Díl 41. – Techniky a nástroje, kterými po Vás hackeři půjdou

V druhé části rozhovoru s Pavlem Luptákem z Hacktrophy jsem popustil uzdy fantazii a ptal se Pavla na věci, které mě zajímaly v souvislosti s bezpečností na internetu.

Zajímalo mě třebas, jestli se v praxi využívají útoky postranními kanály procesoru (MeltDown, Spectre, TL Bleed). Probírali jsme i možné zranitelnosti Intel ME koprocesoru. Dozvěděl jsem se, že řešením řady zranitelností by mohla být tzv. kompartmentalizace na úrovni HW i SW.

Continue reading Díl 41. – Techniky a nástroje, kterými po Vás hackeři půjdou

Díl 40. – Hacktrophy, bug bounty as a service

Po nějaké době se vracíme k bezpečnostní problematice a tentokrát jsme si pozvali jako hosta Pavla Luptáka ze společnosti Nethemba a Hacktrophy, člena skupiny Ztohoven. Pavel má 20 let zkušeností z oblasti hackingu, žije nomádským způsobem života a vůbec jsme moc rádi, že se nám jej podařilo před kameru dostat.

Společně se zakladatelem společnosti ESET a přáteli ze společnosti Citadelo založili před několika lety novou společnost Hacktrophy, která má za cíl zpřístupnit bug bounty programy i menším společnostem. Nabízí zprostředkování výzvy k etickému hackingu skupině hackerů, správného nastavení odměn, ověření nahlášených zranitelností a vyloučení false/positive hlášení a komunikaci mezi hackerem a zástupcem společnosti, která bug bounty program vypisuje.

Pozvánka:
Chceme vás pozvat na hradecké Pyvo. Pyvo je neformální setkání příznivců jazyka Python a technologií okolo něj. Sraz proběhne v lednu v Hradci Králové, místo a termín bude upřesněn na webu
Pyvo.cz. Zmíněný web sledujte i kvůli dalším akcím, Pyva budeme pořádat cca 1x za dva měsíce.

Kromě Pyva jsme v Hradci Králové 1. listopadu 2018 rozjeli první kurz programování v Pythonu pro začátečnice v rámci projektu PyLadies. Chcete-li projekt podpořit jako dobrovolní kouči, ozvěte se na email
brabcova.ivana@gmail.com.

Continue reading Díl 40. – Hacktrophy, bug bounty as a service

Akademie 4 – Základní techniky hackování – Roman Kümmel

Tento díl obsahuje praktické ukázky základních hackovacích technik jako je SQL injection, cross site scripting a nezabezpečený upload. Jedná se jen o ilustrativní výsek z desítek dalších zranitelností, které můžete na webu potkat.

Cílem bylo především ilustrovat, že útoky nejsou nikterak složité – tím spíš, že již existují automatizované nástroje, které všechno radikálně zrychlí a zdokonalí. Jednoduchost a nebezpečnost těchto útoků by měla nás, tvůrce webových aplikací, motivovat k tomu se v této oblasti vzdělávat a nenechávat vrátka pro hackery otevřená.

Continue reading Akademie 4 – Základní techniky hackování – Roman Kümmel