Thursday, September 30. 2010
Chyba wpis na temat algorytmów HOTP i OCRA nie spotkał się z większym zainteresowaniem. A szkoda. Zadałem w nim pytanie:
Jakie są skutki tego stanu rzeczy? Potencjalny replay attack. Oczywiście parametr Q może być losowy, w związku z czym replay attack staje się mało prawdopodobny. Pytanie - kiedy challenge (Q) jest nie do końca losowy?
Pora na odpowiedź.
Ciąg dalszy "Token CR i replay attack" »
Monday, September 27. 2010
Muszę powiedzieć, że moje wrażenia po SecDay są bardzo pozytywne. Prezentacje ciekawe, choć w większości dość niskopoziomowe. Z tej tematyki wyłamały się chyba tylko trzy tematy: ulot elektromagnetyczny, bankowość internetowa (mój, przy okazji: ZeuS Mitmo: Man-in-the-mobile (I) via ^rezos) oraz informatyka śledcza. Szczególne wyrazy uznania dla tej ostatniej prezentacji i dyskusji po niej. Doskonały przykład jak o informatyce śledczej można rozmawiać bez niepotrzebnego nadęcia.
EDIT: Jeszcze w temacie malware na telefony komórkowe
Sunday, September 26. 2010
Przez pewien czas używałem dodatkowo wiki, bo na blogu pewnych rzeczy robić nie mogłem. Gdy blog przeszedł całkiem pod moją kontrolę, wiki stało się zbędne. Powoli miałem wygaszać ten adres, ale wygląda na to, że home.pl mi w tym pomógł. Mam wrażenie, że zmienił wersję Pythona i coś przestało działać (patrz też: Dlaczego przykład przestał działać).
Jeśli jesteś bardzo zainteresowany jakąś treścią z wiki, daj znać, spróbuję ją ponownie gdzieś opublikować.
Już jutro odbędzie się konferencja SecDay 2010. Będę miał okazję poopowiadać trochę na temat bezpieczeństwa bankowości internetowej, w szczególności o podstawowych mechanizmach bezpieczeństwa oraz ich podatności na ataki phishingowe, oraz ataki z wykorzystaniem malware. Jeśli ktoś nie może być we Wrocławiu - nic straconego. Wojtek Dworakowski (Securing) będzie mówił na ten temat w Warszawie na konferencji Secure. Wojtek będzie mówił na ten sam temat, ale nie dokładnie to samo, więc jeśli ktoś się wybiera na obie konferencje, nie powinien się nudzić. W Krakowie jakaś wersja tej prezentacji pojawi się prawdopodobnie w grudniu. Zainteresowani powinni śledzić stronę OWASP Poland.
Do zobaczenia we Wrocławiu!
PS: To jeszcze chciałem dodać, że 28 października pojawię się na spotkaniu SPIN w Krakowie.
Wednesday, September 22. 2010
Miałem dziś okazję spotkać się ze znajomymi (pozdrowienia!), którzy zajmują się na co dzień nieco innymi tematami, niż ja. Rozmowa krążyła wokół różnych tematów (Grześ: Pan Samochodzik i..., Łukasz: local proxy). W pewnej chwili doszliśmy do tematów bezpieczeństwa bankowości internetowej i... No właśnie. Po raz kolejny przekonałem się, że coś, co jest oczywistą oczywistością dla mnie i ludzi zajmujących się tym tematem, wcale nie jest tak oczywiste dla "zwykłych ludzi". A to właśnie "zwykli ludzie" stanowią większość użytkowników bankowości internetowej. Cóż, chyba będzie trzeba napisać trochę na temat tych oczywistości.