Facebook to nie tylko sieć społecznościowa, zdjęcia, notatki, wiadomości, filmy... ale również firma która udostępnia własne oprogramowanie open source, co jest często pomijane i mało kto zwraca na to uwagę. Facebook na swoim koncie ma wiele wypuszczonych aplikacji np. flvtool++, hiphop, phpsh, natomiast tym razem postanowił wesprzeć finansowo oraz sprzętowo społeczność OSU Open Source Lab, która rozwija system do zarządzania testowymi maszynami wirtualnymi - Supercell. Czytaj dalej
Styczniowe spotkanie OWASP, Kraków 2011 [live stream]
Kolejny raz mieliśmy możliwość nadawania na żywo spotkania OWASP, gdyby ktoś nie wiedział co go "ominęło" to mamy krótkie przypomnienie:
18:30 – 19:10 Zaawansowany data mining – Jakub Kałużny
19:15 – 20:00 OWASP ASVS – panel dyskusyjny – Wojciech Dworakowski
Ale nie ma co się martwić, bo wkrótce pojawi się do obejrzenia zmontowane video z całego spotkania ;-) Następnym razem postarajcie się być na miejscu ;-)
Przekierowanie wyjścia z uruchomionego procesu
Zapytał mnie kiedyś kolega fizyk, jak zmienić przekierowanie wyjścia z uruchomionego programu. Miał bowiem uruchomiony na swoim komputerze napisany przez siebie program obliczający dane do jakiejś symulacji, a wyniki swoich obliczeń wyświetlał na ekranie. Wówczas nie odpowiedziałem mu natychmiast, ale problem okazuje się dość prosty. Czytaj dalej
Komputer wygrywa z człowiekiem w teleturnieju Jeopardy
Nadeszły czasy kiedy komputery mogą mierzyć się z ludźmi nie tylko w dziedzinach matematyki, fizyki czy chemii, gdzie przede wszystkim decyduje szybkość wykonywanych obliczeń. Wyobraźmy sobie teleturniej gdzie jednym z zawodników jest komputer o "imieniu" Watson. Czytaj dalej
Styczniowe spotkania OWASP Polska (Kraków/Warszawa)
Nowy rok w ramach spotkań OWASP Polska powitamy już 20 stycznia w Krakowie. Tak jak poprzednio, spotkanie jest zorganizowane wspólnie z ISSA Polska.
Agenda spotkania:
18:15 - 18:25 OWASP News - Przemysław Skowron
18:30 - 19:10 Zaawansowany data mining - Jakub Kałużny
Jakub przedstawi temat parsowania stron WWW - po co parsować strony www, do czego przydają się takie dane z biznesowego punktu widzenia. Omówione zostaną metody parsowania stron, oraz sposoby obrony przed nimi. Przejdziemy od prostych crawlerów, którym przeciwstawia się losowością identyfikatora kolejnej strony aż do łamania CAPTCHA, czy analizy i reverse-engineering'u kodu JavaScript służącego do ładownia treści na stronę. Pojawi się wiele przykładów wykorzystujących wymienione techniki.
19:15 - 20:00 OWASP ASVS - panel dyskusyjny - Wojciech Dworakowski
Proponujemy dyskusję na temat OWASP ASVS (Application Security Verification Standard) (http://www.owasp.org/index.php/OWASP_Application_Security_Verification_Standard_%28ASVS%29). W części wstępnej Wojtek przedstawi krótko ASVS oraz podzieli się swoimi wrażeniami z wykorzystania ASVS przy prowadzeniu testów penetracyjnych/przeglądzie kodu. Wszystkich którzy mają choćby minimalne doświadczenie z ASVS zapraszamy do dyskusji na temat przyszłości tego standardu oraz zmian jakie można by do niego wprowadzić.
Gdzie i kiedy?
Spotykamy się 20 stycznia 2011 o godzinie 18:15 w Krakowie, na Wydziale Fizyki i Informatyki Stosowanej AGH, na ul. Reymonta 19, w budynku D-10 w sali A.
Kolejne spotkanie odbędzie się w Warszawie, 27 stycznia 2011 i będzie to pierwsze spotkanie w stolicy!
Agenda spotkania:
18:00 - 18:40 - OWASP - Bieżące sprawy i plan działania w Warszawie - Przemysław Skowron, OWASP Leader, Alior Bank
18:45 - 19:20 - Podatność Cross-Site Scripting - czy można ją ignorować? - Michał Kurek, Ernst &Young
19:25 - 20:00 - Phishing -Tomasz Sawiak, Safe Computing
Podatność Cross-Site Scripting - czy można ją ignorować? - Michał Kurek
Michał jest Menedżerem w Dziale Zarządzania Ryzykiem Informatycznym w Ernst & Young odpowiedzialnym za usługi związane z bezpieczeństwem systemów informatycznych. Specjalizuje się w bezpieczeństwie sieciowym oraz testach penetracyjnych - w szczególności w analizie bezpieczeństwa aplikacji internetowych.
Abstrakt
Podatność Cross-Site Scripting jest bardzo często ignorowana z uwagi na brak świadomości odnośnie rzeczywistych zagrożeń z jakimi się wiąże. Podczas prezentacji omówione zostaną zaawansowane techniki wykorzystania tej podatności prowadzące m.in. do przejęcia kontroli nad przeglądark użytkownika oraz wykorzystanie jej do dalszych ataków prowadzonych w sieci wewnętrznej organizacji. Prezentacja dostarczy wielu mocnych argumentów do dyskusji dotyczących krytyczności tej podatności.
Phishing - Tomasz Sawiak
Tomasz zarzdza Działem Analiz w firmie Safe Computing. Obecnie zajmuje się analizami incydentów i podatności systemów IT oraz projektowaniem mechanizmów monitorowania w systemach klasy SIEM (Security Information Event Managment).
Abstrakt
Temat phishingu przedstawiany jest często przez media w krzywym zwierciadle. Bez szczegółowej znajomości anatomii ataków i metod stosowanych przez sprawców niemożliwym jest podejmowanie adekwatnych działań zaradczych. Podczas prezentacji zostaną omówione najważniejsze scenariusze ataków phishingowych z wykorzystaniem złośliwego oprogramowania. Zostanie omówiona ewolucja ataków phishingowych i ich anatomia w ciągu ostatnich 5 lat w Polsce na przykładzie obserwowanych rodzin malwarów takich jak: boty IRC, Sinowal, Mebroot, Limbo, Nuklus, ZEUS etc. Omówienie scenariuszy phishngowych oraz rodzin malwarów dokonane zostanie w kontekście dostępnych metod autoryzacji transakcji. Prezentacja będzie dobrym punktem wyjścia do dalszej dyskusji na temat kierunków rozwojów mechanizmów autoryzacji transakcji, ich projektowania oraz sposobów monitorowania ataków phishingowych.
Gdzie i kiedy?
27 styczeń 2011, Ernst & Young Rondo ONZ 1, Warszawa, Sala: 14-40 (piętro 14) godz. 18:00-20:00. Wszyscy chętni, którzy chcą uczestniczyć w spotkaniu, proszeni są o wysłanie mailu potwierdzającego na adres: [email protected].
Zapraszamy serdecznie wszystkich zainteresowanych
Wszelkie informacje związane z Owasp Polska znajdziecie na stronie http://www.owasp.org/index.php/Poland
Światowy dzień "nowego" Internetu - World IPv6 Day
Internet powstał na przełomie lat 60-70 ubiegłego wieku, w tym okresie nikt raczej nie zakładał tak dużego i szybkiego rozrostu sieci, a na pewno nikt nie przewidział sytuacji, że za kilkadziesiąt lat w każdym domu będzie kilka urządzeń podłączonych do globalnej sieci. Czytaj dalej
1.3 mln haseł z serwisów Gizmodo, Lifehacker, Gawker wyciekło do sieci
Do sieci dostała się baza danych użytkowników po włamaniu na serwery grupy Gawker.com, w której skład wchodzą takie serwisy jak Lifehacker.com, Gizmodo.com, Deadspin.com, Kotaku.com, Jezebel.com, io9.com, Jalopnik.com. Baza danych liczy ~1.3 mln użytkowników. Jeśli byłeś zarejestrowany chociaż w jednym z powyższych zalecamy natychmiastową zmianę hasła pomijając to czy używałeś tego samego hasła jeszcze w innych serwisach.
Chcesz zostać programistą? Wybierz język na czasie
Język programowania to nie tylko składnia, funkcje, środowisko IDE, ale również filozofia. Nie każdy język programowania nadaje się do wszystkiego, nawet jeśli daję Ci jakąś możliwość, nie zawsze jej wykorzystanie ma sens. Nie ma języków gorszych i lepszych, języki programowania mogą być po prostu bardziej pożądane w pewnych dziedzinach, środowiskach lub okresie albo mniej... A który język jest teraz na czasie? kogo potrzebują firmy? Czytaj dalej
Przyrostowe backupy z dump(8) i LVM
Dump(8) to jedno z najstarszych, niesłusznie niedocenianych wśród linuksiarzy narzędzi do tworzenia kopii zapasowych. Po raz pierwszy pojawiło się w wersji 6 AT&T Unix (1975!) i oryginalnie przeznaczone jest do pracy z taśmami magnetycznymi. Czytaj dalej
Czyżby nadchodził koniec ery md5?
Czy da się wygenerować 28 miliardów hashy md5 w ciągu jednej sekundy na domowym komputerze? Brzmi trochę jak science fiction, ale każdy może już to zrobić we własnym domu, co udowodnił Marc Bevand. Czytaj dalej