OSCE review
Niekoľko dní po skončení OSCP som sa zapísal na pokročilejší kurz Cracking the Perimeter (OSCE). Pred samotným zaplatením je potrebné splniť triviálnu úlohu na fc4.me, ktorá má slúžiť na overenie toho, či disponujete minimálnymi znalosťami potrebnými pre daný kurz. Pri voľbe dĺžky kurzu odporúčam zvoliť si 30 a nie 60 dní.
OSCP review
Medzinárodná bezpečnostná spoločnosť Offensive Security ponúka v súčasnosti niekoľko druhov školení a certifikátov. Ku kurzom, ktoré je možné realizovať na diaľku patria Penetration Testing with Kali (OSCP), Wireless Attacks (OSWP) a Cracking the Perimeter (OSCE). Ďalšie školenia Advanced Windows Exploitation (OSEE) a Advanced Web Attacks and Exploitation (AWAE), ktoré je nutné absolvovať na prestížnych konferenciách ako Black Hat USA, boli už začiatkom roka 2015 vypredané. Certifikát OSCP som si chcel spraviť už pred pár rokmi…
Nová nebezpečná „protiteroristická“ legislatíva
Ako zástupca IT bezpečnostnej komunity na Slovensku, rád by som sa vyjadril k neefektívnosti a neúčinnosti konkrétne k paragrafu 16a týkajúci sa exkluzívnej právomoci SIS na vypnutie akéhokoľvek webu, ktorý šíri „myšlienky podporujúce alebo propagujúce terorizmus, politický alebo náboženský extrémizmus, extrémizmus prejavujúci sa násilným spôsobom alebo škodlivé sektárske zoskupenia“, ktorá môže nebezpečne viesť k samocenzúre (podobne ako je to v Rusku, Turecku, Iráne či iných krajinách, kde je obmedzovaná sloboda vyjadrovania).
Ako zákon o ochrane pred odpočúvaním ohrozuje súkromie všetkých občanov
Koncom augusta 2015 slovenská vláda schválila novelizáciu zákona o ochrane pred odpočúvaním (166/2003). Hneď na začiatku by som rád vysvetlil, čo je ITP (informačný technický prostriedok). V princípe ide o akýkoľvek nástroj alebo odpočúvací prostriedok, ktorý môže používať úzka skupina ľudí (konkrétne Slovenská informačná služba, Vojenské spravodajstvo, Policajný zbor, Železničná polícia, Zbor väzenskej a justičnej stráže, Colná správa – odstavec 2, paragrafu 2) na „legálne odpočúvanie“. Použitie alebo vlastnenie ITP všetkými ostatnými – fyzickými alebo právnickymi osobami je kriminalizované.
HĽADÁME APLIKAČNÉHO BEZPEČNOSTNÉHO EXPERTA
Hľadáme aplikačného bezpečnostného experta, ktorého náplňou práce bude vyhľadávanie bezpečnostných zraniteľností v Android / iOS aplikáciach (výnimočne BlackBerry, či Windows Phone) a v najpestrejších webových aplikáciach a webových službách. Testovanie mobilných aplikácií zahrňuje detailné otestovanie mobilných aplikácií a príslušných webových služieb v súlade s OWASP Mobile Security Project, testovanie webových aplikácii je obvykle realizované podľa OWASP Testing Guide. Výsledok testovania je zdokumentovaný tvorbou výslednej správy v slovenčine alebo v angličtine.
5 dôvodov, prečo sa tento rok zúčastniť CypherConf
Vo štvrtok 1.10.2015 sa v Bratislave v priestoroch hotela Lindner na Metodovej ulici uskutoční druhý ročník praktickej IT bezpečnostnej konferencie CypherConf 2015. Rád by som uviedol 5 dôvodov, prečo tento rok nevynechať túto konferenciu.
Nová služba – TETRA analýza
TETRA (Terrestrial Trunked Radio) predstavuje mobilný rádiový obojstranný komunikačný protokol pre vysoko-kritické aplikácie s využitím v doprave, zdravotníctve atď. Vzhľadom na proprietárnosť a relatívne obmedzené znalosti TETRA v bezpečnostnej komunite, sme svedkami toho, že aj inštitúcie, kde hrozí vážne ohrozenie života v prípade zlyhania bezpečnosti v TETRA systémoch, bohužiaľ ignorujú bezpečnostné zásady a vystavujú svoju komunikáciu riziku odpočúvania, neprivilegovaných zásahov či možnosti úplného zablokovania.
Nové služby proti (nielen štátnej) asymetrii
Napriek tomu, že svojim klientom už viac ako rok ponúkame komplexné služby ochrany digitálneho súkromia a umožňujeme im kompletne zašifrovať ich hlasovú, či instantnú komunikáciu voči odpočúvaniu ako aj plne zašifrovať nimi používané úložiská, v situácii, kedy štátne agentúry investujú nemalé peniaze do nákupu a používania 0-day špehovacieho malvéru (voči ktorému je prakticky nemožné sa […]
Máte strach o Vaše súkromie? Bojte sa SIS.
Nedávna kauza kompletného kompromitovania talianskej hackerskej spoločnosti Hacking Team, ktorá dlhodobo pracovala pre diktátorské krajiny a svojimi nástrojmi a službami podporovala v nich totalitný režim (Citizenlab o ichnemorálnych aktivitách dlhodobo informuje) a nedávno zverejnená leaknutá emailová komunikácia slovenskej SIS a spoločnosti Hacking Team, v ktorej bol dohadovaný nákup ich špehovacieho softvéru, ma dotlačila ako zástupcu […]
Čo nás čaká v IT bezpečnosti v roku 2015
Na začiatku by som rád podotkol, že k akýmkoľvek predpovediam som osobne dosť skeptický a nedôverčivý, takže budem rád, keď rovnako prezieravý postoj zaujmete aj k nasledujúcemu článku. 1. „Divadlo“ kyber vojny, ktorá ohrozuje štáty, bude pokračovať. Hrozba „nebezpečných kybernetických“ útokov bude v roku 2015 výrazne medializovaná a adekvátne k tomu budú zvyšované rozpočty vlád […]