Sekurak - piszemy o bezpieczeństwie

Chcielibyście zagrać czasem w pracy i przy okazji czegoś ciekawego się nauczyć? Nie macie pomysłu na rozkręcenie imprezy? Polecam zatem przyjrzeć się oryginalnej grze: Control-Alt-Hack.

Jeszcze przez 2 tygodnie (tj. do 14. kwietnia) można wysyłać teksty na nasz konkurs: „najlepszy tekst o bezpieczeństwie”. Mamy do rozdysponowania dwie nagrody: iPada (z możliwością wymiany na gotówkę) oraz jedno ze szkoleń z bezpieczeństwa organizowanych przez Securitum.

Ciekawy przypadek infekcji bankomatu odkryli ostatnio specjaliści z firmy Symantec. W opisywanym przypadku, podłączony do bankomatu telefon służył przestępcom jako bramka umożliwiająca kontrolowanie urządzenia siecią GSM i wykonywanie takich operacji jak wyrzut dowolnej ilości gotówki.

Podatności związane z XXE (XML eXternal Entity) ostatnimi czasy zdobywają coraz większą „popularność” w aplikacjach internetowych. Najczęściej wykorzystanie XXE jest sposobem na wykonanie ataku Path Traversal, czasem może jednak dawać większe możliwości. Przyjrzyjmy się tematowi z bliska.

Analiza kodu stron internetowych może być koszmarem – mieszanina HTML/JS/CSS jest często plątaniną wielu bibliotek, kontekstów, zdarzeń oraz zmiennych, w których łatwo się pogubić. Zniechęca to nie tylko web developerów, ale również inżynierów bezpieczeństwa, do przeprowadzania szczegółowej inspekcji kodu, który zostaje zwracany przez serwer web aplikacji. Poznajmy kilka sztuczek, które ułatwią analizę elementów budujących współczesne strony internetowe.

Kolejna dawka sekurakowych tekstów, do których być może jeszcze raz warto powrócić.

Pod tym nieco przewrotnym tytułem prezentujemy interesujące odkrycie opisywane przez Netcraft. Otóż jeden z webserwerów EA został shackowany (zdalne wykonanie kodu na serwerze przez jedną z niezaktualizowanych aplikacji) a następnie przerobiony na serwer phishingowy pobierający m.in. dane kart kredytowych.

Pierwsza edycja Sekurak Hacking Party okazała się… ciekawą i mile przyjętą inicjatywą. Dzisiaj kilka informacji na ten temat oraz zaproszenie do zgłaszania własnych prezentacji.

Czy możemy jeszcze korzystać z przeglądarki, która nie pozwala sieciom reklamowym budować bazy naszych zwyczajów podczas surfowania w Internecie?
Nie jest to takie trudne, wystarczy zainstalować odpowiednio skonfigurowane dodatki.

Praktycznie wszystkie powszechnie używane dziś frameworki są zabezpieczone przed atakiem HTTP Response Splitting. „Prawie” robi czasem dużą różnicę – w tekście pokażemy realny przykład podatności HTTP Response Splitting w google.com

W poprzednim wpisie poświęconym tworzeniu narzędzi w Pythonie przedstawiłem kilka prostych skryptów korzystających z modułów sys, os oraz httplib. W tym wpisie „zejdziemy” nieco niżej i zobaczymy, jak tworzyć skrypty, które komunikują się z siecią przez sockety.

Ze względu na niezwykle dużą skalę niektórych rozproszonych ataków odmowy dostępu do usługi ochrona przeciwko nim jest bardzo trudna. Zapobieganie atakom DDoS wymaga wiele pracy administratorów, inwestycji w sprzęt i oprogramowanie, a nawet współpracę z dostawcami internetowymi oraz organami ścigania. Jest to bardzo duży koszt, na który nie mogą pozwolić sobie wszystkie firmy, a w szczególności osoby prywatne. Jak radzić sobie z takim problem?

W archiwum sekuraka mamy już przeszło 100 autorskich tekstów oraz ponad 40 opisów rozmaitych narzędzi. Dzisiaj przypomnienie kilku ciekawych wpisów.

Zielona kłódka w pasku adresu przeglądarki internetowej daje poczucie bezpieczeństwa. Niestety może okazać się, że prefiks HTTPS przed adresem strony wcale nie zagwarantuje nam uwierzytelnienia, integralności oraz poufności komunikacji, których oczekujemy od protokołu SSL.

Samo śledzenie ruchu jest ciekawą funkcją dostępną w najnowszych iPhone’ach – przydaje się choćby przy współpracy z aplikacjami ułatwiającymi zapis i analizę aktywności ruchowej / tworzeniu planów fitness itp. Kto by jednak pomyślał, że także po wyłączeniu, telefon również zapisuje pewne informacje o ruchu użytkownika…