ASP.NET a “oracle padding” útok
Za posledných niekoľko dní sa čoraz častejšie objavujú správy o zraniteľnosti technológie ASP.NET, ktorú odprezentoval Juliano Rizzo na bezpečnostnej konferencii ekoparty 2010. Ako však táto chyba funguje a aké sú jej potenciálne hrozby? ASP.NET používa blokovú šifru AES v CBC móde na výmenu citlivých údajov v komunikácii klienta so serverom, čím zabraňuje ich podvrhnutiu a […]
Nový MFOC už súčasťou nfc-tools
Romuald Conty z projektu libnfc preportoval náš MFOC (Mifare Classic Offline Cracker) na posledný libnfc-1.3.9. Súčasne sa MFOC stáva udržovanou súčasťou projektu libnfc/nfc-tools, čo je platformovo nezávislá RFID knižnica pre veľké množstvo NFC-based zariadení. O osud tohto projektu sa teda bude ďalej starať veľká libnfc komunita, čo nás nadmieru teší. Poslednú verziu MFOC je možné […]
Korporátne novinky
3 zaujimavé novinky z našej spoločnosti: 1. Nové CMS, nový redizajn nášho webu Pri detailnom bezpečnostnom audite nášho webu pred vyše pol rokom som nahlásil množstvo funkčných a bezpečnostných chýb v našom CMS Liferay 5.2.3 LPS-7326, LPS-6412, LPS-5626, LPS-5625, LPS-5624, LPS-5112,LPS-5062. Väčšina z nich bola úspešne opravená v Liferay 6.0, ktorý bol pred pár dňami […]
WPA2 Hole 196 alebo o čo presne ide
Bezpečnostní výskumníci z AirTight Security objavili zaujímavú bezpečnostnú zraniteľnosť týkajúcu sa WPA/WPA2 šifrovania bezdrôtových wifi sietí. Predtým ako sa pustím do trochu technickejších detailov, rád by som na začiatku zdôraznil: nejde o prelomenie WPA2 v zmysle odhalenia privátneho kľúča, teda prienik zvonku do vnútra šifrovanej WPA2 siete útok sa týka len WPA/WPA2 Enterprise (korporátne wifi prostredie), musí […]
HoneyBot
Predstavme si bežnú situáciu, pri ktorej chceme demonštrovať útok pre konkrétnu sociálnu sieť. Našim cieľom bude napadnút čo najväčší počet používateľov, najčastejší príklad je rozposielanie spamu alebo využitie nejakej XSS zraniteľnosti na kontrolu účtov obetí. Môžeme si k tomu pripraviť URL so škodlivým kódom. Jednou z nepochybne zaujímavých možností je použiť bota a automatizovať samotné […]
Nové trendy zraniteľností vo verejne nasadzovaných technológiách
Na konferencii IBM Technology Week v Bratislave a v Košiciach sme mali možnosť prezentovať populárnu tému týkajúcu sa nových trendov zraniteľností vo verejne nasadzovaných technológiách. Prikladám abstrakt: “S rastúcou komplexnosťou informačných technológií, ich rozšírením, ako aj neustále rastúcim výpočtovým výkonom sa na relatívne bezpečné technológie objavujú teoretické útoky a zo známych teoretických útokov sa stávajú prakticky […]
Confidence 2.0
Confidence radím osobne medzi najlepšie technologické bezpečnostné konferencie v strednej Európe – slušnú kvalitu si udržuje aj Viedeňský Deepsec, či komerčné celkom propagovaný IT Underground. Andrzej Targosz ako dlhoročný hlavný organizátor tejto konferencie sa pre veľký záujem rozhodol zorganizovať tohtoročné úspešne pokračovanie konferencie – tentokrát namiesto Krakova vo Varšave s excelentným obsadením: – Dragorn a Renderman […]