Około roku temu ukazała się wersja trzecia standardu PCI-DSS (w skrócie: standard bezpieczeństwa narzucany firmom obsługującym karty płatnicze). Teraz został opublikowany dość szczegółowy dokument opisujący jak powinny wyglądać testy penetracyjne, które opisane są w samym standardzie. Dokładnie chodzi tutaj o wymaganie 11.3: Na czerwono zaznaczyłem przy okazji informację, która mówi…
Czytaj dalej »
Nasza platforma CTF/hackme jest już rozwijana w trybie beta od dłuższego czasu (można poprosić jeszcze o dostęp). Dzisiaj mamy już wersję beta grafiki. Niedługo całość dostępna będzie dla wszystkich :-) –ms
Czytaj dalej »
Zapraszamy na dwa mocno techniczne szkolenia organizowane przez Securitum: Warsztatowy kurs przygotowujący do CEHv8 (Certified Ethical Hacker) – (Warszawa, 13-17 kwietnia 2015). Mamy tutaj 5 dni dosłownie po brzegi wypełnione ćwiczeniami, a opinie odnośnie kursu też są całkiem dobre (reszta na stronie szkolenia): Szkolenie przygotowujące do egzaminu CEH prowadzone przez…
Czytaj dalej »
Google security blog informuje o wykryciu podrobionych (ale akceptowanych przez przeglądarki jako zaufane) certyfikatów dla kilku domen będących w posiadaniu Google. Certyfikaty zostały wystawione przez pośrednie CA (intermediate CA) – firmy MCS Holding, która otrzymała swój certyfikat od root CA chińskiej organizacji CNNIC. Root CA CNNIC jest w domyślnym cert…
Czytaj dalej »
Jak się zapewne domyślamy, wywiady różnych krajów realizują ataki cybernetyczne na wroga. Czy robią to legalnie / etycznie – to już inna kwestia. Oczywiście patrząc od strony służb – warto sprawę zalegalizować – patrz FBI, ale w tyle nie jest również wywiad brytyjski – aby sprawę nieco „uporządkować” przedstawiciele brytyjskiego…
Czytaj dalej »
Niedawno załoga z3s pisała o sukcesach naszego rodaka Mateusza Młyńskiego – w hackowaniu Firefoksa. Jednocześnie uczestnik konkursu Pwn2Own, o tym razem niepolsko brzmiącym nazwisku: Jung Hoon Lee, rozbił bank zgarniając $225 000. Zaczął od ataku na najnowszą wersję Chrome – uzyskując wykonanie kodu w OS z wyskoczeniem z sanbox-a (samo…
Czytaj dalej »
Już w 2014 roku wyszła na jaw operacja NSA polegająca na przechwytywaniu urządzeń Cisco w trakcie transportu i… montaż w nich backdoora (a następnie ponowne pakowanie i wysyłanie pod wskazany oryginalnie adres). Swoją drogą, czyż nie jest to idealny przykład, na którym można zilustrować atak sieciowy atak Man-in-The-Middle? Obecnie Cisco…
Czytaj dalej »
Na początku marca pojawiła się nowa wersja tcpdump-a łatająca błędy: CVE-2015-2153, 2154, 2155 oraz CVE-2015-0261. Na stronie tcpdumpa, informacja jest dośc lakoniczna, ale już w opisie łaty np. w Debianie, mowa jest o potencjalnym Remote Code Execution. Czyli w przypadku wysłania nam przez atakującego odpowiednio spreparowanego pakietu (lub spreparowania pliku…
Czytaj dalej »
12 błędów bezpieczeństwa w OpenSSL
Czytaj dalej »
Sam bruteforce PIN-ów na telefonach komórkowych, jest relatywnie prosty do realizacji ale poprzeczkę podnosi choćby mechanizm dostępny od dawna w iPhone-ach – czyli wymazujący zawartość komórki po 10 nieudanych próbach wpisania PIN-u. Od dłuższego czasu można było to ominąć, ale sporym kosztem, plus na dodatek narzędzie z Elcomsoft nie było…
Czytaj dalej »
Kilka tygodni temu z ekipą Securitum zgłosiliśmy błędy bezpieczeństwa, które znaleźliśmy w opensource’owym frameworku Nuxeo. Chodziło konkretniej o trzy problemy: Path traversal w części dla niezalogowanych użytkowników, Błąd pozwalający w pewnych warunkach na wykonywanie dowolnego kodu, XXE w miejscach, gdzie parsowano XML-e. Trochę więcej informacji o błędach w oficjalnym advisory….
Czytaj dalej »
rozwal.to jest dostępny na razie dla chętnych (beta) i od pierwszego ogłoszenia zrobiliśmy sporo usprawnień czy nowych funkcjonalności. Ostatnie dni między innymi przyniosły 15 nowych (tym razem prostych) zadań. Jeśli ktoś się chce zmierzyć z platformą – prośba o maila na sekurak@sekurak.pl – podeślemy dostęp tutaj. PS Top 5 rozwalaczy…
Czytaj dalej »
Snowden Archive umożliwia przeszukiwanie dokumentów wyniesionych przez Snowdena. Jak widać poniżej, przodują tutaj dokumenty o klasyfikacji Top Secret, a co ciekawe można je pobrać (choć pewne części są ocenzurowane): –ms
Czytaj dalej »
Zwięzły poradnik jak chronić swoje dane. Tematyka: od hardware, przez szyfrowanie hdd, bezpieczną komunikację mail; aż po: anonimowe / bezpieczne przeglądanie Internetu czy zarządzanie hasłami. Przydatne nie tylko dla dziennikarzy. Bezpośredni link do wersji PDF. –ms
Czytaj dalej »
Takie rzeczy tylko w Ameryce. 10-tego marca fundacja Wikimedia (to załoga od m.in. Wikipedii) wytoczyła proces sądowy zarówno NSA jak i Departamentowi Sprawiedliwości USA. Zaskarżona została akcja masowego przechwytywania / sniffowania ruchu w Internecie, co ładnie zostało nazwane „upstream surveillance”. Cała akcja przybiera naprawdę sporą skalę, szczególnie że do projektu…
Czytaj dalej »
