Teksty

Test penetracyjny, w odróżnieniu od audytu bezpieczeństwa, jest procesem bardzo kreatywnym oraz spontanicznym. Wiele metodyk próbuje poskromić ten żywioł i usystematyzować pracę pentestera. Ale czy pentester w ogóle potrzebuje podążać ściśle za jakąś metodologią?

Tematyka bezpieczeństwa sieci przemysłowych (czyli służących do sterowania takimi kompleksami jak: elektrownie, wodociągi, kopalnie, gazociągi, linie produkcyjne, …) jest w dalszym ciągu niezbyt dobrze opisana czy zbadana. W tym krótkim poradniku postaram się wskazać kilka przydatnych zasobów dla osób, które odpowiedzialne są w jakiś sposób za zabezpieczanie tego typu systemów.

Dzisiaj publikujemy drugi tekst cyklu poświęconego budowaniu i konfigurowaniu wysokodostępnej i wydajnej architekturze dla LAMP. Tym razem będzie mowa o: keepalived oraz haproxy.

W poprzedniej części skupiliśmy się na teorii związanej z bezpieczeństwem WPA/WPA2 – tym razem czas na praktykę.

Zapewnienie bezpieczeństwa WEP okazało się praktycznie niemożliwe. Stało się więc oczywiste, że trzeba stworzyć nowe rozwiązanie, które zastąpi ten standard.
Czy 802.11i, a raczej WPA i WPA2 spełniają swe założenia w kontekście bezpieczeństwa sieci radiowej?

Prezentujemy trzecią część cyklu dotyczącego bezpieczeństwa WiFi – tym razem kilka słów o WEP.

W czasie, kiedy obserwujemy postępującą webizację aplikacji oraz wzrost wielkości stron w Internecie, ważne jest, aby wydajnie i bezpiecznie dostarczać dane do użytkownika. Protokół HTTP w wersji 1.1 nie robi tego zbyt dobrze… Czy oznacza to, że jesteśmy skazani na coraz wolniejsze działanie aplikacji w sieci?

Jest wiele przykładów na to, jak zaniedbanie podstawowych kwestii związanych z websecurity może nadszarpnąć reputację firmy i narazić ją na wielomilionowe straty. Opierając swój biznes na aplikacjach sieciowych, pamiętajmy o bezpieczeństwie – serwis internetowy to produkt czysto wirtualny, ale straty wynikające z zakończonego powodzeniem ataku – są jak najbardziej realne.

Czy dedykowana, napisana od podstaw aplikacja internetowa to wymyślanie na nowo czegoś co już jest dostępne, często darmowe, a dodatkowo dobrze supportowane? Jak stworzyć naprawdę bezpieczną stronę firmy, nie obawiając się przy tym o koszt jej utrzymania i rozwijania?

W dobie powszechnego dostępu do Internetu posiadanie własnego serwisu WWW stało się standardem. Dziś trudno znaleźć firmę, która nie opublikowałaby choćby prostej wizytówki w postaci np. statycznej strony internetowej w HTML. W przeważającej większości są to jednak rozbudowane serwisy oferujące m.in. korzystanie z oferowanych usług bądź dokonywanie zakupów bezpośrednio z poziomu przeglądarki internetowej.

Pierwszym krokiem na drodze do bezpiecznego, firmowego serwisu WWW jest wybór pomiędzy już istniejącym na rynku, sprawdzonym rozwiązaniem, a zleceniem zbudowania go od podstaw. W sieci roi się od darmowych systemów CMS, gotowych systemów CRM czy sklepów internetowych. Często są to też rozwiązania typu opensource. Czy są tak samo bezpieczne, jak dostępne?

Co zrobić, jeśli Apache, MySQL i PHP postawione na jednej maszynie przestały się wyrabiać? A jeśli rozdzielenie serwerów aplikacyjnych od bazodanowych, wymiana mod_php na mod_fastcgi, wymiana serwera Apache na coś szybszego też nie pomogła…? Jak przygotować się na kolejne zwiększenie ruchu w przyszłości?

Amerykańska Agencja Bezpieczeństwa Narodowego prowadziła kilka lat temu pilotażowy program zbierania informacji o lokalizacji abonentów usług komórkowych. Jak się okazuje, tego typu informacje mogą w niezwykle prosty sposób pomagać w skutecznym identyfikowaniu oraz śledzeniu poszczególnych użytkowników.

Druga część cyklu o bezpieczeństwie sieci WiFi. Tym razem przedstawiamy dwa narzędzia – kismet oraz aircrack-ng, w kontekście nasłuchiwania ruchu bezprzewodowego.

Główną motywacją wszystkich działań dzisiejszych twórców złośliwego oprogramowania jest chęć zysku. Kiedyś było jednak zupełnie inaczej. Zapraszam w retrospektywną podróż do świata nieco zapomnianych już, prawdziwych wirusów komputerowych.