CNN opisuje ciekawy eksperyment – otóż załodze z projektu openworm, udało się skopiować sieć nerwową robaka „Caenorhabditis elegans” do firmware-u robota Lego Mindstorms. Następnie podłączyli „sonar sensor” z Lego w miejsce nosowych neuronów czuciowych robaka, a odpowiednie neurony motoryczne – w miejsce bocznych neuronów zwierzęcia. Bez dodatkowego programowania wpływającego bezpośrednio…
Czytaj dalej »
Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych? Samą teorię pentestów tego typu komponentów można znaleźć np. w siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części), prezentacjach (np. Blackhat – o testowaniu SOAP, czy praca…
Czytaj dalej »
Ciekawy problem opisuje na blogu HD Moore. Otóż okazuje się, że tzw. Automated Tank Gauge – komponent monitorujący / zarządzający działaniem pewnych procesów na stacjach benzynowych (np. monitorowanie stanu paliwa czy uruchamianie alarmów np. w przypadku wycieków), jest niekiedy osiągalny z poziomu Internetu – na porcie 10001 TCP. Dokładniej, na porcie…
Czytaj dalej »
Mamy do rozdania 20 kalendarzy sekuraka (w każdej paczce gratis również naklejka + sekurakowa smycz). Jak można je zdobyć? Wystarczy napisać na: kasia@sekurak.pl i przesłać: Adres do wysyłki (nie wysyłamy do paczkomatów) Kilka zdań o sobie ;) Pierwsze 20 osób które wyślą maila, otrzyma 1 darmowy pakiet jak wyżej. Sam…
Czytaj dalej »
PFP, czyli 'Power Fingerprinting’ to metoda wykrywania malware’u za pomocą analizy poboru prądu przez procesory. Pierwotnie projekt PFP miał na celu ochronę urządzeń przemysłowych, jednak znajduje on swoje rozwiązanie również na urządzeniach mobilnych m.in. sprawdził się na platformie Android. Technologia pozwala m.in. wykryć użycie w Linuksie polecenia systemowego chmod…
Czytaj dalej »
4 lutego zapraszam wszystkich (a szczególnie poznańskich ;) czytelników sekuraka na spotkanie grupy PTAQ (Poznań Testing And Quality group). W trakcie godzinnej prezentacji o różnych problemach w aplikacjach webowych pokażę: kilka wersji podatności OS command Exec (łącznie z ShellShock), mniej znany problem – XXE, będą też dwie chwile o hackowaniu…
Czytaj dalej »
Nikt nie dziwi się tym, że w wielu książkach o bezpieczeństwie można znaleźć przykłady wykorzystania podatności XSS. Jednak ciekawe jest to, że czasem takiego „papierowego” XSS-a można aktywować on-line: zobaczcie na stronę www.safaribooksonline.com: PS Lepiej nie szukajcie książek o OS Command Exec ;-) –ms
Czytaj dalej »
O bezpieczeństwie Androida oraz iOS (zarówno od strony systemu operacyjnego, infrastruktury i rynku malware) pisaliśmy już jakiś czas temu. Od dłuższego czasu w systemie Google-a dostępne są takie mechanizmy bezpieczeństwa jak: Sandboxing, SELinux, ASLR, Fortify Source, szyfrowanie danych urządzenia, ostrzeżenia przed wysyłką SMS-ów premium, itd. Mająca już parę miesięcy, piąta…
Czytaj dalej »
Czy interesowaliście się kiedyś jak wygląda bezpieczeństwo satelit? Miejmy nadzieję, że niekoniecznie tak jak innego popularnego sprzętu sieciowego (tj. dziurawy Linux na pokładzie). W każdym razie, być może niedługo tego typu problemy będą codziennością – a to za sprawą Elona Musk-a, który wykłada 10 miliardów dolarów na projekt: powszechny Internet…
Czytaj dalej »
Badacze z Dell SecureWorks Counter Threat Unit (CTU) odkryli malware, który atakuje kontrolery domeny Active Diretory i umożliwia logowanie się jako dowolny użytkownik do pozostałych usług (np. poczta, VPN) w sieciach, które wykorzystują tylko jedno-składnikowe uwierzytelnianie. Analizę zachowania tego złośliwego oprogramowania, które nazwali 'Skeleton-Key’, można przeczytać na stronie Dell SecurWorks….
Czytaj dalej »
W 2015 zbliżają się dwie premiery opowieści filmowych o walce w cyberprzestrzeni. W piątek do polskich kin wchodzi film Michaela Manna („Gorączka”, „Informator”, „Ostatni Mohikanin”) pod tytułem „Haker” (oryginał: „Blackhat”). Reżyser znany głównie z filmów poświęconych przestępcom, zainspirowany informacjami o robaku Stuxnet, postanowił podjąć temat przestępstw informatycznych. Oprócz przychylnych zapowiedzi…
Czytaj dalej »
Potrzebujecie ciekawego, niebanalnego tła na konferencję czy inną geek-imprezę? Polecam w takim razie przyjrzeć się aktualizowanym na żywo mapom ataków, których zestawienie przygotował Brian Krebs. Na początek polecam Cyber Threat Map autorstwa FireEye: oraz IPviking: Więcej tego typu serwisów – w oryginalnym poście oraz komentarzach do niego. –ms
Czytaj dalej »
Ciekawa prezentacja z końca 2014 roku o hackowaniu urządzenia Cisco ASA. Pewnie część z Was myśli, że software w tym urządzeniu to jakieś tajne i skomplikowane oprogramowanie Cisco, a tak naprawdę to… scustomizowany Linux :) a metody jego rootowania są dość proste: W każdym razie, zainteresowanych tematyką bezpieczeństwa ASY, odsyłam…
Czytaj dalej »
Jak prawie wszystkie początki Internetu, również narzędzie ping wywodzi się z kręgów wojskowych, co opisuje krótka historia tego narzędzia (autorstwa autora pinga ;-). Mike Muuss opisuje zarówno historię nazwy 'PING’, ale również kilka ciekawostek, typu przekierowanie pinga przez pewnego administratora do zestawu stereo: ping goodhost | sed -e 's/.*/ping/’ |…
Czytaj dalej »
Pewnie każdy z nas oglądał „Hobbita”, a przynajmniej „Władcę Pierścieni”. Jeśli tak – znacie na pewno „Żądło” – miecz świecący niebieską poświatą, w momencie gdy w okolicach znajdują się orkowie czy inne gobliny. Jeśli chcecie sprawić dziecku (lub sobie ;) prezent inspirowany „Żądłem” – autor tego bloga pokazuje jak we…
Czytaj dalej »
