Security

APT, nebo-li Advanced Persistent Threat, je stále poměrně nový pojem. I přes vysokou frekvenci výskytu tohoto pojmu v IT médiích dokáže jen málo lidí skutečně vysvětlit, co se za tímto slovním spojením ukrývá.

ZRUŠENO kvůli uzavření budovy z důdovu povodní v Praze
Touto cestou bych chtěl upozornit na naše první větší setkání “OWASP meeting”, které se uskuteční již 4. června v Praze. Adresa, kde bude meeting probíhat je Sokolovská 83, 186 00 Prague, Czech Republic.
Budova MFF UK, posluchárna K1 (blízko zastávky metra Křižíkova).
http://owasp.security-portal.cz

DoS útoky jsou v době psaní tohoto článku znovu objeveným kolem pro mnoho zpravodajských serverů, na které byl veden útok typu SYN flood (Novinky.cz, Seznam.cz, iHned.cz, E15.cz, ...). Horším zjištěním je však to, že útoku podlehly i české banky (Česká spořitelna, ČSOB, Komerční banka, …), kde by člověk očekával velkou míru bezpečnosti. Zdání klame.
Ačkoliv je tento útok znám přes deset let, ukázal nám, jak nepřipravené jsou společnosti, jejichž business je na webu závislý, i když by měla být dostupnost a bezpečnost jednou z jejich priorit. Nebudu zde spekulovat o zdroji, nebo důvodu útoku, zaměříme se zde na podstatu těchto útoků.
V sérii článků popíšu většinu DoS a DDoS útoků, vysvětlím jejich princip fungování, metody a možnost ochrany před nimi (především pak před SYN flood).

Z konference 29C3 (Chaos Communication Congress)

Milking the Digital Cash Cow
Extracting Secret Keys of Contactless Smartcards
Speaker: Timo Kasper

https://events.ccc.de/congress/2012/Fahrplan/events/5393.en.html

Tento článek si klade za cíl popsat obecnou skupinu chyb umožňující v konečném důsledku vykonat PHP kód na náchylném serveru. Důležité je uvědomit si, že tato chyba se nevztahuje pouze na programovací jazyk PHP, ale postihuje prakticky každý jazyk použitý pro vytvoření webových stránek. Článek popisuje chyby typu Local File Inclusion (LFI), Remote File Inclusion (RFI), Local File Disclosure (LFD), Log Poisoning, Command Execution, Denial of Service (DoS), Session Poisoning, wrappery a další.

Matematik Zachary Harris objevil souhrou náhod, že Google používá slabý DKIM (512-bit) klíč, který jednoduše cracknul na Amazon Web Services během 72 hodin za $75 a mohl tak posílat důveryhodné emaily z adres @google.com
Poté se podíval na zoubek i dalším populárním službám a zjistil, že podobným problémem trpí i PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com, HSBC a další.

http://sectoolmarket.com/price-and-feature-comparison-of-web-application...

TOP 3 (all commercial):
Acunetix
IBM AppScan
HP WebInspect

Interesting apps from open source:

Bezpečnostní experti Karsten Nohl a Thomas Roth demonstrovali instalaci hry na platební terminál.

Máme za sebou úspěšný druhý ročník konference Security Session. Doufáme, že budeme schopni i příští rok uspořádat opět tak zajímavou a obsáhlou konferenci. Velmi nás potěšil velký počet účastníků (cca 200). I přes některé problémy (WiFi access) doufáme, že si návštěvníci přednášky patřičně užili a obohatili své vědomosti o nové poznatky. Příští rok se pokusíme všech chyb vyvarovat. Již nyní máme několik myšlenek a nápadů na vylepšení. Zatím si je ale ponecháme pro sebe :] (aby nás zase někdo nekopíroval).

Konference Security Session se koná již tuto sobotu (18.2.) na FIT VUT v Brně!
Více informací zde: http://www.security-session.cz/
Registrace na našem Facebook Eventu, nebo na webu konference.

Prvních 100 návštěvníků získá malý dárek (silikonový náramek)!