Ostrzeżenie od firmy Microsoft dla całego Internetu: upewnijcie się, że wasze certyfikaty posiadają co najmniej 1024 bity. Z dniem 9 października 2012 roku – tylko dłuższe klucze będą obowiązkowe dla wszystkich cyfrowych certyfikatów szyfrowania, które dotykają systemów Windows. Oznacza to, że Internet Explorer będzie odmawiał dostępu do stron internetowych, które nie mają kluczy RSA o minimum długości 1024 bitów. Z tego samego powodu w systemie Windows nie będzie można wymieniać zaszyfrowanych wiadomości, uruchamiać formatów ActiveX i instalować aplikacji.
[ czytaj całość… ]

I

gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]

W

2003 roku firma WhiteHat Security odkryła nową formę ataku, którą nazwano – XST (ang. Cross-Site Tracing). Wykorzystuje ona wywołanie TRACE protokołu HTTP. Wywołanie metody TRACE odpowiada za diagnostykę oraz analizę kanału komunikacyjnego. Dlatego wysłanie zapytania przez klienta do serwera WWW za pomocą metody TRACE będzie zawierać w odpowiedzi serwera wszystkie dane wysłane przez użytkownika np. informacje o ciasteczkach, czy dane autoryzacyjne, które są cenne dla potencjalnego agresora.
[ czytaj całość… ]

K

orzystając z bezpiecznego połączenia, użytkownik Internetu jest pewien, że nic nie grozi jego danym. Przy nowym ataku SSLStrip nie jest to takie oczywiste. Brak jednej literki “s” w zasobie URL może oznaczać kłopoty. Poniżej pokazujemy, że “https” czasami może okazać się tylko zwykłym “http”.
[ czytaj całość… ]

P

odłączenie przenośnego komputera do nieznanej, publicznej sieci komputerowej wiąże się z ogromnym ryzykiem. Wszystkie wykonywane operacje sieciowe mogą zostać przez kogoś podsłuchane, a nasze dane przechwycone. Zagrożenia mogą jednak zostać zminimalizowane poprzez zastosowanie kompleksowej strategii obronnej.
[ czytaj całość… ]

I

nformacja w dzisiejszych czasach to jedna z bardziej cennych rzeczy, dlatego trzeba o nią odpowiednio zadbać. Sieci firmowe, osiedlowe czy bezprzewodowe często nie są zabezpieczone na odpowiednim poziomie (nierzadko nie pozwalają na to przyczyny techniczne), a więc przesyłając informację w sieci, jej nienaruszalność powinna zagwarantować aplikacja.
[ czytaj całość… ]

W

szyscy używamy / korzystamy z połączeń SSH. Dzięki temu protokołowi jesteśmy w stanie w bezpieczny sposób łączyć się z inną maszyną i wykonywać na niej w zdalny sposób komendy. Jesteśmy także w stanie przesyłać bezpiecznie pliki (SCP), a nawet tworzyć o niebo bezpieczniejszą alternatywę dla FTP (RSSH + SCPOnly), czy tworzyć szyfrowane tunele itp. Jednak wiele osób nie zdaje sobie sprawy z tego, iż chociaż SSH szyfruje przesyłane dane to dla atakującego wcale nie jest problemem podsłuchać Naszą sesję. Podsłuchiwanie to z powodu szyfrowania sesji przybiera trochę inny kształt: atakujący może symulować serwer, z którym chcemy się połączyć. Dzięki symulowaniu serwera będzie w stanie Nas “podsłuchiwać”, ponieważ chociaż dane są szyfrowane to de fakto będą one przechodziły (lub adekwatnie od intencji atakującego — dochodziły) przez “niepowołaną” maszynę. Jest to tzw. atak typu Man-In-The-Middle. Artykuł ten ma na celu przybliżenie sposobu ochrony Naszej szyfrowanej sesji SSH dzięki kluczom identyfikacyjnym serwera.
[ czytaj całość… ]