Čo nás čaká a neminie v IT bezpečnosti
Pôvodne som chcel napísať len krátky a stručný promo článok na prvú veľkú pripravovanú akciu Bratislavského hackerspaceu Progressbar (workshop a prednáška Mitcha Altmana) – v zápätí som si ale uvedomil, že zaujimavých akcií nielen v oblasti IT bezpečnosti nás do konca roku čaká podstatne viac, pár z nich dokonca v Bratislave, či Budapešti. Rád by […]
Korporátne novinky
3 zaujimavé novinky z našej spoločnosti: 1. Nové CMS, nový redizajn nášho webu Pri detailnom bezpečnostnom audite nášho webu pred vyše pol rokom som nahlásil množstvo funkčných a bezpečnostných chýb v našom CMS Liferay 5.2.3 LPS-7326, LPS-6412, LPS-5626, LPS-5625, LPS-5624, LPS-5112,LPS-5062. Väčšina z nich bola úspešne opravená v Liferay 6.0, ktorý bol pred pár dňami […]
WPA2 Hole 196 alebo o čo presne ide
Bezpečnostní výskumníci z AirTight Security objavili zaujímavú bezpečnostnú zraniteľnosť týkajúcu sa WPA/WPA2 šifrovania bezdrôtových wifi sietí. Predtým ako sa pustím do trochu technickejších detailov, rád by som na začiatku zdôraznil: nejde o prelomenie WPA2 v zmysle odhalenia privátneho kľúča, teda prienik zvonku do vnútra šifrovanej WPA2 siete útok sa týka len WPA/WPA2 Enterprise (korporátne wifi prostredie), musí […]
Nové trendy zraniteľností vo verejne nasadzovaných technológiách
Necenzurovaná verzia prezentácie z OSSConf 2010 zo Žiliny:
Facebook deanonymizačný útok
Po prečítaní článku Feasibility and Real-World Implications of Web Browser History Detection a A Practical Attack to De-Anonymize Social Network Users som sa rozhodol technicky navrhnúť a popísať, ako by vyzeral efektívny a rýchly deanonymizačný útok na Facebook. V prípade akýchkoľvek pripomienok, či vylepšení ma samozrejme neváhajte kontaktovať. Príprava na útok V prvom rade […]
HoneyBot
Predstavme si bežnú situáciu, pri ktorej chceme demonštrovať útok pre konkrétnu sociálnu sieť. Našim cieľom bude napadnút čo najväčší počet používateľov, najčastejší príklad je rozposielanie spamu alebo využitie nejakej XSS zraniteľnosti na kontrolu účtov obetí. Môžeme si k tomu pripraviť URL so škodlivým kódom. Jednou z nepochybne zaujímavých možností je použiť bota a automatizovať samotné […]
Aktuálne postrehy z bezpečnostnej komunity
1. S niekoľkomesačným meškaním konečne vyšiel nový prielom číslo 25, odporúčam ho prečítať od začiatku do konca. 2. Kamarát Vid (Martin Mocko) zverejnil zaujímavú prezentáciu o copy protection, odporúčam prečítať alebo vidieť naživo 3. Zverejnený proof-of-concept krádeže identity v mestskej knižnici cez OpenCard. Hneď po zhliadnutí videa mi napadlo, že buď dotyční determinovali príslušné kľúče pre […]
PH-Neutral 0x7da
Tento rok sme s kolegami a pár ďalšími kamarátmi z Poľska získali pozvánku zrejme na najprestížnejšiu svetovú hackerskú konferenciu Ph Neutral ročník 0x7da (2010) organizovanú svetoznámym hackerom Felixom Lindnerom (FX). Konferencia je už pár rokov uzavretá iba na pozvánky a bez osobných kontaktov a dlhodobého pôsobenia v oblasti bezpečnosti je veľmi ťažké sa na nu dostať. […]
eFOCUS bezpečnostné videá pre laickú verejnosť
Ohrozenia v sociálnych sieťach Bezpečnosť čipových kariet prelomená
Nové trendy zraniteľností vo verejne nasadzovaných technológiách
Na konferencii IBM Technology Week v Bratislave a v Košiciach sme mali možnosť prezentovať populárnu tému týkajúcu sa nových trendov zraniteľností vo verejne nasadzovaných technológiách. Prikladám abstrakt: „S rastúcou komplexnosťou informačných technológií, ich rozšírením, ako aj neustále rastúcim výpočtovým výkonom sa na relatívne bezpečné technológie objavujú teoretické útoky a zo známych teoretických útokov sa stávajú prakticky […]