Posts Tagged 'dart_feed'

Το OWASP.gr στο Athens Digital Week

Η Ελληνική Ομάδα Εργασίας του OWASP συμμετέχει και φέτος δυναμικά στο Athens Digital Week!

Ήδη έχουμε ανακοινώσει την ομιλία του Samy Kamkar, την ερχόμενη Πέμπτη, 7/10 στης 19:00.

Ο Samy φέρνει για το OWASP την παρουσίαση που έκανε στο φετινό DefCon με τίτλο “How I met your girlfriend”. Ο Samy Kamkar είναι ο άνθρωπος που πρώτος έδειξε με το πιο παραστατικό τρόπο τα προβλήματα ασφάλειας που εμφανίζουν τα site κοινωνικής δικτύωσης. Ένας ιός που ανέπτυξε μόλυνε το προφίλ εκατοντάδων χιλιάδων χρηστών του MySpace προσθέτοντας τον Samy στους φίλους τους και εμφανίζοντας το μήνυμα “Samy is my Hero!”. Έκτοτε ο Samy Kamkar ασχολείται με λιγότερο ύποπτες δραστηριότητες (π.χ. pwnat, phpwn, evercookie, κλπ) τις οποίες θα συζητήσει μας.

Μετά την παρουσίαση του Samy, γύρω στις 20:00, θα συζητήσουμε τις σύγχρονες απειλές σε mobile περιβάλλοντα με επαγγελματίες του χώρου.

Την επόμενη μέρα, Παρασκευή 8/10, στις 20:00 διεξάγεται μία εξίσου ενδιαφέρουσα συζήτηση με θέμα “Από το OpenGov στο SecGov: Η ασφάλεια των κρίσιμων πληροφοριακών συστημάτων της ηλεκτρονικής διακυβέρνησης”. Τη συζήτηση αυτή συντονίζει ο Δρ Βασίλης Βλάχος, μέλος της ομάδας συντονισμού του OWASP.gr και συμμετέχουν οι:

  • Κώστας Γκρίτσης, Senior Security Consultant, Microsoft Hellas
  • Κώστας Δρόγγος, OpenGov
  • Γιάννης Κοροβέσης, καθ. ΕΚΕΘΕ Δημόκριτος, ΕΛΛΑΚ
  • Κωνσταντίνος Παπαπαναγιώτου, συντονιστής του OWASP.gr

Τέλος, το Σάββατο, 9/10 στη 1 το μεσημέρι, ο Κωνσταντίνος Παπαπαναγιώτου, συντονιστής του OWASP.gr,  μαζί με το Μάνο Κελλίνη, ιδρυτικό μέλος του OWASP.gr, θα παρουσιάσουν ένα ενδιαφέρον workshop που απευθύνεται σε developpers αλλά και σε όποιον θέλει να γνωριστεί καλύτερα με το OWASP, τα εργαλεία και τις μεθοδολογίες που διαθέτει. Ο τίτλος του workshop είναι “Διασφαλίστε τις web εφαρμογές σας με εργαλεία open source από το OWASP” και θα παρουσιαστούν οι σημαντικότεροι κίνδυνοι και προβλήματα ασφάλειας των διαδικτυακών εφαρμογών σύμφωνα με το OWASP Top10 2010 ενώ στη συνέχεια θα προταθούν τρόποι αντιμετώπισής τους με εργαλεία και μεθοδολογίες του OWASP.

Όλα τα παραπάνω θα λάβουν χώρα στην αίθουσα Δ12 της Τεχνόπολις του Δήμου Αθηναίων στο Γκάζι.

Ελπίζουμε να σας δούμε όλους εκεί!

Το OWASP.gr στο AthCon

Η Ελλνική Ομάδα Εργασίας του OWASP συμμετέχει στο AthCon που θα πραγματοποιηθεί στις 3 Ιουνίου στο Jockey’s Country Club στην Κηφισια.

Ειδικότερα, ο Κωνσταντίνος Παπαπαναγιώτου, συντονιστής της Ελληνικής Ομάδας Εργασίας, θα παρουσιάσει το OWASP Top 10 2010 καθώς και τους τρόπους αξιοποίησής του, σε συνδυασμό με άλλα ενδιαφέροντα έργα του OWASP, για την υιοθέτηση ενός Ασφαλούς Κύκλου Ζωής Ανάπτυξης Λογισμικού.

Η συμμετοχή της Ελληνικής Ομάδας Εργασίας του OWASP στο AthCon δεν περιορίζεται όμως σε μια παρουσίαση, καθώς μέλη μας συγκρότησαν την Επιτροπή του συνεδρίου που έκρινε τα papers τα οποία θα παρουσιαστούν.Με την ευκαιρία αυτή θα θέλαμε να ευχαριστήσουμε θερμά τα μέλη μας, τα οποία βοήθησαν σημαντικά στη δύσκολη διαδικασία επιλογής των papers.

Continue reading ‘Το OWASP.gr στο AthCon’

Το OWASP.gr στο Συνέδριο ΕΛΛΑΚ 2010

Η Ελληνική Ομάδα Εργασίας του OWASP συμμετέχει στο Συνέδριο ΕΛΛΑΚ 2010: Επειχηρηματικότητα, Δημόσιος Τομέας Εκπαίδευση και Έρευνα που θα πραγματοποιηθεί στις 14 και 15 Μαΐου στην Αίθουσα Τελετών του Εθνικού Μετσόβειου Πολυτεχνείου στη Πολυτεχνειούπολη Ζωγράφου.

Συγκεκριμένα, ο Κωνσταντίνος Παπαπαναγιώτου, συντονιστής της Ελληνικής Ομάδας Εργασίας, θα παρουσιάσει για πρώτη φορά σε Ελληνικό έδαφος το νέο OWASP Top 10 2010, το Σάββατο 15 Μαΐου στις 14:30.

Η συμμετοχή στο συνέδριο είναι ελεύθερη (καλό είναι όμως να δηλώσετε συμμετοχή εδώ), ενώ το πρόγραμμά του παρουσιάζει ιδιαίτερο ενδιαφέρον. Ελπίζουμε να σας δούμε εκεί.

Κυκλοφόρησε το OWASP Top10 2010!

Δελτίο Τύπου

Από το 2003 ερευνητές και ειδικοί της ασφάλειας λογισμικού εφαρμογών από όλο τον κόσμο παρακολουθούν προσεκτικά μέσα από το Open Web Application Security Project (OWASP) την κατάσταση της ασφάλειας των διαδικτυακών εφαρμογών και δημοσιεύουν ένα κείμενο ευαισθητοποίησης που αποτελεί πλέον πρότυπο στο οποίο βασίζονται διεθνείς οργανισμοί όπως οι PCI, DOD, FTC, και πολλοί ακόμα.

Σήμερα, το OWASP δημοσιεύει μια ενημερωμένη έκθεση που αποτυπώνει τους δέκα σημαντικότερους κινδύνους που σχετίζονται με τη χρήση διαδικτυακών εφαρμογών σε έναν οργανισμό. Continue reading ‘Κυκλοφόρησε το OWASP Top10 2010!’

Πρόσκληση στο 0x375 0x02

Σας προωθούμε ανακοίνωση/πρόσκληση που λάβαμε για ένα πολύ ενδιαφέρον event στη Θεσσαλονίκη:

Kalispera se olous,

Tha thelame na sas proskalesoume sto 0x375 0x02 meeting pou tha
pragmatopiithei stin Politexniki sxoli tou Aristoteliou Panepistimiou
Thessalonikis to apogeyma tis epomenis Paraskevis 19/03/2010. H
akrivis ora kai aithousa tha anakinothi se epomeno mail mesa stin
epomeni evdomada. Sto 0x375 0x02 tha ginoun oi parakato parousiasis:

– Eisagwgi ektelesimou kwdika se diergasies – by fotisl
– Bypassing noexec restrictions: Python fairy tales pt.2 – by huku
– Eleytheri kouventa etc

Elpizoume na sas doume eki.

Plirofories gia to 0x375 0x01 mporeite na vrite edo:
https://www.grhack.net/news.aspx?i=208&v=14&x=8&l=187
Stin idia selida iparxoun kai sindesmoi gia na katevasete to iliko pou
parousiastike.

Tha thelame na sas enimerosoume oti perimenoume submissions apo esas
gia ta epomena meetings. An thelete na kanete mia parousiasi texnikou
periexomenou (oxi aparetitos sxetiko me security) stilte mas ena mail
sto info@grhack.net kai afiste ta ipolipa se emas! 🙂

Me ektimisi
The GR Hack staff

Ανταπάντηση των Hack 4 Fame

Το σήριαλ με τους Hack 4 Fame συνεχίζεται αμείωτο αφού πριν λίγες ώρες δημοσίευσαν απάντηση στο δελτίο τύπου της Τράπεζας Πειραιώς, δίνοντας παράλληλα νέο αρχείο με περισσότερα εμπιστευτικά δεδομένα που φαίνεται να προέρχονται από την Τράπεζα. Για μια ακόμα φορά η αρχική πηγή που δημοσιεύει για πρώτη φορά την απάντηση φαίνεται να είναι το troktiko.

Τα νέα στοιχεία που δίνουν είναι πιο εντυπωσιακά όσον αφορά το περιεχόμενο καθώς περιέχουν προσωπικά, απόρρητα τραπεζικά στοιχεία πελατών της Τράπεζας και τα οποία πλέον μπορεί κανείς σχετικά εύκολα να βρει και να κατεβάσει από το internet. Βέβαια ακόμα δεν είναι σαφής ο τρόπος με τον οποίο αποκτήθηκε πρόσβαση στα στοιχεία αυτά, ενισχύοντας την άποψη όσων θέλουν τα στοιχεία αυτά να προέρχονται από διαρροή και όχι παραβίαση.

Επιπλέον, με το κείμενο αλλά και τα αρχεία που δίνουν οι Hack 4 Fame, “απαντούν” στο δελτίο τύπου της Τράπεζας δίνοντας μεταξύ άλλων πιο πρόσφατα στοιχεία (του 2009). Ταυτόχρονα αναφέρονται και στις διωκτικές αρχές, τις οποίες και προτρέπουν να ασχοληθούν με τη συγκεκριμένη επίθεση, παρά με διώξεις “bloggers”, όπως χαρακτηριστικά γράφουν.

Όποιος και αν βρίσκεται από πίσω, είτε πρόκειται για παρβίαση είτε για διαρροή εκ των έσω, είτε είναι ερασιτέχνες είτε “ειδικοί” και όποιες και αν είναι οι υπόλοιπες λεπτομέρειες που δε γνωρίζουμε, το σίγουρο είναι ότι αρκετός κόσμος -επαγγελματίες της ασφάλειας και μη- πλέον ανησυχεί (ο καθένας για τους δικούς του λόγους) ενώ οι πλέον αρμόδιοι, δηλαδή οι επίσημες διωκτικές αρχές (βλ. ΣΔΗΕ) αποφεύγουν να λάβουν επίσημα θέση, εν αναμονεί ίσως και της πολυπόθητης στελέχωσης-αναβάθμισης του τμήματος.

Hack 4 Fame: Η επιστροφή

Τον περασμένο Σεπτέμβρη εμφανίστηκε για πρώτη φορά η ομάδα Hack 4 Fame, αρχικά διανέμοντας υλικό με προσωπικά δεδομένα και στη συνέχεια προχωρώντας και σε defacement.

Χθες η ομάδα αυτή ξαναχτύπησε, δημοσιεύοντας και πάλι ευαίσθητα δεδομένα που αυτή τη φορά αφορούσαν κυρίως φωτoγραφίες μοντέλων αλλά και υλικό από μεγάλη Ελληνική τράπεζα. Για μια ακόμα φορά οι τεχνικές λεπτομέρειες δεν είναι απόλυτα σαφείς και μάλιστα δεν είναι γνωστό το πού έγινε η πρώτη δημοσιοποίηση των στοιχείων καθώς όλες οι πηγές καταλήγουν στην ανακοίνωση και το screenshot που αναρτήθηκε στο troktiko. Όπως και στις προηγούμενες επιθέσεις, θα μπορούσε κανείς να πει ότι πρόκειται για δουλειά “εκ των έσω”. Βέβαια αυτό είναι κάτι που μπορεί να γνωρίζουν μόνο οι άνθρωποι της τράπεζας.

Μέχρι στιγμής η είδηση έχει διαδοθεί μόνο από τα διαδικτυακά μέσα, ενώ η τράπεζα δεν έχει προβεί σε επίσημη ανακοίνωση. Σίγουρα η επίθεση είναι αρκετά σημαντική, διαφορετικού όμως χαρακτήρα από π.χ. τις επιθέσεις XSS που είχαν δημοσιευθεί παλαιότερα.

Το σίγουρο είναι ότι με τον έναν ή τον άλλο τρόπο βγήκαν κάποια εμπιστευτικά δεδομένα προς τα έξω και ότι η συγκεκριμένη ομάδα μας κρατάει απασχολημένους σε τακτά χρονικά διαστήματα αφού προφανώς έχουν τουλάχιστον κάποιες “ειδικές γνώσεις”, αντίθετα με ότι πιστεύει η αστυνομία.