Etika penetračného testovania
Tento článok som mal v pláne napísať už dlhšiu dobu, konečne sa mi to podarilo – bude o etike pri hľadaní bezpečnostných zraniteľností ako aj o etike jeho komerčnej formy – penetračného testovania. Etické kritériá na dodávateľa penetračných testov Bohužiaľ už pár rokov sa stretávam na Slovensku s tým, že: tí, ktorí vedia odhalovať bezpečnostné […]
Prednáška Samyho Kamkara v Bratislave
Predvčerom sa v Bratislave v A4 uskutočnila skutočne zaujímavá prezentácia svetového bezpečnostného experta organizovaná našim hackerspaceom Progressbar. Vzhľadom k tomu, že išlo o skutočne unikátnu prezentáciu na slovenské pomery (kde sa aj tí najväčši znalci bezpečnosti dozvedeli nové a zaujímavé veci), rád by som tejto prezentácii venoval pár slov. Samy sa preslávil dosť netradične – […]
Hack Day a Hack The World
Rád by som informoval o dvoch zaujímavých projektoch, ktoré dávajú priestor prejaviť sa šikovným ľudom a čo je dôležité, oba tieto projekty pokladám za prospešné pre našu spoločnosť. Prvým projektom je akcia Fair-play Hack Day. Aliancia Fair-play disponuje úžasným otvoreným portálom Datanest, ktorý predstavuje najkompletnejší archív dát získaný od štátnych úradov, samospráv a ministerstiev. Obsahuje […]
ASP.NET a „oracle padding“ útok
Za posledných niekoľko dní sa čoraz častejšie objavujú správy o zraniteľnosti technológie ASP.NET, ktorú odprezentoval Juliano Rizzo na bezpečnostnej konferencii ekoparty 2010. Ako však táto chyba funguje a aké sú jej potenciálne hrozby? ASP.NET používa blokovú šifru AES v CBC móde na výmenu citlivých údajov v komunikácii klienta so serverom, čím zabraňuje ich podvrhnutiu a […]
Nový MFOC už súčasťou nfc-tools
Romuald Conty z projektu libnfc preportoval náš MFOC (Mifare Classic Offline Cracker) na posledný libnfc-1.3.9. Súčasne sa MFOC stáva udržovanou súčasťou projektu libnfc/nfc-tools, čo je platformovo nezávislá RFID knižnica pre veľké množstvo NFC-based zariadení. O osud tohto projektu sa teda bude ďalej starať veľká libnfc komunita, čo nás nadmieru teší. Poslednú verziu MFOC je možné […]
Čo nás čaká a neminie v IT bezpečnosti
Pôvodne som chcel napísať len krátky a stručný promo článok na prvú veľkú pripravovanú akciu Bratislavského hackerspaceu Progressbar (workshop a prednáška Mitcha Altmana) – v zápätí som si ale uvedomil, že zaujimavých akcií nielen v oblasti IT bezpečnosti nás do konca roku čaká podstatne viac, pár z nich dokonca v Bratislave, či Budapešti. Rád by […]
Korporátne novinky
3 zaujimavé novinky z našej spoločnosti: 1. Nové CMS, nový redizajn nášho webu Pri detailnom bezpečnostnom audite nášho webu pred vyše pol rokom som nahlásil množstvo funkčných a bezpečnostných chýb v našom CMS Liferay 5.2.3 LPS-7326, LPS-6412, LPS-5626, LPS-5625, LPS-5624, LPS-5112,LPS-5062. Väčšina z nich bola úspešne opravená v Liferay 6.0, ktorý bol pred pár dňami […]
WPA2 Hole 196 alebo o čo presne ide
Bezpečnostní výskumníci z AirTight Security objavili zaujímavú bezpečnostnú zraniteľnosť týkajúcu sa WPA/WPA2 šifrovania bezdrôtových wifi sietí. Predtým ako sa pustím do trochu technickejších detailov, rád by som na začiatku zdôraznil: nejde o prelomenie WPA2 v zmysle odhalenia privátneho kľúča, teda prienik zvonku do vnútra šifrovanej WPA2 siete útok sa týka len WPA/WPA2 Enterprise (korporátne wifi prostredie), musí […]
Nové trendy zraniteľností vo verejne nasadzovaných technológiách
Necenzurovaná verzia prezentácie z OSSConf 2010 zo Žiliny:
Facebook deanonymizačný útok
Po prečítaní článku Feasibility and Real-World Implications of Web Browser History Detection a A Practical Attack to De-Anonymize Social Network Users som sa rozhodol technicky navrhnúť a popísať, ako by vyzeral efektívny a rýchly deanonymizačný útok na Facebook. V prípade akýchkoľvek pripomienok, či vylepšení ma samozrejme neváhajte kontaktovať. Príprava na útok V prvom rade […]