A Hacktivity előadásom témája röviden összefoglalva a különböző antivírus termékekhez kapcsolódó állítások és a valóság ütköztetése volt - nem feltétlenül kellett ott lenni a MOM-ban ahhoz, hogy az ember kitalálja a konklúziót. Az előadás előtt és után is alkalmam…

A lehallgatási botrány árnyékában kisebb pánikot okozott, mikor kiderült, hogy az Android fejlesztőknek szánt API-ja a 2.3-as verziótól kezdve a hírhetden gyenge RC4-MD5 algoritmus-kombinációt részesíti előnyben SSL kapcsolatok kiépítésekor. Ez azt jelenti, hogy az API-t naívan…

A Google a nem várt sikert arató Vulnerability Reward Program mellett új kísérletbe kezd a sérülékenység-felderítés frontján. A cég most saját fejlesztésű szoftverei mellett a széles körben alkalmazott nyílt-forrású kódokat is szeretné megerősíttetni, ehhez pedig a már jól…

Október második felében ismét megrendezésre kerül az immár hagyományos CrySyS Sec Challenge hacker verseny, melyet műegyetemistáknak szervez a BME Hálózati Rendszerek és Szolgáltatások Tanszékén működő CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab). Az…

Microsoft MS13-080: A frissítés orvosolja a nem rég aktív támadásokban felfedezett Internet Explorer 0-day-t (Metasploit modul és leírás itt), valamint egy feltehetően szeptember közepe óta aktív, szintén célzott, japán és koreai felhasználókra lövő támadások során…

Snowden legutóbbi szivárogtatása most egy nagyon érdekes témába ad betekintést, nevezetesen, hogy mit is képes kezdeni a világ egyik legnagyobb hatalmú titkosszolgálata a Tor hálózattal (érdemes fejben tartani, hogy hasonló dolgokra lehetnek képesek más nagyhatalmak is)? A válasz…

Reménykedtem abban, hogy a Silk Road mellett már nem lesz több sokk a héten, de tévedtem. Az MTI 90-es éveket idéző híre már ugyan a legtöbb hírportálra kiment, azért próbáljuk meg a kor igényeinek megfelelően összefolglalni a történteket: A támadók megszerezték 2.9…

Tegnap este bombaként robbant az arcomba a hír: elkapák a SilkRoad feltételezett üzemeltetőjét, akit a világ eddig csak Dread Pirate Robertsként ismert. Az FBI egy bizonyos Ross William Ulbricht-ot gyanít a név mögött, aki most rácsok mögött várja, hogy ítélkezzenek fölötte…

Örömmel jelentem be a félév IT-biztonsági szakdolgotának nyertesét, Pintér Olivért, aki "Memóriavédelmi megoldások vizsgálata és megvalósítása FreeBSD-n" (blog.hu CDN) című szakdolgozatával felállította a mércét a következő évek ifjú hackerei számára. A…

Ismét igazolást nyert a mondás, miszerint minden csoda három napig tart: nagyjából ennyi idő telt egy az #istouchidhackedyet ("megtörték-e már a touch id-t?") kiírása óta, a Chaos Computer Club biometrikai tagozata pedig már közzé is tett egy közleményt valamint egy videót az új…

Az utóbbi napok-hetek eseményeinek fényében kissé komikus, hogy a nemzetközi IT-sec szakma jelentős része azzal van elfoglalva, hogy hogyan lehet kikerülni az újonnan megjelent iOS 7 képernyőzárát és megnézni az ismerősök homevideóit: Jócskán 15000 dollár fölötti összeget,…

A Microsoft figyelmeztetést adott ki egy célzott támadások során kihasznált IE9 0-day exploittal kapcsolatban. A támadók az mshtml.dll egy usa-after-free hibáját használják ki tisztán JavaScript-ből, igénybe véve egy ASLR-t nem támogató Office DLL-t, melyet az alábbi egysorossal…

Pár napja kérdezte egy kedves ismerősöm, hogy mégis mennyire kell komolyan venni ezt az NSA-s telefonfeltörős parát, én pedig természetesen próbáltam csillapítani a kedélyeket, mondván, nem eszik olyan forrón a kását. Aztán nem sokkal később végre volt alkalmam megnézni a…

A legújabb hírek az NSA-el kapcsolatban sajnos még mindig nagyon kevés konkrétumot tartalmaznak (ideje lenne, hogy valaki végre tényleg kiszivárogtassa a kiszivárgott dokumentumokat...), de talán egy lépéssel közelebb visznek a megfejtéshez NSA és a TLS viszonyában. A legutóbbi, a…

Webes projektek során egyre gyakrabban fordul elő, hogy bár a tesztelt alkalmazás megvalósít valamiféle bemeneti szűrést, az adatbázis segít kikerülni számunkra ezeket a megkötéseket.  SQL Smugglingról korábban már írtam (bár ideje lenne frissíteni azt a posztot...),…

Microsoft MS13-067: Ebben a csomagban a Microsoft több Office sérülékenységet orvosol. Egyrészt úgy tűnik, a Google-nél elkezdtek Word-t fuzzolni, amiből kiesett öt sérülékenység, a bulletin fő attrakciója azonban a SharePoint, amiben több XSS mellett távoli kódfuttatásra…

Az NSA-féle lehallgatási botrány még mindig pörög, a média (nagyon helyesen) nem hajlandó ejteni a témát, és Snowden anyagai még bőven tartogatnak izgalmakat az egyszeri nethasználó számára. A kiszivárgott dokumentumok azonban koránt sem tartalmaznak minden részletet az NSA vagy…

Idén ősszel is beindul a szokásos konferenciaszezon - én is épp prezentációheggesztés közben allokáltam egy kis időt ennek a posztnak a megírására - szépen lassan körvonalazódnak az IT biztonsági rendezvények programjai, időrendben haladva: ITBN 2013 Szeptember 25-26-án kerül…

Egy floridai börtön maximális biztonsági szintű szárnyának cellaajtajai kinyíltak, az egyik helyi banda tagjai üldözőbe vették egyik riválisukat, aki kiugrott egy második emeleti erkélyről, hogy elkerülje az összetűzést. Hasonló eset történt ugyanitt még májusban,…

A hacker és maker közösségek sátras-kempingezős-szabadtéri konferenciáinak legutóbbi iterációja, az idei Observe Hack Make inspirálta a H.A.C.K. budapesti hackerspace tagjait egy magyar változat szervezésére. A cél egy szabadtéri konferencia létrehozása, ahol nem csak a…

A nagyjából 1 millió forintos BitCoin lenyúlást követően először ismerte el Google alkalmazott az Android kriptográfiailag biztonságos véletlengenerátorának (CSPRNG) hibáját. Alex Klyubin blogposztjában kifejti, hogy az Android SecureRandom implementációja ugyan a jó…

Kötelező darab!

Microsoft MS13-059: Az ehavi IE frissítőcsomag összesen 8 kritikus hibajavítást hoz a böngészőhöz. A Microsoft hasznos újítása a havi összefoglalóhoz csatolt "kihasználhatósági táblázat", melyből megtudhatjuk, hogy az egy-egy bulletinen belül megoldott problémák hogyan…

Bár az idei BlackHat számos kiváló kutatási témát mutatott be, egy kis hiba azért csúszott a gépezetbe: a valódi "rocksztárként" számontartott (az idei Hacktivity-re is hivatalos) Charlie Miller és Chris Valasek autóhackelésről szóló előadását valamiért nem fogadta el a…

A BitCoin.com-on megjelent figyelmeztető szerint az Android biztonságos véletlengenerátorának hibája miatt elcsenhető a készülékeken generált címekről azok tartalma. A HackerNews kommentelői szerint - és ezt a BitCoin Talk fórumbejegyzései is alátámasztják - a problémát az…