Sekurak - piszemy o bezpieczeństwie

Parę dni temu pisaliśmy o instalowaniu przez Lenovo Spyware na niektórych modelach laptopów (na szczęście nie dotyczy to ThinkPad-ów), a obecnie pojawiają się liczne analizy pokazujące coraz to nowe luki w SuperFishu. W tym strona sprawdzająca czy jesteśmy podatni.

Obecna wersja protokołu HTTP/1.1, z 1999 roku zostanie niedługo zastąpiona wersją HTTP/2. Zobaczmy co nas czeka.

Toshiba pokazała pierwsze modułowe kamery do smartfonów Googlowego projektu Ara. W założeniach, Ara ma stworzyć możliwość własnej konstrukcji smartfona, którego składamy właśnie z tego typu wymiennych komponentów.

Tekst, który zajął drugie miejsce w ostatnim konkursie Sekuraka. Zaczniemy od opisu rzeczywistych incydentów w kraju oraz działań przeciwko instytucjom finansowym na całym świecie. Następnie wyjaśniona zostanie idea i krótka historia organizowania ćwiczeń, by przejść do opisów kolejnych ich edycji.

W poniedziałek ma zostać opublikowany raport Kaspersky Labs dotyczący kradzieży 300 mln $ z ponad 100 banków i instytucji finansowych z około 30 krajów – na liście jest również Polska.

Aplikacja DroidStealth stworzona przez badaczy z holenderskiego uniwersytetu Delft University of Technology nie tylko szyfruje dane ale przede wszystkim stosuje kilka technik, w celu ich ukrycia.

Nieco luźniejsza, ale niezmiernie interesująca krótka historia sabotażu na zespół rozwiązujący konkurs amerykańskiej agencji DARPA (Defense Advanced Research Projects Agency).

Wszystkich czytelników Sekuraka zapraszamy na anglojęzyczne szkolenie warsztatowe „Offensive HTML, SVG, CSS and other Browser-Evil” prowadzone przez znanego badacza bezpieczeństwa aplikacji webowych – Mario Heidericha. Szkolenie organizowane jest przez Securitum.

DARPA, rządowa agencja USA do spraw rozwoju zaawansowanych projektów obronnych, zaprezentowała przedstawicielom Scientific American i dziennikarzom programu 60 minutes z CBS (video) projekt wyszukiwarki internetowej, której zadaniem jest indeksować zasoby Internetu ukryte przed komercyjnymi wyszukiwarkami takimi jaki Google, czy Yahoo.

Czasem w otrzymanym mailu coś przykuje naszą uwagę i spowoduje zapalenie się czerwonej lampki. Może to być adres nadawcy, dziwny załącznik lub link w treści wiadomości. Wtedy będziemy chcieli szybko i skutecznie dowiedzieć się z czym mamy do czynienia – zwłaszcza jeśli podejrzewamy, że ktoś chciałby uzyskać dostęp do naszych danych poufnych.

Opis błędu XSS w domenie www.google.com. Historia omijania kolejnych przeszkód, by napisać kod wykorzystujący podatność, nie wymagający interakcji użytkownika.

Tym artykułem rozpoczynamy cykl miesięcznych podsumowań wydarzeń ze świata rozgrywek CTF. W środku wyniki turniejów rozegranych w styczniu, informacje statystyczne oraz linki do treści i rozwiązań zadań. Nie zabraknie również polskich akcentów.

Race condition to termin, który oznacza dość specyficzną sytuację w programie komputerowym. W przypadku, gdy system dopuszcza wykonywanie wielu operacji równocześnie, ale powodzenie konkretnej operacji zależy od właściwej kolejności wykonania, może dojść do sytuacji, w której zakładana kolejność nie zostanie zachowana i spowoduje błąd lub nieprzewidziane rezultaty.

Afera Edwarda Snowdena pokazała, że Internet nie jest już medium, w którym łatwo można dzielić się treścią w sposób anonimowy. Dowiedzmy się, jakie mechanizmy są używane przez Wielkiego Brata – osoby prywatne, firmy czy rząd – aby śledzić aktywność przeglądarek użytkowników Internetu.

Wśród osób związanych bezpieczeństwem teleinformatycznym oraz pasjonatów z całego świata dość popularne są turnieje znane jako Capture The Flag (lub w skrócie CTF). W tekście przedstawiam moje zmagania z tematem.