Sekurak - piszemy o bezpieczeństwie

Amazon Simple Storage Service to popularna usługa umożliwiająca wygodne przechowywanie praktycznie nieograniczonej ilości danych w chmurze Amazon Web Services. Jak się okazuje, dostęp do miliardów prywatnych oraz poufnych plików przechowywanych w S3 nie jest w żaden sposób zabezpieczony. Spójrzmy.

CAPTCHA (ang. Completely Automated Public Turing test to tell Computers and Humans Apart) to dobrze znane wszystkim internautom zabezpieczenia, których głównym zadaniem jest powstrzymanie automatów od wprowadzania jakichkolwiek danych do internetowego serwisu. Dziś przyjrzymy się kilku przykładom egzotycznych odmian CAPTCHA i zastanowimy się, czy ich stosowanie pozwala na osiągnięcie zadowalających rezultatów.

Zapisy na Sekurak Hacking Party trwają w najlepsze, a my zajmiemy się pewną mało znaną techniką uzyskiwania uprawnień root na urządzeniach sieciowych.

Do tej pory poznaliśmy HTML5 przede wszystkim jako doskonałe narzędzie do omijania różnych filtrów w webaplikacjach. Nowy język pomaga atakującym na łatwiejsze przeprowadzenie klasycznego ataku na strony internetowe, przede wszystkim te z rodzaju XSS. Oczywiście bezpieczeństwo HTML5 nie dotyczy wyłącznie tematyki wstrzyknięć – czas poznać nowe wektory ataku, na przykład na magazyny danych webaplikacji.

Amerykańska Agencja Bezpieczeństwa Narodowego odtajniła i opublikowała w ostatnim czasie bardzo ciekawe materiały, a mianowicie 136 wydań wewnętrznego magazynu „Cryptolog”. Materiały te w większości były uprzednio sklasyfikowane jako ściśle tajne i stanowią bardzo interesującą lekturę, rzucając światło na mechanizmy działania samej agencji oraz wiele nieznanych do tej pory faktów.

22 marca 2013r. weszła w życie aktualizacja ustawy o prawie telekomunikacyjnym. Wprowadza ona pewne wymogi obejmujące „przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta”. Przede wszystkim chodzi o tzw. cookies/ciastka, ale nie tylko. Zobaczmy jak sobie z tym radzić…

Zapraszamy do przeczytania – oraz zabookmarkowania :) – tekstu o odzyskiwaniu skasowanych danych. W artykule zaprezentuję bezpłatne narzędzia umożliwiające odzyskanie plików np. po sformatowaniu / uszkodzeniu dysku twardego, czy pomyłkowym usunięciu plików z HDD / nośnika USB.

Wzrost popularności języka HTML5 jest ogromny. Nowa technologia to niestety również wiele zagrożeń, które mniej lub bardziej dotkliwie mogą uderzyć w rosnącą wykładniczo grupę nieświadomych użytkowników i ich urządzeń.
Skąd może nadejść niebezpieczeństwo i jak się przed nim chronić?
Aby móc zrozumieć problematykę zagrożeń, które przynosi ze sobą HTML5, należy przybliżyć fundamentalną zasadę bezpieczeństwa nie tyle stron internetowych, co przeglądarek je wyświetlających. Mowa tutaj o Same Origin Policy (SOP), która w dobie HTML5 ma znaczenie jak nigdy dotąd.

W ramach zaostrzania apetytu przed pierwszą edycją sekurak hacking party publikujemy kilka ciekawych znalezisk w urządzeniach Cisco – Services Ready Platform. Finalnie pokażę na tym urządzeniu interaktywnego root-shella.

Zapraszamy na prezentację Borysa Łąckiego pt.: „Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyborowego zespołu nad automatycznymi narzędziami”.

Jak się okazuje, botnet składający się z około 120 tys. zainfekowanych maszyn może zarabiać miesięcznie dla swego twórcy nawet 6 milionów USD! Spójrzmy, w jak prosty sposób twórcy złośliwego oprogramowania są w stanie przemienić komputery internautów w maszynki do robienia ogromnych pieniędzy.

Jakiś czas temu prezentowaliśmy metodę częściowego obejścia blokady ekranu w popularnych smartfonach z Androidem. Efekty były jednak ograniczone, a sam sposób wymagał sporej wprawy. Dziś przedstawiamy sposób na całkowite przejęcie kontroli nad południowokoreańskimi telefonami w sposób nieco łatwiejszy do wykonania.

Dzisiaj prezentujemy pierwszą część wprowadzenia do tematyki bezpieczeństwa HTML5. Na całość cyklu składają się trzy części (publikacja lada dzień). Pierwsza część to łagodne wprowadzenie w tematykę HTML5, kolejne – opisywały będą kilka problemów bezpieczeństwa, które pojawiły się wraz z nową specyfikacją HTML.

Czytelnicy Sekuraka wiedzą już, że systemy Windows przechowują hasła w pamięci operacyjnej w postaci jawnej, a ich wydobycie jest banalnie proste. Dziś, dla porównania, przedstawiamy podobne zagadnienie na przykładzie Linuksa.

Biometryczne systemy oparte na czytnikach linii papilarnych mogą czasem zostać oszukane za pomocą… sztucznych silikonowych palców. Na taki właśnie pomysł wpadli brazylijscy lekarze ze szpitala w Ferraz de Vasconcelos, dzięki czemu niektórzy z pracowników nie pojawiali się w miejscu zatrudnienia nawet przez 3 lata!