November 2009 - Posts

Dvodnevni kurs "Linux za Windows administratore" u decembru!

15. i 16.12.2009. u prostorijama firme Network Security Solutions, Decanska 17.
Cena kursa je 120 EUR u dinarskoj protivvrednosti.

 

Prvi dan:

  • Linux i njegova primena
  • Osnove Linuxa
    • osnovne komande
    • networking
    • fajl sistem
    • servisi
    • dozvole
    • X
  • IP adresiranje i rutiranje
    • DHCP
    • Routing
  • DNS
  • Linux kao File server – SAMBA
  • Printing
  • Backup
  • Shell scripting

Drugi dan:

  • Linux u Windows mreži
    • Autentifikacija Linuxa na Windows domenima
    • LDAP
    • Kerberos
    • Windows aplikacije na Linuxu
  • Remote tools
    • SSH
    • Remote X
    • RDP
  • Mail
  • Python programming


 

Ceo kurs ce biti na Ubuntu\Kubuntu Linux distribuciji, a namenjen je Windows administratorima koji nemaju iskustva u radu sa Linux operativnim sistemom.

Vise informacija na adresi http://www.netsec.rs ili na mail office[@]netsec.rs.
Telefon +381 11 286 19 60.

 

Pozdrav!

Po nekad za potrebe demonstriranja ranjivosti neke aplikacije moram da nađem staru verziju koja je bila ranjiva (pretpostavka je da je nova verzija zakrpljena :) ) i to može da se pokaže kao problem. Naravno postoje i drugi razlozi zbog kojih bih možda preferirao stariju verziju, a da nema veze sa bezbednošću.

U takvim slučajevima uglavnom na sajtu  vendora potražim arhivu ili ukoliko ista ne postoji skoknem do sledećih sajtova koji će vam možda dobro doći:

http://www.oldapps.com/
http://www.oldversion.com/

 

Ukoliko imate neki sličan sajt na spisku, budite ljubazni i podelite link ;)

Najnoviju OWASP TOP 10 listu možete preuzeti odavde.

Kao što napisah pre par dana, momci iz OffSeca su preuzeli bazu milw0rma i evo nove adrese:

http://exploits.offensive-security.com/

Najzad!

http://blogs.technet.com/isablog/archive/2009/11/17/forefront-threat-management-gateway-2010-release.aspx

U mojoj porodici se s kolena na koleno prenosi lek protiv gripa: Popiješ rakiju (celu flašu, naravno), a onda se flašom istrljaš spolja. Leči provereno.

Zarad automatizacije procesa, možete koristiti sledeći Python kod:

 

#!/usr/bin/env python
from rakija import *      #rakija{tm} is Serbian alcohol-will-kill-me beverage.
import bottle

your_name=your name here

while H2N1_Influenza:

drink.all()
bottle.massage(your_name)

Evo jednog jednostavnog alata za testiranje izdržljivosti web servera/aplikacija. Trebaće vam Python da ga pokrenete.

Funkcionalnosti:

  • HTTP/HTTPS
  • metod je GET
  • Threading je neograničen, možete simulirati proizvoljan broj klijenata (default: 10)
  • Proxy podrška, lokalni ili remote svejedno
  • Console output je ON po defaultu, ali možete ga isključiti (“silent”)
  • Statistika
    • prosečno vreme po threadu
    • ukupno vreme
  • Logovanje
    • jedan fajl za uspešne konekcije (broj threada i njegovo vreme izvršenja)
    • jedan fajl za greške (broj threada, HTTP error code, opis URL greške)

Todo:

  • proxy auth (basic,ntlm)
  • post metod
  • dodajte želju

wst

Dao sam intervju Čedi Rajačiću sa www.armyinfoforum.org na gore navedenu temu. Koga interesuje ova problematika može da pogleda online ili da preuzme snimak sa:

http://www.armyinfoforum.org/Armyblog/index.php/2009/11/07/informaciona-bezbednost-u-sluzbi-nacionalne-bezbednosti/

Traje poduže (raspričao sam se kao i obično ;) ), tako da ko odgleda do kraja ima pivo od mene ;).

 

Pozzz!

Kao što naslov posta kaže, Offensive Security preuzima Milw0rm. Arhiva exploita će biti u dobrim rukama ;)

http://www.offensive-security.com/blog/offsec/offensive-security-exploit-archive/

Danas smo saznali pravi razlog povremenog ne funkcionisanja www.milw0rm.com.

str0ke, idejni tvorac milw0rm-a je preminuo. Nedostajaće security zajednici.

R.I.P.

Poštovane kolege/koleginice i svi ostali zainteresovani (svaki građanin koji koristi ebanking), sa ove lokacije možete preuzeti statistiku bezbednosti web sajtova banaka u Srbiji.
Rezultati su vrlo loši i po banke i po nas njihove korisnike. Za svaku od banaka je odvojeno po 10 minuta, a testirane su isključivo neinvazivnim metodama.

 

clip_image002

 

Ukoliko se unapred možda pitate da li smo u izveštaju pominjali imena banaka i konkretne propuste na svakoj od njih ponaosob, odgovor je NE.
Ako se pitate da li smo obavestili odgovorne u datim bankama, odgovor je ponovo NE.
Evo i razloga za 2xNE:

  • Imena i konkretni propusti nisu pominjani da lošim momcima ne bi smo pomagali da ugroze banke i nas klijente, mada je veoma teško poverovati da Black Hats nisu sa ovim problemom mnogo bolje upoznati nego mi.
  • Banke nisu upozorene pošto imamo loša iskustva sa ukazivanjem na probleme tog tipa. Naime, već su nam ranije pretili armijama advokata i slično (čast izuzecima), valjda zato što smo hteli da im besplatno ukažemo na problem.
  • Iako poštujemo Responsible Disclosure Policy, ista nije primenjiva u Srbiji. Full Disclosure ne dolazi u obzir iz razloga navedenih u tački jedan.

 

Voleo bih da čujem vaše mišljenje o tome zašto naše banke imaju toliko bezbednosnih propusta.

Novi whitepaper "Testiranje Web aplikacija neinvazivnim tehnikama" možete preuzeti ovde.
Ukoliko ste zainteresovani za praktične primene, pogledajte ovaj post.