Marcové novinky v Nethembe
Po úspešne realizovaných referenčných projektoch spúštame (zrejme ako prví na Slovensku a Čechách) službu penetračných testov a bezpečnostných auditov SAP systémov a aplikácií. Našim cieľom je osloviť všetky stredné a veľké spoločnosti, ktoré SAP R/3 používajú. V stredu 23.3.2011 o 19:00 budem mať v Progressbare v Bratislave prezentáciu o Moderných spôsoboch anonymizácie. Hneď po […]
Séria prezentácií – Bypassing Web Application Firewalls (WAFs)
Prečítanie kníh XSS Attacks: Cross Site Scripting Exploits and Defense, Web Application Obfuscation a osobné konzultácie s autormi týchto kníh na OWASP Summite 2011 ma viedli k vytvoreniu zaujímavej technickej prezentácie ako je možné obchádzať súčasné webové aplikačné firewally (WAFs) a tvoriť „obfuskovaný“ kód. Uvedenú prednášku bude možné vidieť naživo: 17.2.2011 o 10:45 na konferencii Oracle Security Day […]
OWASP Summit 2011 alebo keď sa stretne svetová WebAppSec špička
V piatok 11.2.2011 skončil druhý svetový OWASP Summit 2011. Podobne ako prvý OWASP Summit 2008 aj tento sa konal v Portugalsku, nie však vo Fare ale asi 50 km od Lisabonu v príjemnom letovisku CampoReal. OWASP Summitu sa zúčastnilo množstvo WebAppSec špičiek z celého sveta, kompletný zoznam účastníkov k dispozícii tu. Účastníkov Summitu bolo možné rozdeliť do nasledujúcich […]
CSRF útok s využitím CSS history hacku na získanie CSRF tokenov
Úvod do CSRF Unikátny (náhodný) číselný alebo alfanumerický token predstavuje bežnú ochranu súčasných aplikácií voči CSRF útokom. Citlivé POST formuláre zvyknú byť chránené unikátnym tokenom, ktorý je obvykle posielaný aplikáciou v „hidden field“, teda skrytom poli formulára. Citlivé GET žiadosti zase používajú v URL ďalší parameter – napríklad „csrftoken“. V oboch prípadoch sa aplikácia chráni […]
Nové trendy v GSM odpočúvaní
Ešte minulý rok svetová GSM asociácia verejne prehlásila, že GSM odpočúvanie je stalé príliš drahé a komplexné, nakoľko útočník musí disponovať špeciálnym odpočúvacím zariadením (typu USRP2) a použivať komplexný „signal processing“ softvér na identifikáciu a zaznamenávanie odchytávaných hovorov. Na tohtoročnom 27c3 (Chaos Communication Congress) v Berlíne sme mali možnosť vidieť šokujúcu prezentáciu (výskumníkov Karstena Nohla […]
Miroslav Pikus v Nethembe
Od 1.1.2011 máme vo firme novú významnú posilu – Miroslava Pikusa (aka Pajkus) – dlhoročného špecialistu, ktorý sa v oblasti IT bezpečnosti pohybuje už viac ako 10 rokov. Miroslav bude mať na starosti obchod, marketing a project management. Miro Pikus študoval financie na Univerzite Texasu v Austine a manažment na City Univerzite v Bratislave. Pracoval […]
OWASP Summit 2011 – OWASP Testing Guide v4.0
Dnes ma milo prekvapila pozvánka OWASP organizácie na OWASP Summit 2011, ktorý sa bude konať 8-11.februára v Lisabone. OWASP summit je interná konferencia členov OWASP z celého sveta dotovaná OWASP sponzormi. Aj napriek uzavretosti tejto konferencie (pozvánky, letenky a hotel schvaľuje špeciálna komisia) samotné workshopy, prezentácie, či len čisto brainstormingové stretnutia sú veľmi produktívne a […]
Ako dopadol prvý Confidence v Prahe
Pred dvomi týždňami skončil ôsmy ročník medzinárodnej IT bezpečnostnej technologickej konferencie Confidence 2.0, ktorá sa ale v Prahe konala úplne prvýkrát. Konferencie sa zúčastnilo množstvo nadšencov z celého sveta, veľká účasť bola z Poľska (viac ako 70 ľudí), ako aj zo Slovenska, či Maďarska. Pozvaní prednášajúci pricestovali z 25 rôznych krajín z celého sveta. Aj […]
Novembrové novinky v Nethembe
Po úspešne realizovaných referenčných projektoch sme spustili novú službu Digitálnej forenznej analýzy, pre všetkých klientov, ktorí sa stali obeťou hackerských prienikov (ako anonymne Internetové útoky, tak intranetové útoky zo strany zamestnancov), vírov a červov, finančného podvodu alebo krádežou intelektuálneho majetku. Pripravili sme nové unikátne školenie Kurz penetračného testovania pomocou Metasploit frameworku vo forme jednodňového praktického […]
Advanced Exploitation with Metasploit
Minulý týždeň (12-14.11.2010) sme sa zúčastnili bezpečnostného semináru Bez(a)Dis v Košiciach. Osobne si myslim, že náš penetračný tester Norbert Szetei mal jednu z najzaujímavejších prezentácií v ktorej prakticky demonštroval novú funkcionalitu Metasploitu – použitie db_autopwn, vncinject, použitie meterpretera, passiveX ako aj generovanie vlastného trojana. Videozáznam tejto prednášky, ktorý odporúčam pozrieť je k dispozícií tu. Samotná […]