W

ramach strony Akademii FTA (ang. Free Technology Academy), która umożliwia m.in. studiowanie Open Source i otwartych standardów zostały udostępnione wszystkie materiały dydaktyczne z zakresu oferowanych kursów. FTA jest projektem stworzonym w 2008 roku przez The Free Knowledge Institute (FKI) przy współpracy z trzema europejskimi uniwersytetami: Open Universiteit (Holandia), Universitat Oberta de Catalunya (Hiszpania) oraz University of Agder (Norwegia). Projekt jest wspierany również przez Unię Europejską w ramach programu Lifelong Learning Programme (LLP).
[ czytaj całość… ]

P

okładanie nadziei w matematycznych gwarancjach bezpieczeństwa algorytmów szyfrujących i zabezpieczających dane to czysta naiwność. Każde hasło, każde zabezpieczenie można złamać… lub obejść. Niezmiennie najsłabsze ogniwo stanowi czynnik ludzki.
[ czytaj całość… ]

W

yrażenie LOAD DATA LOCAL INFILE przy standardowej konfiguracji serwera MySQL potrafi wczytać do wcześniej spreparowanej tabeli dowolny plik z serwera posiadający globalne uprawnienia do odczytu. W celu skorzystania z tej możliwości wystarczy wskazać pełną ścieżkę do pliku, który musi znajdować się na tym samym serwerze, co oprogramowanie MySQL. Z powodzeniem wyrażenie to może zostać wykorzystane w jednej z technik SQL Injection (np. gdy w aplikacji webowej zostanie wykryta nowa luka) do odczytu wrażliwych z poziomu bezpieczeństwa plików konfiguracyjnych serwera i aplikacji lub wczytaniu plików konfiguracyjnych innych aplikacji na współdzielonym hostingu.
[ czytaj całość… ]

Z

abezpieczenie sieci komputerowych przed niepowołanym dostępem z zewnątrz to temat bardzo rozległy i pełen rozmaitych koncepcji, z których niektóre wzajemnie się wykluczają. Są też rozwiązania uniwersalne, a – co więcej – beznakładkowe, które pozwalają utrudnić nieuprawniony dostęp. Zalicza się do nich Port knocking.
[ czytaj całość… ]

J

eśli pracujemy na developerskiej maszynie nad rozwojem jądra systemu lub sterowników urządzeń wspieranych przez jądro, lub nawet uruchamiamy testowy kod, który prawdopodobnie spowoduje tzw. błąd kernel panic – możemy wykorzystać poniżej przedstawione rozwiązanie, które przydaje się w przypadkach kiedy nasza maszyna z jakieś przyczyny zawiesza się, zamieniając się w nagromadzony stos części komputerowych (sposób ten jest bezużyteczny, gdy jądro zupełnie zamknie się na świat, pozostaje wówczas tylko twardy reset). Poprzez kombinację odpowiednich klawiszy możemy przeprowadzić synchronizację systemu plików oraz przemontować go w tryb tylko do odczytu. W ten sposób poprzez restart komputera unikniemy utraty danych oraz sesji programu fsck.
[ czytaj całość… ]

A

rtykuł ten pokaże nową technikę web ataku. Pokazany został sposób, jak prosto można ukraść kliknięcia z witryny. Opis tej techniki pomoże zrozumieć proces sam w sobie oraz zaprezentuje problemy z zabezpieczaniem się przed tego typu atakiem.
[ czytaj całość… ]

F

ull Path Disclosure (FPD) – polega na ujawnieniu pełnej ścieżki dostępu (np. /var/www/test.php) do wadliwie skonstruowanego lub źle wywołanego skryptu. Błąd FPD najczęściej wywoływany jest poprzez wstrzykiwanie nieoczekiwanych i niefiltrowanych znaków oraz poleceń do parametrów skryptów na stronie internetowej. Skrypt, który przyjmuje określone parametry po wstrzyknięciu nieoczekiwanego znaku zwraca komunikat błędu, w którym zawarte są informacje na temat napotkanego błędu oraz pełna ścieżka dostępu do wywołanego skryptu.
[ czytaj całość… ]

D

la crackera włamującego się do cudzego systemu informatycznego najważniejsze jest… skuteczne zatarcie śladów po całej operacji. Nawet najbardziej spektakularne włamanie przy użyciu stworzonego przez siebie exploita nie przyniesie włamywaczowi wiele korzyści, jeśli nazajutrz pojawią się u niego agenci CBŚ.
[ czytaj całość… ]

W

nawiązaniu to artykułu “Fire(wall)walking – spacer po zaporze ogniowej” warto również wspomnieć o narzędziu noszącym nazwę tcptraceroute. Jest to przerobiona implementacja standardowego traceroute, która używa pakietów TCP. Jak zauważył jego autor – problemem zapewnienia standardu bezpieczeństwa w Internecie jest jego niestandardowe używanie.
[ czytaj całość… ]

N

iewiele osób zna sposoby na skuteczne zakłócenie działania całej sieci bezprzewodowej pomimo, że znają pojęcia typu łamanie klucza WEP, fałszywa autentykacja MAC czy przechwycenie 4-way handshake.
[ czytaj całość… ]