Sekurak - piszemy o bezpieczeństwie

W zasadzie rozpoczęły się już wakacje, stąd też małe podsumowanie tego co się działo na sekuraku od… początku jego istnienia.

Parę dni temu opisywałem podstawy SQL injection, dzisiaj nieco bardziej złożony przypadek, a mianowicie wykorzystanie w SQLi języka XPATH (XML Path Language). Na koniec tekstu – mały praktyczny hackme :-)

Niedawno prezentowaliśmy podstawowe metody wykorzystywane przez oprogramowanie antywirusowe w celu wykrywania złośliwego oprogramowania. O tym, jak dalece niedoskonałe są dzisiejsze antywirusy niech świadczy natomiast poniższy przypadek oprogramowania ochronnego Malwarebytes, które pewnego razu oflagowało własne pliki.

Kompletne źródła popularnego trojana bankowego Carberp zostały upublicznione w Internecie. Fakt ten jest interesujący z co najmniej kilku powodów, spójrzmy więc na szczegóły tej niecodziennej sytuacji.

To jedna z dość częstych i jednocześnie niebezpiecznych podatności w aplikacjach webowych (oraz niewebowych). Nie bez powodu SQL injection należy do pierwszej (A1) z dziesięciu kategorii błędów wymienianych w dokumencie OWASP Top Ten.

Na jedno z moich szkoleń z bezpieczeństwa przygotowałem swego czasu ćwiczenie, polegające na wykorzystaniu pewnych błędów aplikacyjnych używając w tym celu realnych SMS-ów (to znaczy uczestnicy aby rozwiązać ćwiczenie muszą użyć swoich komórek – również tych szarych ;-)

Ciekawą historię opisuje dzisiaj na blogu nakedsecurity Jamillah Knowles. Otóż miło spędzając czas w pubie, zorientował się że potrzebuje na kontynuowanie tego wieczoru gotówki. Jednak przy wypłacie pieniędzy, bankomat wciągnął kartę i nie chciał jej oddać…

Parę dni temu w naszej sekcji 'w biegu’ – informowaliśmy o nowej wersji narzędzia Wireshark, dzisiaj kilka słów o mało znanym, ale bardzo przydatnym tricku, znacznie ułatwiającym analizy w tym narzędziu.

Stało się! Nieugięty do tej pory w kwestii wynagradzania odkrywców nowych luk Microsoft zmienił zdanie. Gigant z Redmond zaoferował właśnie program zachęcający do komercyjnego poszukiwania nowych podatności w swym oprogramowaniu. Zarobić będzie można nawet 150 tys. USD!

Niedawno w serwisie arstechnika opisano wynik pewnego eksperymentu. Kilka osób (w tym autora narzędzia hashcat) poproszono o złamanie bazy 16,449 hashy.

Serwis coursera — we współpracy z Uniwersytetem Londyńskim – uruchomił właśnie interesujący kurs online o tematyce Malicious Software and its Underground Economy. Całość przedsięwzięcia jest dostępna za darmo dla każdego zainteresowanego.

17 czerwca 2013r. ukazała się nowa wersja popularnego i darmowego narzędzia wspomagającego analizę powłamaniową – The Sleuth Kit™.

Botnety to dość powszechnie znane zjawisko w dzisiejszym świecie. Liczące często setki tysięcy przejętych komputerów, kontrolowanych zdalnie przez cyberprzestępców, wykorzystywane do masowych ataków odmowy usługi (DDoS) są potężną bronią i jednym z największych problemów współczesnego Internetu.

Sprzęt medyczny odpowiedzialny między innymi za monitorowanie oraz podtrzymywanie życia pacjentów w wielu przypadkach nie jest odpowiednio zabezpieczony. Tego typu urządzenia są coraz częściej połączone z lokalnymi sieciami komputerowymi oraz Internetem, a ich producenci oraz obsługa nie przykładają wystarczającej uwagi do zagadnień bezpieczeństwa. W efekcie zagrożone jest zdrowie, a nawet…

Na stronach OWASP pojawiła się finalna wersja dokumentu OWASP Top Ten 2013 – The Ten Most Critical Web Application Security Risks.