Check DROWN of attack possibility

3 March 2016

openssl s_client -ssl2 -connect wodzinski.waw.pl:443

https://drownattack.com/

EU-US Privacy Shield

15 February 2016

DaVinci - hacking team data

8 July 2015

źródło;

HACKING TEAM CLIENT RENEWAL DATES
From: Client List_Renewal date.xlsx

Name    Country    Name    Maintenance    Status
AFP    Australia    Australian Federal Police     -    Expired
AZNS    Azerbaijan    Ministry of National Defence    6/30/2015    Active
BHR    Bahrain    Bahrain     5/5/2015    Not Active
PHANTOM    Chile    Policia de Investigation    12/10/2018    Delivery scheduled (end of november)
MDNP    Colombia    Policia Nacional Intelligencia    10/30/2016    Active
SENAIN    Ecuador    Seg. National de intelligencia    10/30/2016    Active
GNSE    Egypt    Min. Of Difence    12/31/2014    Active
INSA    Ethiopia    Information Network Security Agency    10/31/2015    Active
HON    Honduras    Hera Project - NICE    4/30/2015    Active
INTECH-CONDOR    K Iraqi    Kurdistan Iracheno    6/30/2015    Active
KNB    Kazakistan    National Security Office    12/31/2014    Active
MACC    Malaysia    Malaysia AntiCorruption Commission    1/31/2014    Expired
MIMY    Malaysia    Malaysia Intelligene     12/31/2014    Active
PMO    Malaysia    Prime Minister Office    3/31/2015    Active
CUSAEM    Mexico    Police    -    Expired
DUSTIN    Mexico    Durango State Government    11/30/2015    Active
EDQ    Mexico    Queretaro State Government    3/31/2014    Expired
GEDP    Mexico    Puebla State Government    7/31/2014    Expired
MCDF    Mexico    Mexico Police    -    Expired
MXNV    Mexico    Mexico Navy    -    Expired
PEMEX    Mexico    Army Mexico    3/31/2015    Not Active
PF    Mexico    Policia Federal    -    Expired
PGJEM    Mexico    Procuradoria General De Justicia    12/31/2014    Active
SDUC    Mexico    Campeche State Governement    6/30/2014    Expired
SEGOB    Mexico    Seg. National de Gobernacion (CISEN)    12/31/2014    Active
SEPYF    Mexico    State Government Baja California    9/21/2015    Active
SSPT    Mexico    TaumalipasState Government    7/20/2015    Active
YUKI    Mexico    Yucatan State Government    11/30/2015    Active
MOACA    Mongolia    Ind. Authoirty Anti Corruption    6/3/2015    Active
ALFAHAD-PROD    Morocco    Minister of Interior    12/31/2014    Active
CSDN-01    Morocco    Intelligence Agency    12/31/2014    Active
BSGO    Nigeria    Bayelsa Government    11/30/2013    Expired
ORF    Oman    Excellence Tech group Oman    12/31/2014    Active
PANP    Panama    President Security Office     5/31/2014    Expired
KVANT    Russia    Intelligence Kvant Research     11/30/2014    Not officially supported
GIP    Saudi Arabia    General Intelligence Presidency    12/31/2015    Active
MOD    Saudi Arabia    Minister of Difence     7/15/2015    Active
TCC-GID    Saudi Arabia    Genaral Intelligence Direcotrate    6/1/2015    Active
IDA-PROD    Singapore    Infocomm Development Agency    2/28/2015    Active
SKA    South Korea    The Army South Korea    12/31/2014    Active
NISS-01    Sudan    National Intelligence Security Service    12/31/2014    Not officially supported
THDOC    Thailand    Thai Police - Dep. Of Correctoin    7/31/2014    Expired
ATI    Tunisia    Tunisia (demo)    7/3/2011    Expired
TNP    Turkey    Turkish Police    11/10/2014    Active
MOI    UAE    Minister of Interior    12/31/2014    Active
UAEAF    UAE    UAE Air Force    5/31/2015    Active
DOD    USA    Dep.of Defence        Not Active
KATIE    USA    Drug Enforcement Agency    12/31/2014    Active
PHOEBE-PROD    USA    FBI - USA    6/30/2015    Active
NSS    Uzbekistan    National Security Service    1/31/2015    Active
                
                
                
EU Clients                
EU     Cyprus    Cyprus Intelligence Service    1/29/2015    Active
EU     Czech Republic    UZC Cezch Police     12/31/2014    Active
EU     Hungary    Special Service National Security    12/31/2014    Active
EU     Hungary    Intelligence Inforamtion Office    12/31/2014    Active
EU     Luxembourg    Luxemburg Tax authority    5/31/2015    Active
EU     Poland    Central Anticorruption Bureau    7/31/2015    Active
EU     Spain    Policia Nacional    1/31/2016    Expired
EU     Spain    Centro Nacional de Intelligencia    1/31/2016    Active
                
                
            Tot Active    38
            Tot Expired    14
            Not Active    3
            Other

Dyrektywa PE 2013/40/UE -> dotycząca ataków na systemy informatyczne

21 June 2015

Celami dyrektywy są: zbliżenie prawa karnego państw członkowskich w dziedzinie ataków na systemy informatyczne, przez ustanowienie zasad minimalnych dotyczących definicji przestępstw i odpowiednich kar, oraz poprawa współpracy między właściwymi organami, w tym policją i innymi wyspecjalizowanymi organami ścigania w państwach członkowskich, a także właściwymi wyspecjalizowanymi agencjami i organami Unii takimi jak Eurojust, Europol i należące do niego Europejskie Centrum ds. Walki z Cyberprzestępczością oraz Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA).

Zastępuje 2005/222/WSiSW

English: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:218:0008:0014:EN:PDF

Polski: http://bip.ms.gov.pl/Data/Files/_public/bip/prawo_eu/ue2/dyrektywa-2013_40_ue-o-cyberprzestepczosci.pdf

ISO27000 - Information technology — Security techniques — Information security management systems — Overview and vocabulary

21 June 2015

Publicznie dostępna norma ISO  (mirror z)

http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html

ISO_IEC_27000_2014.pdf

ISO_IEC_27036_2014.pdf

 

ENISA = udostępnione szkolenia

21 June 2015

mapowanie standardów dla incident response

21 June 2015

 

 

MACCSA - Multinational Alliance for Collaborative Cyber Situational Awareness

 

 

 

RSS w facebook

19 June 2015

url do RSS: https://www.facebook.com/feeds/page.php?format=rss20&id=124298519264

znajdowanie userID: http://findmyfacebookid.com/

 

Kategorie Free Thinking

Common Weakness Enumeration

11 June 2015

do nauczenia :)

http://cwe.mitre.org/data/published/cwe_v2.8.pdf

Kategorie Free Thinking

Gra w hakowanie

checkmarx | 7 June 2015
http://www.gameofhacks.com/
Kategorie Free Thinking, CTF

BURP i “Received fatal alert: handshake failure”

24 May 2015
  1. Download "Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 8 Download" (in my case -Java is 8)
  2. unpack files local_policy.jar and US_export_policy.jar into %JAVA_HOME%\lib\security
  3. restart BURP
Kategorie Free Thinking, CTF

zaznaczanie wszystkich checkbox

8 May 2015

Firebug lub konsola [ctrl] + [shift] + [J]

var getInputs = document.getElementsByTagName("input");
for (var i = 0, max = getInputs.length; i < max; i++){
if (getInputs[i].type === 'checkbox')
getInputs[i].checked = true;
}

i wszystkie checkboxy się zaznaczają :)

Rozwal.TO

3 May 2015

Nowy portal zawierający zadania z zakresu łapania flagi.

Zakres od super łatwego do super trudnego ...

moje konto: https://rozwal.to/profile/TomWo

Kategorie Free Thinking, CTF

Lokalny administrator w rozległej sieci - rozwiazanie

Local Administrator Password Solution (LAPS) | 2 May 2015

Microsoft udostępnił rozwiązanie do zarządzania hasłami użytkowników administratorów lokalnych.

https://technet.microsoft.com/en-us/library/security/3062591

Wymagania programowe niewielkie: AD:

Active Directory:

  • Windows Server 2003 Service Pack 1 (SP1) or later.

Zarządzany sprzęt / serwery:

  • Windows Server 2003 SP2 or later, or Windows Server 2003 x64 Edition SP2 or later.

    Note Itanium-based machines are not supported

Ryzyka:

  • Jak bezbłednie zabezpieczyć scheme by dostęp do parametru hasło był faktycznie tylko dla umocowanych użytkowników.
  • Czy przesyłanie do AD hasła jest realizowane w bezpieczny sposób.

 

uptodate software checker

Analiza i porównanie | 29 April 2015

Oprogramowanie bezpłatne (dla użytkowników domowych +)

Oprogramowanie płatne (w tym dla użytkowników domowych)

CISSP exam preparation

My study on CISSP | 28 April 2015

Egzaminy:

  • https://www.skillset.com/certifications/cissp

Open security training - CISSP

Baseline Exam

  • 100-Question Baseline Exam (22 pages) (pdf)
  • Answers to 100-Question Exam (22 pages) (pdf)

 Final Exam

  • 250-Question Final Exam (53 pages) (pdf)
  • Answers to 250-Question Final Exam (53 pages) (pdf)

 

http://ptgmedia.pearsoncmg.com/images/9780789749598/samplepages/0789749599.pdf

http://samples.sainsburysebooks.co.uk/9781118176122_sample_399791.pdf

http://files.meetup.com/768823/CISSPc%20qs.pdf

http://www.certificationking.net/others/CISSP%20brain%20dumpid=19.htm

http://www.certificationking.com/CISSP-s.zip

http://www.cisspexampractice.com/public/uiExamDemoOverview.aspx

CISSP Candidate Information Biulletin

 

source:CISSP® CBK® 2015 WHAT WAS ADDED

WHAT IS NEW WITHIN EACH OF THE DOMAINS

Below you have the list of new domains on the left and the new topics that were introduced within each of the domains on the left.   I welcome your help to complete it with even more details.  If you know of topics and links that could be added, please send an email to [email protected] and let me know. 

NEW DOMAIN NAME

NEW TOPICS THAT WERE ADDED

 

Security &  Risk Management

 

Threat Modeling

More details were added about threat modeling

 

Asset Security

Acquisition

Integrate security risk consideration into acquisition and practice

Hardware, Software, and services

Third Party assessment and monitoring

(on site assessment, document exchange and review, process/policy review)

Minimum security requirements

Service-level requirements

 

Security Engineering

Mobile Systems

This is NOT referring to Phones and other tools.  It is referring to laptop as mobile devices and the risk associated with those mobile devices.

 

Internet of things (IoT)

http://www.itworld.com/article/2906805/welcome-to-the-internet-of-things-please-check-your-privacy-at-the-door.html?phint=newt%3Ditworld_today&phint=idg_eid%3D4d76928f948553d246266242f20ee850#tk.ITWNLE_nlt_tonight_2015-04-08

 

and

 

 

https://www.ftc.gov/news-events/press-releases/2015/01/ftc-report-internet-things-urges-companies-adopt-best-practices

 

and

 

http://spectrum.ieee.org/telecom/security/how-to-build-a-safer-internet-of-things

 

and

 

The Cyber Defense Magazine also has some interesting articles on the challenge of IOT at:

http://www.cyberdefensemagazine.com/newsletters/march-2015/index.html

 

Embedded Systems

Smart Appliance, devices with a computer.

 

 

Communications & Network Security

Converged protocols (e.g., FCoE, MPLS, VoIP, iSCSI)

 

Software Defined Networks

see:  https://www.opennetworking.org/sdn-resources/sdn-definition

Video to watch:

https://www.youtube.com/watch?v=DiChnu_PAzA

and

If you wish to learn more:  https://www.youtube.com/watch?v=l25Ukkmk6Sk

 

Storage and Network Convergence

iSCSI and FCoE

http://www.redbooks.ibm.com/redbooks/pdfs/sg247986.pdf

Read chapter one of the document above for a quick overview.

 

Content Distribution Networks

Akamai

Cloudflare

Amazon CloudFront

and Others

 

 

Identity and Access Management

Session Management

Desktop Sessions Desktop sessions can be controlled and protected through several means including but not limited to the following: Screensavers

Timeouts

Automatic Logouts

Session/ Login limitation

Schedule Limitations

 

Registration and Proofing of Identity

 

Cloud Identity Services

Security Assessment and Testing

 

This is mostly a new domain that goes in a lot more depth about Security Assessment and Penetration Testing.  The two document below will give you most of what you need to know.

 

See:   Penetrating Testing Guidelines from the PCI DSS Council
https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf

 

And

 

NIST SP  800-115Technical Guide to  Information Security Testing  and Assessment

http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

 

Security Operations

Asset Management and asset inventory

https://www.sei.cmu.edu/productlines/frame_report/config.man.htm

 

 

Configuration Management

http://acqnotes.com/Attachments/IEEE%20Guide%20to%20Software%20Configuration%20Management.pdf

 

WhiteListing and Blacklisting
understand advantages and Disadvantages

 

Coverage of Sandboxing

http://en.wikipedia.org/wiki/Sandbox_%28computer_security%29

 

 

A bit more details on Patch Management

Technologies http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-40r3.pdf

Read chapter 3 of the document above about the challenge of Patch Management

 

Software Development Security

Integrated Product Team (IPT)

http://www.acq.osd.mil/se/docs/DoD-IPPD-Handbook-Aug98.pdf

 

DevOps and its principles

http://itrevolution.com/the-three-ways-principles-underpinning-devops/

http://theagileadmin.com/what-is-devops/

 

Software Assurance

http://en.wikipedia.org/wiki/Software_assurance

 

 

 


 

Clement and Nathalie
Site owners and Founders

UNITE a środowisko malware

Unified Network of Instructors and Trusted Eliminators | 27 April 2015

Pierwsze kody za płoty v2.0

25 August 2013

W trzecią rocznicę instalacji RazorCMS stwirdziłem, że czas nadszedł czas odświeżyć stronę i jej mechanizmy. Szczegółnie że od ponad 1 roku razorCMS został przepisany na nowo i teraz nie spełnia niestety moich oczekiwań ...

Sprawdziłem 25 "płaskich" CMS'ów. Brałem pod uwagę kilka elementów w tym wielkość i ilość comunity.

Przechodziłem przez SimpleCMS a zatrzymałem się na gpEasy CMS.

Na razie mam problem z uruchomienie SimplePie wbudowane w stronę dla wielu stron i łatwością modyfikowania uli.
Celem jest zbudowanie takiego czytnika dzięki któremu mogę obserwować wszystkie interesujące mnie wpisy. Niestety RazorCMS odpadł :(

Kategorie Free Thinking

Polityka zarządzania hasłami osobistymi LastPass

z Archiwum razorCMS | 25 December 2012

      Jestem aktywnym użytkownikiem internetu  mam konto na linkedin, goldenline, facebook, allegro, ebay.   Jako osoba świadoma zagrożeń, strony na których się logowałem pogrupowałem na 4 kategorie:

  1. kluczowe - finansowe i poczta
  2. średnio ważne - portale społecznościowe
  3. ważne - inne strony np sklepu
  4. pozostałe - pozostałe strony newslettery, etc

Dodatkowo  wprowadziłem politykę zarządzania tożsamością w tym unikalne maile dla każdej stron. Spamiętanie kilkuset adresów emai (aliasów) oraz haseł jest nietrywialne.

Ze względu na kategorię stosuje różne polityki haseł

  1. zmiana haseł co miesiąc, unikalność, długość od 15 do 25 znaków w 4 różnych typach 
  2. zmiana haseł co 6 miesięcy, unikalność długość od 8 do 15 znaki z 3 różnych typów
  3. hasła słownikowe z wariantami, długość od 6 do 10 znaków
  4. hasła pozostałe trywialne mieszczące się w schematach

Męczyłem się, tak do dziś :).  Mimo, że o "lastpass" usłyszałem jakiś czas temu w SecurityNow! podcast, to byłem głuchy. Dziś zacząłem zarządzać tożsamością w oparciu o to rozwiązanie i  uważam, że straciłem 6 miesięcy ! Dotychczas stosowane przeze mnie rozwiązanie miało jedną, ale dużą wadę, ograniczało mnie do 1 komputera (keepass). Oczywiście pewnym obejściem było przechowywanie bazy danych na dropbox w kontenerze truecrypt, ale "lastpass" pokonał go. Rozwiązanie jest bezpłatne chyba, że chce się skorzystać z klienta na platformy mobile, logowania do aplikacji desktop (np automatyzacja truecrypt). Ale 12$ na rok to jest niewielkie wyrzeczenie :). Ze względu na potencjalne zagrożenie i mitygacje ewentualnych problemów, do swojego kalendarza wpisałem czynność cykliczną z zadaniem importu bazy danych z chmury do "keepass" - backup lokalny.

Kategorie Free Thinking

Bezpieczeństwo urządzeń mobilnych

z Archiwum razorCMS | 25 October 2012

Czy przez Twój smartfon możesz spowodować, że stracisz pracę ? Czy Twój tablet ułatwi wykradzenie niezwykle ważnych danych firmowych? Take scenariusze, który jest poruszany podczas kursu interaktywnego na stronach departamentu obrony stanów zjednoczonych.

Kilkanaście minut kursu pomoże każdemu użytkownikowi urządzeń mobilnych uświadomić sobie jak chwila nieostrożności może go dużo kosztować. Słuchacz otrzyma garść informacji jak dużo zagrożeń czeka na niego, tylko z tego powodu, że jest użytkownikiem urządzenia mobilnego.

Wysłuchanie kursu pomoże w odpowiedni sposób zabezpieczyć urządzenie i nauczy czego nie wolno a co można robić (ale ostrożnie) ze swoim urządzeniem.

Szkoda, że kurs jest w języku angielskim. Mam nadzieje, że niedługo pracodawcy widząc, co się dzieje z BYOD (konsumeryzacją) wprowadzą podobne programy uświadamiające. Zarządy doskonale zdają sobie sprawę ile może kosztować wykradzenie danych firmowych. Ciekawym tematem, na który należałoby zwrócić uwagę to np. wirusy szyfrujące dane na dyskach, ale to temat na inny artykuł.

Kategorie Free Thinking

Analityk bezpieczeństwa sieci (Analysis CND)

z Archiwum razorCMS | 5 October 2012

W wielu przedsiębiorstwach zatrudniane są osoby, których zadaniem jest analiza sieci komputerowych, przepływów danych, oraz reakcja na zdarzenia niepożądane. Analitycy obrony sieci komputerowych (Analitycy OSK - Analysis CND) stosują różne narzędzia np.: Intruder Prevention System (IPS), Intruder Detection System (IDS), HoneyPot (HP). Narzędzia takie dostarczają danych. Informacje przekazywane przez te narzędzia dla osób niedoświadczonych są tylko bełkotem. Zadaniem osoby pełniącej funkcje analityka OSK jest nadawanie znaczenia dla zebranych danych przez IPS, IDS, HP. W szczególności musi wyciągać wnioski przez pryzmat:

  • Nastawienia organizacji i polityki bezpieczeństwa teleinformatycznego
  • Zmniejszania zagrożeń i ograniczania ich skutków
  • Rekomendowania zmian mających na celu poprawę bezpieczeństwa

       Aby osoba na tym stanowisku mogła realizować swoje obowiązki sprawnie musi: przechodzić szkolenia, posiadać szeroką wiedza oraz a może przede wszystkim mieć umiejętność wyciągania wniosków. Te elementy ważne są, gdyż w trakcie pełnienia obowiązków, musi ona nieprzerwanie zadawać sobie i odpowiadać na pytania:   

  • Czy jesteśmy pod atakiem, jeżeli tak to kto jest sprawcą ?
  • Czy jakiś system został skompromitowany ? Jeśli tak to jaki ?
  • Czy zostały wykradzione jakieś dane z zabezpieczanej sieci ?
  • Czy jakieś dane są "wynoszone" z użyciem sieci firmowej, a nie powinny być ?
  • Jaki jest koszt oceny, a jaki mogą być w konsekwencje wydarzeń dokonanych przez "szkodnika" ?
  • Jak można powstrzymać trwające zdarzenie naruszenia bezpieczeństwa ?
  • Jak można zapobiec kolejnym zdarzeniom naruszający bezpieczeństwo sieci ? 

Wymienione wyżej obawy są odzwierciedlenie w wyzwaniach czekających na analityka:

  • Analiza danych jest trudna i złożona
  • Powiązanie danych, źródeł i przejść jest nietrywialne
  • Czas na wyciąganie wniosków jest bardzo ograniczony (stresogenne środowisko)
  • Wnioski z analiz są dyskusyjne tj. zależą od doświadczenia i wiedzy

W szczególności wiedza osoby powinna obejmować zagadnienia z:

  • Bezpieczeństwa aplikacji
  • Kryptografii
  • Bezpieczeństwa sieci
  • Bezpieczeństwa stacji i serwerów
  • Protokołów sieciowych
  • Konfiguracji systemów operacyjnych
  • Przeszukiwanie i operowania na dużych ilościach danych (data mining)
Kategorie Free Thinking

Mamy Cię :)

z Archiwum razorCMS | 2 September 2012

Ciekawy przykład gdy ignorowanie zagrożeń i podatności może mieć nieciekawe wizerunkowe konsekwencje

Dokumentacja udanego ataku na forum zPanel:

http://www.reddit.com/r/netsec/comments/1ee0eg/zpanel_support_team_calls_forum_user_fucken/

Wyjście z twarzą:

http://forums.zpanelcp.com/showthread.php?27608-ZPanelCP-Server-has-bot-been-compromised

I konkluzja ku przestrodze:

1) hasła na każdym serwisie unikalne, długie oraz niesłownikowe !

2) wyłączone skrypty js np. noscript

Kategorie Free Thinking