W biegu

Pewien pentester z Australii postanowił ostatnio poświęcić dwie chwile na przetestowanie bezpieczeństwa systemów Prezi (dość popularne narzędzie do służące do tworzenia dynamicznych prezentacji).

W październiku crackerzy udostępnili bazę danych klientów Adobe. Pół roku wcześniej, podobną wpadkę zaliczyli twórcy programu Evernote, chociaż w tym przypadku przynajmniej nie doszło do publikacji danych. Obie te sytuacje są również wzorcowym przykładem, jak nie informować klientów o incydentach bezpieczeństwa. Okazuje się jednak, że jedna z firm zaczyna powoli uczyć się na błędach.

Ciekawy i zwięzły przewodnik – jak w kilka(naście) minut skonfigurować na web serwerze uwierzytelnianie certyfikatem klienckim SSL. –ms

Niedawno bez większych fanfarów ogłoszono End-of-Life popularnej biblioteki Apache Struts 1. Co to oznacza? Na przykład brak aktualizacji bezpieczeństwa w Struts1: Given a major security problem or a serious bug is reported for Struts 1 in near future, can we expect a new release with fixes? As of now, actually…

Oren Hafif odnalazł i zaraportował firmie Google ciekawe podatności obecne m.in. w mechanizmie odzyskiwania konta Google. Przy ich zręcznym wykorzystaniu oraz dodaniu szczypty skutecznej socjotechniki, możliwe było przejęcie dowolnego konta Google…

Jak poinformował dziś serwis KrebsOnSecurity, z serwisów randkowych grupy Cupid Media wykradziono dane 42 milionów użytkowników, w tym hasła zapisane jawnym tekstem…

Symantec opublikował analizę interesującego linuksowego backdoora, który był w stanie skutecznie kamuflować swą obecność oraz komunikację nawet w systemach o restrykcyjnej kontroli bezpieczeństwa.

Pod tym adresem można odnaleźć całkiem sporą kolekcję rozmaitych słowników przydatnych w trakcie testowania lub odzyskiwania najróżniejszych haseł. Przy okazji warto przypomnieć również projekt CrackStation, o którym już wspominaliśmy.

W ramach konkursu mobile Pwn2Own pokazano właśnie 0-day na najnowszą przeglądarkę chrome (wersja na Androidzie). Proof of Concept (czyli właśnie wykonanie kodu) pokazano na urządzeniach: Nexus 4 oraz Samsung Galaxy S4 (ofiara wystarczy, że wejdzie na odpowiednio przygotowaną stronę). Autor znaleziska w ramach nagrody zainkasował $50.000, a jak też czytamy…

W microsoftowych archiwach można natrafić na ciekawy artykuł pomocy technicznej dotyczący nietypowego komunikatu o wymaganej minimalnej długości hasła…

Organizatorzy konferencji Secure (NASK+CERT Polska) poinformowali na swoim facebookowym profilu o najlepszej wg uczestników prezentacji. Ku naszemu pewnemu zaskoczeniu, najlepszą prezentacją okazała się prelekcja sekurakowa :] Sami organizatorzy piszą tak: Najlepiej ocenioną przez uczestników prezentacją okazały się „Wybrane ataki na urządzenia sieciowe” Michała Sajdaka z sekurak.pl. Michał bezapelacyjnie wygrał w…

Krótki, ale treściwy post o rozpakowywaniu oprogramowania firmware. Głównie z wykorzystaniem narzędzia binwalk, ale nie tylko.

Zobaczcie na opis dość nowatorskiej metody odzyskiwania oryginalnego adresu MAC w kartach z chipsetem Atheros (problem dotyczy systemów Linux, ale kto wie czy podobnego procesu nie można przeprowadzić w systemach Windows). W skrócie – okazuje się że tego typu karty reagują nie tylko na komunikację przesyłaną jej 'aktywny’ adres MAC……

Twórcy złośliwego oprogramowania nieustannie poszukują nowych źródeł nielegalnego zarobku. Jak się okazuje, w Internecie można również zarobić na dystrybucji oprogramowania przeznaczonego do szpiegowania najbliższych…

Zerknijcie na ciekawy projekt dezasemblera pracującego on-line. Całość dostępna jest z przeglądarki internetowej i zapewnia obsługę znacznej liczby platform (i386, arm czy mips to bardzo niewielka próbka), oczywiście możliwość uploadu własnych plików wykonywalnych, czy udostępniania swoich analiz innym osobom. Projekt jest jeszcze w fazie beta, a autorzy powinni popracować m.in. nad…