Analiza bezpieczeństwa połączeń HTTPS poszczególnych serwisów bankowości elektronicznych na dzień 21 czerwca 2015

Opublikowany: 24-06-2015 21:11 przez Krystian

Na wstępie chciałbym zaznaczyć, że sam pomysł przetestowania bezpieczeństwa połączeń HTTPS banków nie jest do końca mój. Kilka miesięcy temu natknąłem się na wpis Yeri "Tuinslak" Tiete, który przetestował pod tym kątem Belgijskie banki, które po jego publikacjach posypały głowy popiołem i poprawiły wytknięte przez niego braki. Pierwszy post Tuinslaka znajdziecie pod tym adresem. Oczywiście od razu pomyślałem nad podobną analizą, ale dotyczącą rzecz jasna rodzimych banków oferujących bankowość elektroniczną dla klientów indywidualnych.

 

Założenia analizy

 

Zacznijmy od przedstawienia kilku faktów/założeń związanych z przeprowadzoną przeze mnie analizą:

 

- ponieważ nie jestem ekspertem od bankowości postanowiłem zdać się na raport "Największe banki w Polsce – zestawienie" opublikowany przez stefczykradzi.pl zamiast samodzielne typować listę banków.

Czytaj dalej...

Prelekcja na Bydgoszcz Web Development Meetup #13

Opublikowany: 19-05-2015 23:23 przez Krystian

Jak już w jednym z wcześniejszych newsów wspominałem, postanowiłem zrobić sobie na pewien czas przerwę od prowadzenia prelekcji na różnych spotkaniach IT. Zdecydowanie nie przepadam za notorycznym mówieniem na ten sam temat i objeżdżaniu z tą samą, jedną prezentacją kilku różnych spotkań w różnych miastach Polski. Z drugiej strony wymyślanie i przygotowywanie nowego wystąpienia jest rzeczą dość pracochłonną - zajmuje to w moim przypadku od 3 do 10 wieczorów w zależności od tematu. Dlatego mała przerwa dobrze mi zrobi (-:

 

Postanowiłem na jakiś czas skupić się na zdobywaniu wiedzy, a nie na jej rozpowszechnianiu.

Czytaj dalej...

Wskrzeszenie Legowiska

Opublikowany: 25-04-2015 21:47 przez Krystian

Po kilku długich miesiącach przerwy moja strona domowa wraca do świata żywych, albo jak kto woli do świata "up & running". Jeśli ktoś się zastanawia czemu zdecydowałem się czasowo wyłączyć stronę domową, to przyczyna była prozaiczna z mojego punktu widzenia. Można ją skrócić w sumie do jednego sformułowania: względy bezpieczeństwa.

 

Wróćmy jednak do początków. Mianowicie, poprzednia wersja strony została przeze mnie napisana jeszcze w pierwszej połowie 2011 w 100% w czystym php.

Czytaj dalej...

Prelekcje na AKAI Security i PTaQ XX

Opublikowany: 17-02-2015 19:23 przez Krystian

Początek nowego roku to dwie nowe prezentacje i dwa wystąpienia, na których je przedstawiałem. Otrzymałem propozycję wystąpienia pod koniec stycznia na spotkaniu Poznańskiego Akademickiego Koła Aplikacji Internetowych (AKAI), którego "Camp" oznaczony numerem 6 w całości poświęcony był tematyce bezpieczeństwa. Na tę okazję przygotowałem krótką prezentację (wraz z live demem) pod tytułem "Reflected File Download – nowy kierunek ataków".

 

Jeśli nie słyszeliście o Reflected File Download to w telegraficznym skrócie - jest to błąd leżący częściowo po stronie przeglądarki, a częściowo po stronie aplikacji webowej, którego skutkiem może być wykonanie po stronie ofiary złośliwego skryptu w systemie operacyjnym. Wina przeglądarek leży w tym iż pozwalają atakującemu na wprowadzenie i kontrolowanie (poprzez url) nazwy pliku, który pojawi się w przeglądarce użytkownika ("file").

Czytaj dalej...

Prelekcje na {meet.php} # 14

Opublikowany: 03-12-2014 16:47 przez Krystian

Pewne rzeczy potrafią człowieka zaskoczyć. Minęło nieco ponad pół roku, a na koncie mam już sześć publicznych wystąpień na różnych eventach. Statystyki podbiło mi zdecydowanie listopadowe spotkanie meet.php, na którym miałem dwie prezentacje, co samo w sobie było pewną nowością, ponieważ nie wiedziałem jak zachowa się moje gardło zmuszone do dwa razy większego wysiłku. Jak miało się później okazać nie miałem większych problemów z głosem.

Czytaj dalej...

Wrażenia z Secure 2014

Opublikowany: 30-10-2014 23:47 przez Krystian

Po owocnej pod względem zdobytej wiedzy i nawiązanych znajomości wizycie w Krakowie na Confidence 2014 postanowiłem wybrać się do Warszawy do Centrum Nauki Kopernik na konferencję SECURE organizowaną przez NASK i CERT.pl. Ponieważ przy okazji rzeczonej konferencji odbywały się różne warsztaty przygotowane przez NASK/CERT postanowiłem zabawić w stolicy jeden dzień więcej i wziąć udział w warsztatach pod tytułem "Przydomowe laboratorium analizy malware'u". Analizowanie złośliwego kodu od dawna wydawało mi się interesującym tematem, na który wcześniej brakowało mi czasu, a takie małe warsztaty pozwoliłyby mi dobrze wystartować bez robienia sobie krzywdy (-:

Wróćmy jednak do samej konferencji. Trwała ona dwa dni, każdy dzień zaś podzielony był na przedpołudniową sesję gdzie odbywały się pojedyncze prelekcje oraz na popołudniową sesję, podczas której prelekcje odbywały się równolegle (trzy w jednym czasie).

Czytaj dalej...

Prelekcja na {meet.php} # 13 i zmiana pracy

Opublikowany: 27-07-2014 20:37 przez Krystian

Po wcześniejszych wojażach na PTaQ, ŁódQA i OWASP Kraków gdzie opowiadałem o BDD-Security postanowiłem zabrać się za kolejny temat z dziedziny bezpieczeństwa. Po dokonaniu małego przeglądu posiadanej wiedzy uznałem, że warto wykorzystać moje całkiem pokaźne doświadczenie z php'owym frameworkiem Symfony2 i opowiedzieć o jego bezpieczeństwie oraz o bezpieczeństwie potencjalnych projektów na tym frameworku skonstruowanym. Aby cała prelekcja nabrała spójności i logiki uznałem, że warto odnieść się do znanego większości programistów rankingu OWASP Top10 i po kolei omówić jak dane zagrożenia z tegoż rankingu blokowane/ograniczane są (lub też nie są) przez mechanizmy frameworka Symfony2.

 

Świetną okazją do przedstawienia tej prezentacji było trzynaste już spotkanie poznańskich programistów PHP, zwane "meet.php". Trudno mi oceniać własne wystąpienie, ale z mojej perspektywy było ono równie udane co prezentacja na marcowym PTaQ.

Czytaj dalej...

Confidence, OWASP i Testing Cup

Opublikowany: 16-06-2014 23:05 przez Krystian

Druga połowa wiosny to zdecydowanie dobra pora na odwiedzanie wszelakich konferencji. Zwłaszcza jeśli odbywają się one z dala od stałego miejsca pracy, po za weekendem i można się na nie wybrać w ramach zdobywania wiedzy (tj. bez straty urlopu).


Na niedomiar konferencji nie możemy narzekać. W zasadzie co tydzień coś ciekawego ma miejsce w naszym kraju (a jeszcze te wszystkie soczyste konferencje w Europie i w USA!).

Czytaj dalej...

Prelekcje na PTaQ i ŁódQA - BDD-Security

Opublikowany: 20-04-2014 16:20 przez Krystian

Do tej pory nie miałem okazji prowadzić publicznych prezentacji dla większych grup słuchaczy, za wyjątkiem rzecz jasna prezentacji wewnątrz-firmowych (np. na temat "Ataków Socjotechnicznych"). Nie brakowało mi rzecz jasna chęci, ale głównie czasu, a przede wszystkim dobrego tematu. W końcu celem prelekcji powinno być przedstawienie czegoś ciekawego, podzielenie się wiedzą, lub interesującym pomysłem.

Czytaj dalej...

Recenzja: Gary Donahue - Wojownik sieci

Opublikowany: 31-12-2013 15:55 przez Krystian

W ostatnim tegorocznym wpisie chciałem przedstawić jedną z ciekawszych książek jaką dane mi było przeczytać w tym roku. Akurat poprzedni news poruszył Cisco'owe klimaty, więc tym łatwiej będzie mi naskrobać kilka akapitów.


Każdy kto zagłębił się chociaż odrobinę w świat Cisco dostrzegł pewien problem związany z literaturą z tej dziedziny sieci komputerowych. Większość pozycji wydawanych przez Cisco Press to podręczniki dla osób przygotowujących się do konkretnego egzaminu. Konsekwencją tego trendu jest potrzeba poświęcenia ogromnej ilości czasu i pieniędzy w przypadku kiedy chce się zdobyć wiedzę dotyczącą różnorodnych technologii Cisco oraz zyskać szersze spojrzenie na sieci komputerowe.


Oczywiście na rynku jest kilka wartościowych pozycji w kategorii "cegły dotyczące sieci komputerowych" ich problemem jest niestety omawianie wszystkiego od podstaw (czytanie po raz setny o tym jak działa TCP/IP może wywołać nudności) oraz oderwanie od implementacji (omawianie jak działa routing, ale bez przykładów jak go skonfigurować).

Czytaj dalej...