OWASP AppSec Research 2012 στην Αθήνα.

Στις 10-13 Ιουλίου στο Τμήμα Πληροφορικής και Τηλεπικοινωνιών του Πανεπιστημίου Αθηνών (Πανεπιστημιόπολη Ζωγράφου) θα πραγματοποιηθεί το OWASP AppSec Research 2012, πρόκειται για ένα 3ήμερο συνέδριο αφιερωμένο στην Ψηφιακή Ασφάλεια! Για τον OWASP για όσους δεν γνωρίζουν είχα γράψει και παλαιότερα.

Στα του συνεδρίου τώρα διαβάζω για ένα σημαντικό lineup, training sessions και άλλα ωραία.

Continue reading “OWASP AppSec Research 2012 στην Αθήνα.”

Defacement στο site της Προεδρίας της Δημοκρατίας!

Κατά της 18:00 σήμερα το απόγευμα είδα ένα tweet από το account των ελλήνων anonymous (@AnonLegionGR) στο οποίο αναφερόταν πως το site της Προεδρίας της Ελληνικής Δημοκρατίας δέχθηκε επίθεση “defacement” (τροποποίηση της σελίδας). Στην σελίδα εμφανιζόταν ένα κείμενο υποστήριξης στους “Αγανακτισμένους” και ένα video (cc παρακάτω) με παραπομπή στις πλατείες και τις κινητοποιήσεις του κόσμου! Στο τέλος υπήρχε υπογραφή “irestis”.

Τράβηξα το παραπάνω screen της σελίδας- δεν είναι εμφανές το κείμενο καθώς ήταν σε διαφορετική κωδικοποίηση χαρακτήρων και δεν αναγνωρίστηκε αυτόματα από το browser μου (utf-8 default).

Continue reading “Defacement στο site της Προεδρίας της Δημοκρατίας!”

Dislike στο Facebook;

Όχι το Facebook δεν έχει κυκλοφορήσει κάποιο dislike feature ακόμη ή μάλλον δεν προτίθεται να το κάνει το επόμενο διάστημα! Αν δείτε λοιπόν κάποια “εφαρμογή”/invite να σας προτείνει την εγκατάσταση αυτού του χαρακτηριστικού αποφύγετε το διότι πρόκειται για απάτη που θα σας βάλει σε μπελάδες!

Continue reading “Dislike στο Facebook;”

Security training day by OWASP Greece

Την Τετάρτη 25 Μαΐου στο Αμφιθέατρο της Γενικής Γραμματείας Πληροφοριακών Συστημάτων θα πραγματοποιηθεί ένα Security Training Session από το ελληνικό τμήμα του OWASP. Στο session θα πραγματοποιηθούν παρουσιάσεις project που πραγματεύεται ο οργανισμός πάνω σε θέματα application security και παράλληλα θα ακολουθήσει ανταλλαγή απόψεων με τους παριστάμενους και καλεσμένους που θα παρουσιάσουν σχετικά για την θεματική από το εξωτερικό.

Θα ακολουθήσει workshop πάνω σε ορθές πρακτικές και εργαλεία για την ανάπτυξη λογισμικού. Το ζήτημα είναι σίγουρα σημαντικό και για την εγχώρια σκηνή αφού παρατηρείται έλλειμμα γύρω από την κατανόηση των θεμάτων ασφαλείας από επιχειρήσεις και οργανισμούς!

Continue reading “Security training day by OWASP Greece”

Παρουσίαση OWASP στο Athens Digital Week 2010!

Στην ενότητα Open Source του Athens Digital Week είχα την ευκαιρία να παρακολουθήσω την ομιλία του Κωσταντίνου Παπαπαναγιώτου σχετικά με τον OWASP, και την ετήσια έκθεση που κάνει αναφορικά με τους 10 σημαντικότερους κινδύνους στην ασφάλεια των web εφαρμογών. Ο OWASP (Open Web Application Security Project) είναι μια μη κερδοσκοπική παγκόσμια οργάνωση που στόχο έχει την ενημέρωση και αφύπνιση των χρηστών για τους κινδύνους σχετικά με την ασφάλεια των διαδικτυακών εφαρμογών.

Η ομιλία του Κώστα ήταν αρκετά ενδιαφέρουσα! Έκανε αναφορά σε κάθε ένα από τους κινδύνους όπως καταγράφονται στην λίστα του OWASP αλλά και επίδειξη live του τρόπου που γίνεται ένα SQL injection με αποτέλεσμα ένας  χρήστης να έχει πρόσβαση σε μη εξουσιοδοτημένα δεδομένα, μεταξύ άλλων. Παρακάτω επισυνάπτω την παρουσίαση από την ομιλία του που μας παραχώρησε προς δημοσίευση.

Continue reading “Παρουσίαση OWASP στο Athens Digital Week 2010!”

Security: Admin, Watch out Code injections!

Το τελευταίο διάστημα εξελίσσονται αρκετές επιθέσεις σε πλατφόρμες WordPress & Joomla (πιθανότατα και σε άλλες) σε διαφορετικούς hosting providers με την χρήση code injections στην index.php του theme που κάνουν χρήση οι εγκαταστάσεις κάνοντας έτσι redirect τις σελίδες σε malware pages που περιέχουν είτε worms είτε άλλα εκτελέσιμα αρχεία που μπορούν να βλάψουν τα pc σας. Οι πηγές των επιθέσεων είναι μεταξύ άλλων 2 διαδικτυακοί τόποι που είναι σε όλες τις μαύρες λίστες! Πρόκειται για τις zennullvoid & acertiz. Οπότε εξαιρετική προσοχή αν δείτε να φορτώνει κάποιο διαφορετικό url στο footer του browser σας!

Στις περισσότερες των περιπτώσεων τα crawlers του google βρίσκουν την πηγή του προβλήματος κοκκινίζοντας του δικτυακούς τόπους αυτούς στέλνοντας παράλληλα μήνυμα στους admins των sites με τις σχετικές οδηγίες. Καλό θα ήταν να προσέχετε μερικά πράγματα στα accounts σας για να μην μείνετε προ εκπλήξεως και να θυμάστε πως τα attacks και τα defacing μπορεί να συμβούν και στις καλύτερες οικογένειες!

Μερικές συμβουλές στο πόδι…

Continue reading “Security: Admin, Watch out Code injections!”

Νεα απειλη στο Facebook.

Νέα διαδικτυακή απειλή τύπου Worm έπληξε τις τελευταίες μέρες τα κοινωνικά δίκτυα κυρίως το Facebook κ το Τwitter! Το σκουλήκι post-άρει ένα επικίνδυνο update στο news feed και το wall του χρήστη προκαλώντας τον να κάνει click στους συνδέσμους που επισυνάπτονται και που στο τέλος μολύνουν το “μηχάνημα” του χρήστη.

Η απειλή δεν φαίνεται να έχει βρει ακόμα το Ελληνικό δίκτυο αλλά σίγουρα δεν είναι και δύσκολο να εξαπλωθεί με παραλλαγές των λεκτικών που χρησιμοποιούνται!

Μεγαλύτερο δίκτυο, περισσότερος χώρος για spam, malware & hunters εκεί έξω!

(via, photo)

Conficker Worm, Σημαντικη Απειλη!

Μεγάλη ανησυχία έχει προκαλέσει στην κοινότητα το “σκουλήκι” (worm) με την ονομασία Conficker (γνωστό επίσης με τα ονόματα Downup, Downadup & Kido) το οποίο θεωρείται από Security Firms μια σημαντική απειλή για την ασφάλεια του παγκόσμιο ιστού! Συγκεκριμένα η Microsoft έχει εκτενή αναφορά (09/04 τελευταίο update) στην απειλή, στα μέτρα αντιμετώπισης καθώς και τελευταία updates σχετικά με τις “κινήσεις” του σκουληκιού.

Ο Conficker έκανε την εμφάνιση του τον περασμένο Οκτώβριο και εξαπλώθηκε μέσα από πολλαπλές εκδόσεις του λειτουργικού Windows (Single + Server editions). Το σκουλήκι είναι “τεχνολογικά” εξελιγμένο, αν μου επιτρέπεται η χρήση της λέξης, καθώς δεν είναι εύκολος ο εντοπισμός και η ανάλυση της δράσης του αφού όπως διαβάζω χρησιμοποιεί τελευταίες τεχνικές malware! Σύμφωνα με reports έχει προσβάλει μέχρι στιγμής αρκετά εκατομμύρια υπολογιστών μεταξύ των οποίων στρατιωτικής σημασίας δίκτυα ανά τον κόσμο!

Continue reading “Conficker Worm, Σημαντικη Απειλη!”

ΕΕΤΤ: Προσοχη στις “Δωρεαν” Διεθνεις κλησεις!

Σε ανακοίνωση της η Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ), καλεί τους καταναλωτές να είναι ιδιαίτερα προσεχτικοί αναφορικά με τις κλήσεις που πραγματοποιούν σε αριθμούς τηλεφώνων πέραν της επικράτειας! Το τελευταίο διάστημα όπως αναφέρεται, έχουν πραγματοποιηθεί καταγγελίες σχετικά με υπερχρεωμένους λογαριασμούς από κλήσεις σε χώρες του εξωτερικού οι οποίες όμως θεωρούνταν ως “δωρεάν” από πλευράς καταναλωτών, σύμφωνα πάντα με τις διαφημίσεις στα πακέτα των εναλλακτικών παρόχων!

Continue reading “ΕΕΤΤ: Προσοχη στις “Δωρεαν” Διεθνεις κλησεις!”

Μεγαλης κλιμακας Dos Attack στο Mininova!

Σύμφωνα με το Torrent Freak, ο γνωστός tracker Mininova δέχεται τις τελευταίες μέρες συστηματικές επιθέσεις “Denial of  Service” με αποτέλεσμα να είναι μη διαθέσιμος σε διαστήματα της μέρας είτε να είναι ιδιαίτερα αργή η ανταπόκριση του στα requests των χρηστών! Οι υπεύθυνοι του Mininova δηλώνουν πως δεν έχουν ξαναδεί αντίστοιχης κλίμακας επίθεση  στην υπηρεσία!

Continue reading “Μεγαλης κλιμακας Dos Attack στο Mininova!”