W biegu

Rosyjski portal randkowy, Topface.com, padł ofiarą udanego ataku, w wyniku którego cyberprzestępcy weszli w posiadanie bazy około 20 milionów adresów mailowych. Nie byłoby w tym doniesieniu nic szczególnie istotnego (do takich ataków dochodzi coraz częściej), gdyby nie fakt, że Topface zaproponowało przestępcom „okup”, by nie dopuścić do sprzedaży danych na…

Trochę zeszło nam czasu z wyłonieniem zwycięzców w ostatnim konkursie na najlepszy tekst o bezpieczeństwie… W każdym razie wyniki wyglądają następująco: Pierwsze miejsce – Aleksander Janusz, za pracę: „Szybka Analiza Malware” Nagroda: dostęp do oficjalnych materiałów przygotowujących do CHFIv8  (Computer Hacking Forensic Investigator) + voucher Prime IBT na egzamin. Drugie…

Jeśli macie w głowie pomysł na ciekawy artykuł / news (najlepiej na bazie swoich doświadczeń) to zachęcam do podzielenia się tą wiedzą na sekuraku. Każdy z nas jest zapracowany, więc od razu proponujemy współpracę komercyjną (w formie konkretnego wynagrodzenia per strona tekstu). Jakie tematy nas interesują? Związane z bezpieczeństwem :-)…

Mieliśmy shellshocka, mieliśmy heartbleeda, czas na GHOSTA, który dzisiaj został ogłoszony przez team Qualysa. Błąd tym razem jest przepełnieniem bufora w jednej z funkcji standardowej linuksowej biblioteki glibc: __nss_hostname_digits_dots() – ale można się do niej „dobić” (exploitując podatność) korzystając niezmiernie popularnej rodziny funkcji:   gethostbyname*(). Jak to piszą odkrywcy buga: This…

Zobaczcie tylko na jeszcze świeży kawałek Javascriptu tutaj. Przykładowo – w Chrome wystarczy użyć F12 -> Console i wkleić kod do przeglądarki. Można też z niewielką modyfikacją (ostatnia linijka) uruchomić taki javascript ze swojego serwera. Co wykorzystuje ten mechanizm? Na razie jeszcze mało popularny mechanizm WebRTC (Web Real-Time Communication), wykorzystywany…

CNN opisuje ciekawy eksperyment – otóż załodze z projektu openworm, udało się skopiować sieć nerwową robaka „Caenorhabditis elegans” do firmware-u robota Lego Mindstorms. Następnie podłączyli „sonar sensor” z Lego w miejsce nosowych neuronów czuciowych robaka, a odpowiednie neurony motoryczne – w miejsce bocznych neuronów zwierzęcia. Bez dodatkowego programowania wpływającego bezpośrednio…

Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych? Samą teorię pentestów tego typu komponentów można znaleźć np. w siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części), prezentacjach (np.  Blackhat – o testowaniu SOAP, czy praca…

Ciekawy problem opisuje na blogu HD Moore. Otóż okazuje się, że tzw. Automated Tank Gauge – komponent monitorujący / zarządzający działaniem pewnych procesów na stacjach benzynowych (np. monitorowanie stanu paliwa czy uruchamianie alarmów np. w przypadku wycieków), jest niekiedy osiągalny z poziomu Internetu – na porcie 10001 TCP. Dokładniej, na porcie…

Mamy do rozdania 20 kalendarzy sekuraka (w każdej paczce gratis również naklejka + sekurakowa smycz). Jak można je zdobyć? Wystarczy napisać na: kasia@sekurak.pl i przesłać: Adres do wysyłki (nie wysyłamy do paczkomatów) Kilka zdań o sobie ;) Pierwsze 20 osób które wyślą maila, otrzyma 1 darmowy pakiet jak wyżej. Sam…

PFP, czyli 'Power Fingerprinting’ to metoda wykrywania malware’u za pomocą analizy poboru prądu przez procesory.     Pierwotnie projekt PFP miał na celu ochronę urządzeń przemysłowych, jednak znajduje on swoje rozwiązanie również na urządzeniach mobilnych m.in. sprawdził się na platformie Android. Technologia pozwala m.in. wykryć użycie w Linuksie polecenia systemowego chmod…

4 lutego zapraszam wszystkich (a szczególnie poznańskich ;) czytelników sekuraka na spotkanie grupy PTAQ (Poznań Testing And Quality group). W trakcie godzinnej prezentacji o różnych problemach w aplikacjach webowych pokażę: kilka wersji podatności OS command Exec (łącznie z ShellShock), mniej znany problem –  XXE, będą też dwie chwile o hackowaniu…

Nikt nie dziwi się tym, że w wielu książkach o bezpieczeństwie można znaleźć przykłady wykorzystania podatności XSS. Jednak ciekawe jest to, że czasem takiego „papierowego” XSS-a można aktywować on-line: zobaczcie na stronę www.safaribooksonline.com: PS Lepiej nie szukajcie książek o OS Command Exec ;-) –ms

O bezpieczeństwie Androida oraz iOS (zarówno od strony systemu operacyjnego, infrastruktury i rynku malware) pisaliśmy już jakiś czas temu. Od dłuższego czasu w systemie Google-a dostępne są takie mechanizmy bezpieczeństwa jak: Sandboxing, SELinux, ASLR, Fortify Source, szyfrowanie danych urządzenia, ostrzeżenia przed wysyłką SMS-ów premium, itd. Mająca już parę miesięcy, piąta…

Czy interesowaliście się kiedyś jak wygląda bezpieczeństwo satelit? Miejmy nadzieję, że niekoniecznie tak jak innego popularnego sprzętu sieciowego (tj. dziurawy Linux na pokładzie). W każdym razie, być może niedługo tego typu problemy będą codziennością – a to za sprawą Elona Musk-a, który wykłada 10 miliardów dolarów na projekt: powszechny Internet…

Badacze z Dell SecureWorks Counter Threat Unit (CTU) odkryli malware, który atakuje kontrolery domeny Active Diretory i umożliwia logowanie się jako dowolny użytkownik do pozostałych usług (np. poczta, VPN) w sieciach, które wykorzystują tylko jedno-składnikowe uwierzytelnianie. Analizę zachowania tego złośliwego oprogramowania, które nazwali 'Skeleton-Key’, można przeczytać na stronie Dell SecurWorks….