Incidensekben szegény, sikerekben gazdag, boldog új évet kívánok minden kedves olvasómnak! Most pedig hibernálom magam 2008-ig.

Ígéretes kísérletnek tűnt a Microsoft részéről a hackers@microsoft blog elindítása, annak idején fel is fettem őket a feedjeim közé. Néhány semmitmondó poszt (értsd: n+1. "hogyan tegyem biztonságossá a webalkalmazásomat" howto) után azonban rá kellett jönnöm, hogy…

Lassan itt az év vége, a Dark Reading stábja pedig összegyűjtötte 2007 legfigyelemreméltóbb eseményeit, én meg kicsit megvágtam/kiegészítettem őket:1. A Storm féregMinden IT biztonsággal foglalkozó szakember rémálma vált valóra ezzel a kártevővel. Bár első megjelenését…

A következő történet a képzelet szüleménye. Bármilyen hasonlóság létező személlyel, céggel, párttal, vagy egyéb társadalmi szervezősdésekkel pusztán a bolondos véletlen műve. A távoli jövőben járunk. Az nemzetek évtizedeken át békés egymás mellett élését…

Az Abode Flash Player 9.0.48.0-ás és régebbi, 8.0.35.0-ás és régebbi, valamint 7.0.70.0-ás és régebbi változataiban kritikus hibákat találtak, melyek kódfuttatást tesznek lehetővé távoli támadók számára. A Windowsos, Linuxos és Maces verziók is érintettek. Az Adobe…

Nem szeretném elbitorolni Rambo kollega székét ;) de a Google közösségi oldalát, az Orkutot elkezdte megenni egy XSS féreg. Az érintettek beszámolói alapján a kis gonosztevő a scrapping szolgáltatáson keresztül mászik bele a felhasználó sessionjébe, majd elkezdi szétszórni…

Subba bácsi leleplezte a Coolspace-es spammereket, örvendjünk ennek és nézzünk egy perzisztens XSS hibát e neves oldalon! Ez persze mind feltételes mód... 1. Regisztrálhatsz az oldalon valami kamu címmel lehetőleg, mert ezek a kis suttyók tuti hogy e-mailben is osztják a…

Létrehoztam egy YouTube fiókot a bloghoz, ahova megpróbálom összegyűjteni a témába vágó videókat. Rég óta terveztem egy ilyen kis "gyűjtemény" létrehozását, az utolsó lökést Ronald legutóbbi posztja adta, amiben Derren Brown brit "pszihoillúzionista"…

A Trixbox (régebben Asterisk@Home) Asterixre épülö üzleti PBX megoldásban olyan kódot találtak, amely az anyacég szerveréről származó parancsokat futtat a felhasználók eszközein. A funkciót eredetileg névtelen statisztikai adatok küldésére tervezték, a kellemetlen a dologban…

Még az előző poszthoz kapcsolódva - a blog témájától kicsit elkanyarodva - most bevágnám Dr. Szöszi kommentjét. Jó példája ez a kis történet annak, hogy kellő odafigyeléssel és akarattal mennyi mindent meg lehet valósítani - és ez nem csak a számítástechnikára vonatkozik.…

"Vector, aki már többször szembeszállt az állammal szabad szoftverek érdekében, az új közbeszerzési tervezet miatt aláírásgyűjtést kezdeményezett. A vele egyetértők itt írhatják alá a tiltakozást." - HUPHogy az elvileg minket képviselő politikusok milyen remek,…

Próbáltam kitalálni valami frappánsabb címet, de nem ment... Szóval a fennt említett portál azt tűzte ki céljául, hogy egyfajta korai előrejelző szolgálatként összegyűjtse a különböző éles oldalakon található XSS sebezhetőségeket, majd az összegyűjtött információkat…

Emlékeztek a "Szerver-feltörő programra", amit a EuroHackes arcok csináltak annak idején? EQ barátom most szólt, hogy kijött egy előzetes videó a BackTrack 3. verziójáról.  Hogy miket kapunk az új verzióval (a teljesség igénye nélkül természetesen):WEP törés egy…

A websecurity.ro oldalon jelent meg Pastilatu felfedezése, melynek segítségével tetszőleges domainhez tartozó MSN Messenger címet (Windwos Live ID-t) regisztrálhatunk magunknak:1. Látogass el a http://get.live.com/getlive/overview oldalra2. Nyomd meg a gombot, hogy regisztrálni…

Rég óta tudjuk, hogy a Google a hackerek legjobb barátja, keresőkifejezés-gyűjtemények százait lehet megtalálni a neten, a különböző webalkalmazásokhoz készült exploitokhoz pedig manapság már megfelelő "google dorkot" is mellékelnek, hogy a webpókok tudják, kit kell…

A skype november 15-én megjelent 3.6-os verziója, olyan hibát javított, amely lehetővé tette, hogy speciális URI-k segítségével parancsokat futtassunk a Skype felhasználó jogaival Windowsos gépeken - persze a hiba kihasználhatóságána nagyot dobtak a böngészők sokat emlegetett URI…

Adrian Pastor (hmm, netán egy távolba szakadt hazánkfia?) egy néhány éve Petko Petkovval közösen kifejlesztett módszert tett közzé, melynek segítségével a szokásosnál jobb esélyekkel hajthatunk végre adathalász támadást Outlook Web Accesst használó felhasználók ellen. A…

Rajtam kívül szerintem nem sokan látták, de a nagy vihart kavart ProArtos/Hangfoglalásos poszthoz nem rég hozzászóltak a Hangfoglalás illetékesei. Tanulságos történet, olvassátok végig! Ez a komment: Hangfoglalás · http://www.hangfoglalas.hu 2007.12.03. 18:43:15 Gyerekek!…

Tom Shannon elég meghökkentő (bár egyelőre csak Windwoson működő, a Linuxos Firefoxot pedig talán fagyasztó) példaprogramot tett közzé annak illusztrálására, hogy hogyan lehet egy felhasználót úgy is távolról nyomon követni, hogy közben a delikvens böngészőt vált (vagy…

A Texasi Egyetem két kutatója, Arvind Narayanan (végzős diák) és prof. Vitaly Shmatikov olyan eljárást mutatott be, melynek segítségével "névtelenített" adatbázisokból lehet konkrét személyhez rendelt adatokat kinyerni. Elméletük bizonyításához két bárki számára…

A svájci Dreamlab csapata olyan eljárást dolgozott ki, melynek segítségével távolról hallgathatók le bizonyos Microsoft és Logitech perifériák, első sorban billentyűzetek. Az érintett termékek nem a jól bevált Bluetoth-t, hanem egy 27 MHz-es rádiófrekvenciás technológiát…

Éppen az előző Playstationös poszt kommentjeiben filozofáltam az MD5 támadásairól mikor befutott a hír: új ütköztetéses támadást hajtottak végre az MD5 ellen, méghozzá egy PS3 segítségével!A támadás eredményeként két eltérő funkcionalitású, de azonos MD5 hash-sel…

Az új-zélandi KiwiConon tartott prezentációjában egy tamsky nevű hacker (Nick Breese) különleges, Playstation 3-ra optimalizált MD5 algoritmust mutatott be. Az hardveroptimalizáció mikéntjéről nincsenek pontos információim, a következőket lehet tudni: Egy PS3 processzora nyolc…

  A Full-Disclosure listán bontakozott ki még novemberben a vita, amelynek tárgya a XSS hibák listán való publikálása volt. A reedex nevű felhasználó igen markánsan és provokatívan utasította el az ilyen jellegű felfedezések létjogosultságát, de egyúttal vitára is…