Archive for the ‘security’ Category

h1

A gdyby tak?

Wrzesień 21, 2007

ujawnić informacje dostępowe do skrzynek pocztowych rządowych organizacji takich jak ambasady, konsulaty itp z powiedzmy kilku nastu krajów..

Tak powiedzmy ze 100 skrzynek z hasłami z całego świata do wglądu dla publiki… co by się stało?
Przeczytajcie : http://derangedsecurity.com/ .

dla mnie masakra, tylko Indie, Iran i Uzbekistan zareagowały…

h1

PHPIDS, nowa era w websecurity?

Czerwiec 12, 2007

nie filtruje, nie mieli, nie ingeruje w to co ktoś próbuje przesłać przez stronę… po prostu wykrywa że chcesz się włamać i reaguje w sposób jaki został mu narzucony przez właściciela :)

szkoda tylko że jak dobre by to rozwiązanie nie było i tak rządowe, urzędowe i inne oficjalne witryny będą pisane przez brata chłopaka córki szefa i dupa z tego będzie..

jak ktoś chce potestować to zapraszam na http://demo.php-ids.org/

h1

Szkoła Lamerów. Sekrety lamerów… ech..

Maj 26, 2007

Panowie szanowni ja rozumiem że chcieliście zarobić i wogóle. Ba, nawet pisali dla Was naprawde fajni i konkretni ludzie a Wy, drodzy specjalisci od pr, marketingu, soszial enżineringu i programisci od super secure websiteów, wszystko spusciliscie do /dev/null ….

ogarnijcie się…

XSS – http://sekretyhakerow.pl
XSS – http://szkolahackerow.pl

ps. przy okazji, sprawdziłem i się okazje że najprostszy analizer do websecurity wykrywa ten błąd… ale to za duży wysiłek coś sprawdzić prawda? :/

h1

trochę .sEX u dla każdego :) czyli hackme, crackme i inne *me :)

Kwiecień 27, 2007

Czyli o rozwoju swoich umiejętności praktycznych w audycie bezpieczeństwa. Jak wiemy gier tego rodzaju jest wiele, jedne lepsze drugie gorsze. Zadania często się powtarzają, często są na poziomie którego sobie nie możemy nawet wyobrazić (no bo przecież to nie możliwe żeby ktoś „popełnił” takie „zabezpieczenia”) a jednak często na niektórych zdarzają się takie zdania w których przełamuje się lepsze zabezpieczenia niż ma wiele funkcjonalnych i działających portalów. Systematycznie przypomina nam o tym grupa .sEX umieszczając na swojej stronie cyberpunks.eu informacje o lukach w największych polskich serwisach (uprzednio oczywiście informując ich adminów). Inicjatywa CP wyszła z portalu revival.pl który to skupia się na zagadnieniach głównie związanych z ruchem Open Source i „prawidłowym” rozwojem Internetu.

Osobiście bardzo lubię spędzać czas łamiąc sobie głowę przy grach typu:
http://hackthissite.org
czy imprezach typu:
Wargame ( Peanix.ath.cx )

a Wy? jak sprawdzacie swoją praktyczną wiedzę?

h1

Raport na uczelni, przewidywanie zbrodni, WTC i Carnivore… czyli studenckie przemyślenia…

Kwiecień 17, 2007

Jak zapewne wiecie jestem na specjalizacji która dotyczy zagadnień systemowo-sieciowych. Jak również wiecie idę w kierunku security (no ok, arvind chodzić nie potrafi…), jak już mówiłem skaczę (^_-) w kierunku securit.. Gdy na jednym z przedmiotów projektowych ( PRO ) który ma nas przygotować do naszej pracy inżynierskiej usłyszałem że mam napisać raport oczywistym było że raport ten będzie dotyczył bezpieczeństwa (wśród zaproponowanych było hasło „Computer Forensics” więc wziąłem, a co mam nie brać).

Zacząłem więc pisać.. Moja Biblografia składała się w sumie z 5 pozycji:

  1. Incident Response and Computer Forensics, Second Edition
  2. Privacy Protection and Computer Forensics, Second Edition
  3. Investigative Data Mining for Security and Criminal Detection,
  4. Windows Forensics and Incident Recovery
  5. Cyber Forensics – A field Manual for Collecting, Examining and Preserving Evidence of Computer Crimes

Najwięcej do myślenia dała mi książka nr 3. Opisywała ona arcyciekawe zagadnienie jakim jest precrime (od razu uprzedzam, nie oczekujcie że będę Wam przetłumaczał słowa które można wygooglować…). Precrime to jak opisałem w raporcie „interaktywne procesy umożliwiające przewidywać „groźne” zachowania”. Łopatologicznie najprostszy przykład to „widzę gościa który idzie z bronią w ręku w kierunku sklepu” – > ergo? „idzie obrabować sklep”.

No ale skoro to takie proste to niby czemu to takie interesujące? bo jak się okazuje ludzie nie doceniają możliwości przewidywania. Czemu? Bo nie doceniają wartości informacji które posiadają… Read the rest of this entry ?

h1

nmap.pl już jutro :)

Kwiecień 14, 2007

tak tak, już jutro „rusza” serwis nmap.pl który jak mam nadzieję będzie jedynym swego rodzaju polskim merytorium poświęconym szeroko pojętemu bezpieczeństwu w IT. Twórca serwisu Łukasz `__nvm` Raczyło  jak zwykle się postarał, wszystko stworzył od 0 i zebrał przy tym  niesamowitą ekipę ( „i” mnie:]) która już samą obecnością przynajmniej mnie podnosi na duchu i pozwala wierzyć że w końcu będzie konkretne źródło informacji poświęconym bezpieczeństwo i w naszej polskiej sieci. Narazie serwis ruszy pod względem „technicznym” tj, ruszy a z czasem będzie uzupełniany o content. Nie spodziewajcie się nagłego wylewu artów, poradników i innych. Wszystko co wyjdzie na światło dzienne będzie starannie przygotowywane i analizowane tak aby end-user – czyli prawdopodobnie właśnie Ty drogi czytelniku – otrzymał „produkt pierwszej klasy” :)

zainteresowanych zapraszam na kanał #nmap w sieci IRCnet.

h1

Bezpieczeństwo = Inwestycja w czas?

Kwiecień 14, 2007

Jakiś czas temu na goldenline.pl w grupie którą stworzyłem „Teoria Bezpieczeństwa” założyłem temat w którym chciałem podyskutować na temat tezy którą kiedyś postawiłem w artykule który pisałem… a szło to mniej więcej tak :

Zgodnie z piramidą potrzeb Maslowa bezpieczeństwo jest jedną z podstawowych potrzeb człowieka. Budujemy domy z grubymi ścianami, samochody będące wysoko w rankingach bezpieczeństwa, działki w tzw. bezpiecznych okolicach, wykupujemy polisy na życie. Wyciągamy z naszych kont ogromne pieniądze by móc powiedzieć sobie „jestem bezpieczny”. Czym jednak się przejawia to bezpieczeństwo ? Przecież nie dowiemy się jak skuteczne są zabezpieczenia póki… no właśnie. Póki ktoś ich nie złamie. Co więc kupujemy Inwestując nasze ciężko zarobione pieniądze w „bezpieczeństwo” ? Czas.

Czas. Czas to pieniądz. Ktoś wątpi ? Bill Gates zarabia 250$ USD na sekundę. Fakt który znają wszyscy. Czy jednak ktoś się zastanowił co to oznacza? Z pewnością ktoś się zastanowił jednak ja mam okazję o tym napisać.

Kupując nowy soft antywirusowy czy też nowy firewall nie opłacamy bezpieczniejszego Internetu. Pseudo crackerzy, script kiddies i inne psuje nadal będą tworzyć złośliwe oprogramowanie obojętnie od tego czy zainwestujemy czy też nie w nasze bezpieczeństwo. Różnica polega na tym że kupując nowy sprzęt kupujemy dodatkowy czas w jaki będziemy na nie odporni.

Czym jest więc bezpieczeństwo informacji? Mógłbym powiedzieć że jest to nic innego więc jak oddalenie się od momentu w którym informacja straci swoją wartość, przestanie mieć znaczenie lub.. zostanie skradziona.
(……………)

artykuł skończyłem ale po przeczytaniu go po jakiś czasie miałem wrażenie że napisałem jakiś manifest ( ^_^ ) więc teraz po prostu chciałem spytać Was, specjalistów, hobbystów i ogólnie rzecz ujmując ludzi związanych z bezpieczeństwem co o tym sądzicie?

zapraszam do dyskusji w temacie : Bezpieczeństwo = Inwestycja w czas