Tak jakoś nagle pojawiła się nowa wersja TrueCrypt, tym razem jest to wersja 6.0. Jest już również dostępna odpowiednia tcgina. Nowych funkcji jest trochę, ale dla mnie chyba najbardziej będą użyteczne zmiany związane z wydajnością. Implementować ukrytego systemu operacyjnego u siebie nie zamierzam...
Temat bezpieczeństwa aplikacji internetowych oraz ich testów penetracyjnych poruszałem już wielokrotnie. Tym razem trochę refleksji.
Zgodnie z Guidelines for Evidence Collection and Archiving jednym z elementów, które należy (w miarę szybko) pobrać jest pamięć. Można zrzucić pamięć fizyczną i następnie analizować ją choćby przy pomocy pakietu Volatility. Można też do sprawy podejść inaczej.
Wspominałem już o technologii U3 i jej potencjalnym wykorzystaniu do Złych Celów. Tym razem postaram się zebrać te informacje w jednym miejscu.
Kilka razy pisałem (i pewnie jeszcze napiszę) na temat zagrożeń związanych z USB. W szczególności stwierdziłem, że U3 jest ZŁE. Z tego właśnie powodu właśnie nabyłem SanDisk Cruzer® Micro 8GB. W planach mam osadzenie na nim zestawu narzędzi, których ogólne przeznaczenie można określić jako live response (takie rozwinięcie zabawy z moim Tamagotchi).
W szczególności zestaw ten ma:
Całość z dwóch powodów:
Pojawił się dokument Understanding the Web browser threat: Examination of vulnerable online Web browser populations and the “insecurity iceberg”. Mała zajawka: For the last 18 month we analyzed the daily USER-AGENT data collected by Google's Web search and application servers around the world to study how users patch and update their Web browsers.
We came out that approximately 637 million (or 45.2 percent) users currently surf the Web on a daily basis with an out-of-date browser – i.e. not running a current, fully patched Web browser version.
And this is only the tip of what we call the “Insecurity Iceberg”, not counting all the vulnerable browser plug-ins. ...tylko warto zapoznać się jeszcze z “drugą stroną medalu” Vulnerable Web Browser Study – Full of Fail zanim się wpadnie w totalną panikę. Co oczywiście nie znaczy, że aktualizacja tak newralgicznego (bo mającego bezpośredni kontakt z “dzikim światem”) komponentu, jakim jest przeglądarka internetowa (niezależnie, czy to jest Internet Explorer, Mozilla Firefox, Opera, czy jeszcze jakiś inny produkt), nie jest istotna.
Kolejny odcinek serii o tym czego NIE należy robić w trakcie tworzenia aplikacji internetowych. Tym razem o tym, dlaczego nie należy wstawiać zmiennych przekazywanych przez użytkownika bezpośrednio do skryptów JavaScript.
A w zasadzie to “nie wszystko żmija, co pełza”. Fakt, węży pojawia się czasami dość sporo, teraz podobno jest znowu ich “wysyp”, w tym wysyp żmij właśnie. Problem w tym, że żmija to nie jedyne pełzające stworzenie w naszym kraju... Sam kiedyś widziałem jak spokojnie płynący sobie zaskroniec (w Wetlinie) wywołał panikę ludzi stojących na moście i dzikie wrzaski “żmija, żmija”. Nawet jeśli byłaby to żmija, to co ona miała zrobić? Skoczyć 5 metrów do góry i rzucić się do gardła jak królik morderca?
Warto popatrzeć jak wygląda:
Jak stwierdził Tomek, temat SQL Injection jest tematem dyżurnym na moim blogu. To nie do końca tak, temat ten nie zajmowałby tyle miejsca, gdyby nie był dyżurnym błędem wielu developerów, których produkty następnie przychodzi mi testować. W każdym razie dla porządku jeszcze ja wymienię te narzędzia:
Jakiś czas temu pisałem o pojawieniu się nowego narzędzia – F-Response. Wówczas mogłem napisać o nim jedynie na podstawie opinii innych ludzi, tak się jednak stało, że dostałem do testów F-Response Enterprise Edition.