy chcieli szybko i skutecznie dowiedzieć się z czym mamy do czynienia – zwłaszcza jeśli podejrzewamy, że ktoś chciałby uzyskać dostęp do naszych danych poufnych.

Opis błędu XSS w domenie www.google.com. Historia omijania kolejnych przeszkód, by napisać kod wykorzystujący podatność, nie wymagający interakcji użytkownika.

Tym artykułem rozpoczynamy cykl miesięcznych podsumowań wydarzeń ze świata rozgrywek CTF. W środku wyniki turniejów rozegranych w styczniu, informacje statystyczne oraz linki do treści i rozwiązań zadań. Nie zabraknie również polskich akcentów.

Race condition to termin, który oznacza dość specyficzną sytuację w programie komputerowym. W przypadku, gdy system dopuszcza wykonywanie wielu operacji równocześnie, ale powodzenie konkretnej operacji zależy od właściwej kolejności wykonania, może dojść do sytuacji, w której zakładana kolejność nie zostanie zachowana i spowoduje błąd lub nieprzewidziane rezultaty.

Afera Edwarda Snowdena pokazała, że Internet nie jest już medium, w którym łatwo można dzielić się treścią w sposób anonimowy. Dowiedzmy się, jakie mechanizmy są używane przez Wielkiego Brata – osoby prywatne, firmy czy rząd – aby śledzić aktywność przeglądarek użytkowników Internetu.

Wśród osób związanych bezpieczeństwem teleinformatycznym oraz pasjonatów z całego świata dość popularne są turnieje znane jako Capture The Flag (lub w skrócie CTF). W tekście przedstawiam moje zmagania z tematem.

Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród „Top 10 bug reporters 2014”. Gratulacje!

Czy istnieje technologia umożliwiające przykazywanie dźwięku na duże odległości – nawet tak aby był on słyszalny bez posiadania żadnego odbiornika? Zobaczmy małe opracowanie dotyczące wybranych technologii dźwięku kierunkowego.

Mechanizm wyszukiwania serwera proxy (domyślnie włączony w systemie Windows) umożliwia łatwe przeprowadzenie ataku polegającego na przechwyceniu ruchu http(s) w sieci lokalnej. W artykule wyjaśnienie jak działa ten mechanizm oraz praktyczna prezentacja przeprowadzenia ataku.

OWASP to organizacja, który kojarzy nam się z projektami związanymi z bezpieczeństwem aplikacji webowych. Mniej znanym jest 4 letni projekt poświęcony zagrożeniom platform mobilnych – OWASP Mobile Security Project. Celem artykułu jest zapoznanie Was z tymi zagrożeniami oraz z różnicami w stosunku do klasyfikacji z roku 2012.

Mój przegląd pozycji książkowych dotyczących bezpieczeństwa platformy Android pozwolił odkryć krótką, ale dość ciekawą książkę: „Application Security for the Android Platform” autorstwa Jeff’a Six.

W magazynie Wired można przeczytać artykuł Kevina Poulsena dotyczący wykorzystania przez FBI narzędzia pentesterów – Metasploita – do identyfikacji osób rozpowszechniających dziecięcą pornografię w sieci Tor. Obecnie trwa proces karny, w którym między innymi analizowana jest przez biegłych wiarogodność narzędzia Metasploit.