W biegu

Zostań autorem na sekuraku

28 stycznia 2015, 18:27 | W biegu | 0 komentarzy

Jeśli macie w głowie pomysł na ciekawy artykuł / news (najlepiej na bazie swoich doświadczeń) to zachęcam do podzielenia się tą wiedzą na sekuraku. Każdy z nas jest zapracowany, więc od razu proponujemy współpracę komercyjną (w formie konkretnego wynagrodzenia per strona tekstu). Jakie tematy nas interesują? Związane z bezpieczeństwem :-)…

Czytaj dalej »

GHOST: nowa krytyczna podatność – łatać się kto może…

27 stycznia 2015, 18:32 | W biegu | komentarzy 11

Mieliśmy shellshocka, mieliśmy heartbleeda, czas na GHOSTA, który dzisiaj został ogłoszony przez team Qualysa. Błąd tym razem jest przepełnieniem bufora w jednej z funkcji standardowej linuksowej biblioteki glibc: __nss_hostname_digits_dots() – ale można się do niej „dobić” (exploitując podatność) korzystając niezmiernie popularnej rodziny funkcji:   gethostbyname*(). Jak to piszą odkrywcy buga: This…

Czytaj dalej »

Jak w Javascript poznać publiczny (oraz prywatny!) adres IP?

27 stycznia 2015, 12:14 | W biegu | komentarzy 11

Zobaczcie tylko na jeszcze świeży kawałek Javascriptu tutaj. Przykładowo – w Chrome wystarczy użyć F12 -> Console i wkleić kod do przeglądarki. Można też z niewielką modyfikacją (ostatnia linijka) uruchomić taki javascript ze swojego serwera. Co wykorzystuje ten mechanizm? Na razie jeszcze mało popularny mechanizm WebRTC (Web Real-Time Communication), wykorzystywany…

Czytaj dalej »

Zuploadowali mózg robaka do robota z Lego – ten zaczął chodzić i omijać przeszkody…

24 stycznia 2015, 22:15 | W biegu | komentarzy 6

CNN opisuje ciekawy eksperyment – otóż załodze z projektu openworm, udało się skopiować sieć nerwową robaka „Caenorhabditis elegans” do firmware-u robota Lego Mindstorms. Następnie podłączyli „sonar sensor” z Lego w miejsce nosowych neuronów czuciowych robaka, a odpowiednie neurony motoryczne – w miejsce bocznych neuronów zwierzęcia. Bez dodatkowego programowania wpływającego bezpośrednio…

Czytaj dalej »

Q/A: Testowanie bezpieczeństwa webservices / API REST

24 stycznia 2015, 15:10 | W biegu | 0 komentarzy

Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych? Samą teorię pentestów tego typu komponentów można znaleźć np. w siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części), prezentacjach (np.  Blackhat – o testowaniu SOAP, czy praca…

Czytaj dalej »

Porty szeregowe urządzeń stacji benzynowych…dostępne w Internecie

23 stycznia 2015, 17:55 | W biegu | 1 komentarz

Ciekawy problem opisuje na blogu HD Moore. Otóż okazuje się, że tzw. Automated Tank Gauge – komponent monitorujący / zarządzający działaniem pewnych procesów na stacjach benzynowych (np. monitorowanie stanu paliwa czy uruchamianie alarmów np. w przypadku wycieków), jest niekiedy osiągalny z poziomu Internetu – na porcie 10001 TCP. Dokładniej, na porcie…

Czytaj dalej »

20 bezpłatnych kalendarzy sekuraka

23 stycznia 2015, 15:31 | W biegu | komentarzy 9

Mamy do rozdania 20 kalendarzy sekuraka (w każdej paczce gratis również naklejka + sekurakowa smycz). Jak można je zdobyć? Wystarczy napisać na: kasia@sekurak.pl i przesłać: Adres do wysyłki (nie wysyłamy do paczkomatów) Kilka zdań o sobie ;) Pierwsze 20 osób które wyślą maila, otrzyma 1 darmowy pakiet jak wyżej. Sam…

Czytaj dalej »

Wykrywanie malware’u przez analizę poboru prądu

21 stycznia 2015, 17:20 | W biegu | 0 komentarzy

PFP, czyli ‚Power Fingerprinting’ to metoda wykrywania malware’u za pomocą analizy poboru prądu przez procesory.     Pierwotnie projekt PFP miał na celu ochronę urządzeń przemysłowych, jednak znajduje on swoje rozwiązanie również na urządzeniach mobilnych m.in. sprawdził się na platformie Android. Technologia pozwala m.in. wykryć użycie w Linuksie polecenia systemowego chmod…

Czytaj dalej »

Prezentacja o web security w Poznaniu

20 stycznia 2015, 09:49 | W biegu | komentarzy 5

4 lutego zapraszam wszystkich (a szczególnie poznańskich ;) czytelników sekuraka na spotkanie grupy PTAQ (Poznań Testing And Quality group). W trakcie godzinnej prezentacji o różnych problemach w aplikacjach webowych pokażę: kilka wersji podatności OS command Exec (łącznie z ShellShock), mniej znany problem –  XXE, będą też dwie chwile o hackowaniu…

Czytaj dalej »

XSS w książce… aktywowany on-line

19 stycznia 2015, 16:45 | W biegu | komentarze 3

Nikt nie dziwi się tym, że w wielu książkach o bezpieczeństwie można znaleźć przykłady wykorzystania podatności XSS. Jednak ciekawe jest to, że czasem takiego „papierowego” XSS-a można aktywować on-line: zobaczcie na stronę www.safaribooksonline.com: PS Lepiej nie szukajcie książek o OS Command Exec ;-) –ms

Czytaj dalej »

Android5: co nowego w bezpieczeństwie?

19 stycznia 2015, 14:34 | W biegu | komentarze 2

O bezpieczeństwie Androida oraz iOS (zarówno od strony systemu operacyjnego, infrastruktury i rynku malware) pisaliśmy już jakiś czas temu. Od dłuższego czasu w systemie Google-a dostępne są takie mechanizmy bezpieczeństwa jak: Sandboxing, SELinux, ASLR, Fortify Source, szyfrowanie danych urządzenia, ostrzeżenia przed wysyłką SMS-ów premium, itd. Mająca już parę miesięcy, piąta…

Czytaj dalej »

Elon Musk wykłada 10 miliardów dolarów na Internet w kosmosie

17 stycznia 2015, 23:22 | W biegu | 0 komentarzy

Czy interesowaliście się kiedyś jak wygląda bezpieczeństwo satelit? Miejmy nadzieję, że niekoniecznie tak jak innego popularnego sprzętu sieciowego (tj. dziurawy Linux na pokładzie). W każdym razie, być może niedługo tego typu problemy będą codziennością – a to za sprawą Elona Musk-a, który wykłada 10 miliardów dolarów na projekt: powszechny Internet…

Czytaj dalej »

‚Skeleton Key’ infekuje kontrolery Active Directory

15 stycznia 2015, 13:04 | W biegu | 1 komentarz

Badacze z Dell SecureWorks Counter Threat Unit (CTU) odkryli malware, który atakuje kontrolery domeny Active Diretory i umożliwia logowanie się jako dowolny użytkownik do pozostałych usług (np. poczta, VPN) w sieciach, które wykorzystują tylko jedno-składnikowe uwierzytelnianie. Analizę zachowania tego złośliwego oprogramowania, które nazwali ‚Skeleton-Key’, można przeczytać na stronie Dell SecurWorks….

Czytaj dalej »

O hakerach na filmowo

14 stycznia 2015, 20:49 | W biegu | komentarzy 6

W 2015 zbliżają się dwie premiery opowieści filmowych o walce w cyberprzestrzeni. W piątek do polskich kin wchodzi film Michaela Manna („Gorączka”, „Informator”, „Ostatni Mohikanin”) pod tytułem „Haker” (oryginał: „Blackhat”). Reżyser znany głównie z filmów poświęconych przestępcom, zainspirowany informacjami o robaku Stuxnet, postanowił podjąć temat przestępstw informatycznych. Oprócz przychylnych zapowiedzi…

Czytaj dalej »

Cyberwar na żywo – kto kogo atakuje – ciekawe wizualizacje

10 stycznia 2015, 17:25 | W biegu | 1 komentarz

Potrzebujecie ciekawego, niebanalnego tła na konferencję czy inną geek-imprezę? Polecam w takim razie przyjrzeć się aktualizowanym na żywo mapom ataków, których zestawienie przygotował Brian Krebs. Na początek polecam Cyber Threat Map autorstwa FireEye: oraz IPviking:   Więcej tego typu serwisów – w oryginalnym poście oraz komentarzach do niego. –ms

Czytaj dalej »