Blog

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry najdete řadu aplikací, od výuky programování až po mediální centrum a retro hraní. Z pohledu hackingu je klíčové, že na tento typ procesoru lze nainstalovat Kali linux a používat jej v terénu při penetračních testech Wi-Fi sítí nebo při testování uvnitř organizace jako dropbox. Hardware Raspberry Pi 3B je jednoduchá deska s jednočipovým 64bit ARM…

Číst dál

Modelování hrozeb ve vývoji

v květnu jsem na Black Swan Security Congresu 2018 prezentoval o tématu modelování hrozeb ve vývoji a rád bych se s vámi podělil o svoje zkušenosti. Prezentaci z konference najdete pod příspěvkem. Modelování hrozeb Modelování hrozeb, Threat Modeling, nebo také Threat Assessment, je týmová modelovací technika, která pomáhá vývojářům a architektům identifikovat hrozby ještě před tím, než začnou s implementací. Technika STRIDE V modelování se mi osvědčila technika STRIDE, která pracuje s šesti základními typy hrozeb a diagrami datových toků. Tuto…

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android Debug Bridge (ADB). Praktické příklady zkoušíme na emulovaném zařízení, a tak si na začátku ještě odskočíme k nástroji pro emulaci virtuálních zařízení. Emulátor Nemáme-li fyzické Android zařízení, použijeme emulátor a spustíme virtuální zařízení, které jsme si připravili pomocí správce – AVD. Spuštění emulátoru bez parametrů způsobí chybu. Emulátor si stěžuje, že jsme nespecifikovali jméno zařízení,…

Číst dál

Android hacking pro začátečníky – Android Studio

Vítám čtenáře seriálu o hackingu mobilních aplikací na platformě Android. V minulém díle jsme se věnovali architektuře, dnes se zaměříme na instalaci a konfiguraci Android Studia, seznámíme se s manažerem virtuálních zařízení a v telefonu aktivujeme volbu pro vývojáře. Android Studio Android Studio je vývojové prostředí pro programátory mobilních aplikací. Součástí této instalace je balíček platformových nástrojů Android SDK Platform-Tools, kde najdeme emulátor Androidu včetně nástroje pro komunikaci – Android Debug Bridge (ADB). Instalace Celá instalace Android Studia je dobře…

Číst dál

Android hacking pro začátečníky – architektura

Začínáme seriál o testování bezpečnosti mobilních aplikací na platformě Android a v tomto příspěvku se zaměříme na samotnou architekturu Androidu. Architektura Architekturu Androidu tvoří různé vrstvy podpůrných “hejbátek” a knihoven, které připravují půdu pro běh mobilních aplikací. Následující obrázek tyto vrstvy znázorňuje. Pojďme se blíže seznámit s každou vrstvou. Začneme odspodu linuxovým jádrem. Linuxové jádro Základním stavebním kamenem každého Androidu je linuxové jádro, které spolu s ovladači zařízení obsluhuje hardware telefonu. Linuxové jádro poskytuje elementární operace typu spusti aplikaci, čti/zapiš…

Číst dál

Hacking facebook účtu

Dnes se podíváme na nejčastější útoky, které hrozí vašemu Facebooku účtu. Protože většina uživatelů přistupuje k této službě z mobilního zařízení, zaměříme se na přístup k Facebooku (FB) z mobilu. Přístup z mobilu Mobilní verze Facebooku používá k přihlášení tokeny, aby uživatel nemusel pokaždé zadávat svoje heslo. Tyto tokeny mají platnost 60 dní s možností prodloužení své platnosti. To je zajímavé v případech, kdy má útočník fyzický přístup k vašemu mobilu a stačí mu spustit Facebooku “apku”. V tuto chvíli…

Číst dál

Technologie a bezpečnost 2018

Vítám čtenáře našeho blogu. V tomto příspěvku se zamýšlím nad rozvojem technologie a bezpečnosti v oblasti kryptoměn, umělé inteligence a ochraně dat. Kryptoměny a smart kontrakty Rozmach digitální měny Bitcoin vzbudil velký zájem o kryptoměny. Za poslední rok se hodnota 1 Bitcoinu vyhoupla na 19,000 USD. V době psaní tohoto příspěvku se drží pod hranicí 15.000 USD za Bitcoin. Bitcoin je decentralizovaná sít, která kryptograficky chrání integritu transakcí a zajišťuje anonymitu svým uživatelům. Z tohoto pohledu bude zajímavé sledovat, jak…

Číst dál

Dva úspěšné útoky 2017

Pokud jste IT administrátoři nebo podnikatelé, měli byste zbystřit a podívat se na dva úspěšné útoky roku 2017 – únik dat ze služby Uber a zvýšený výskyt ransomwaru. Úniky dat ve velkém V listopadu vyšlo najevo, že došlo k masivnímu úniku dat ve společnosti Uber.  Uniklo celkem 57 milionů uživatelských účtů spolu se jmény, emaily a telefonními čísly. Z toho 7 milionů patřilo řidičům. Vtipné je, že se incident stal v roce 2016 a Uber věřil, že vyplacením $100k odměny…

Číst dál

Brute force – útok na hesla hrubou silou

V dnešním příspěvku si vysvětlíme, co je to útok na heslo hrubou silou. Demonstraci útoku provedeme na starší verzi WordPressu s úmyslně slabým heslem do administrace. Tento článek má za cíl ukázat, že jednoduchá hesla jsou hřebíčkem do rakve každé aplikace. Upozorňujeme, že záměr článku je čistě edukační a tímto vás odrazujeme od podobných pokusů na systémech, které sami nevlastníte. Autentizace Každá aplikace, která řeší uživatele, musí ověřovat jejich identitu. Autentizace je akt ověření identity uživatele. Z pohledu útočníka je…

Číst dál

Testování vstupů webové aplikace – nástroje

V minulém příspěvku jsme prošli úvodem do testování vstupů webových aplikací. Dnes půjdeme o něco dál, protestujeme scénář přihlášení v aplikaci WABANK a najdeme chybu ve validaci vstupů pro konstrukci SQL dotazu. Testovací scénář Protestujeme jeden vstupní bod “username” v přihlášovacím formuláři do online bankovnictví. Použijeme k tomu webovou aplikaci WABANK, která je dostatečně naivní a děravá. Zranitelná aplikace WABANK je k dispozici zdarma. Příprava nástrojů Před testováním si připravíme arzenál nástrojů. Jako operační systém zvolíme Kali linux. Testovací web proxy K…

Číst dál

Blog

Kontakty

Kali linux na Raspberry Pi

V dnešním článku nainstalujeme Kali linux na Raspberry Pi3. Raspberry Pi  je jednočipový minipočítač s procesorem ARM, který strčíte do krabičky od mýdla. Pro Raspberry…

Číst dál

Modelování hrozeb ve vývoji

v květnu jsem na Black Swan Security Congresu 2018 prezentoval o tématu modelování hrozeb ve vývoji a rád bych se s vámi podělil o svoje zkušenosti….

Číst dál

Android hacking pro začátečníky – ADB

Vítám čtenáře, kteří sledují náš seriál o “hackování” Androidu. Minule jsme se prokousali přípravou prostředí, abychom se dnes mohli připojit k Androidu pomocí nástroje Android…

Číst dál

Kontakty

+420 739 639 132

Petr Juhaňák
V Poli 547
517 71 České Meziříčí

IČO 01259041