Kategorier
Metodik

Kali Linux 1.1.0

Kali Linux 1.1.0 har ännu inte släpps men innehåller en mängd nya verktyg och uppgraderingar, några kan du hitta här: Uppgradering av oclHashcat till v. 1.20 Uppgradering av Wapiti Uppgraderat golismero till 2.0 (beta X) Fix i WPScan så att –update körs Uppgraderat theHarvester till version 2.5 Hashcat fungerar igen Sleuth Kit 4.0.2 Keyboard layout […]

Kategorier
Okategoriserade

Norska säkerhetstjänsten NSM släpper utmaningar

Den norska säkerhetstjänsten NSM har släppt ett antal utmaningar för den som gillar IT-säkerhet. Den första utmaningen lyder enligt följande: sha256(’lett som en plett’). Faktum är även att bilden som du ser till höger också är en del i utmaningen. Kanske det är så att den innehåller meta-data eller steganografi? Så om du vill slipa […]

Kategorier
Linux

Svenskt tangentbord i Kali Linux

Ett problem som många stöter på är att byta till Svenskt tangentbord i Kali Linux. Det lättaste sättet är att använda sig av boot-parametrar. När boot-menyn dyker upp precis vid uppstart så trycker du på tabb-tangenten och lägger sedan till keyboard-layouts=se på slutet. Här är en skärmdump på hur det kan se ut: Om du […]

Kategorier
Okategoriserade

God Jul

God jul och gott nytt år önskar vi på penetrationstest

Kategorier
Metodik

IT-säkerhetsgranskning av kryptografiska produkter

Vid granskning av kryptografiska produkter finns det mycket att tänka på. Flertalet av testerna som bör utföras involverar avancerade tester och som ofta kräver specialskriven kod. Tester såsom följande bör genomföras: Nedgraderingsattack Man i mitten (mitm) Forceringar av olika slag Kontroll av klartextläckage Fingerprinting Debuginformation som finnes kvar Minne som ej rensas Fuzzingtester Tredjepartsbibliotek med […]

Kategorier
Metodik

Därför bör du inte beställa ett penetrationstest

IDG/TechWorld publicerade nyligen en artikel med titlen ”Därför bör du inte beställa ett penetrationstest”. Författaren går igenom skillnaden mellan en sårbarhetsskanning, penetrationstest samt säkerhetgranskning och listar några vanligt förekommande fel såsom: Ett exempel är ett fall där en utförare genomförde en sårbarhetsskanning av ett nytt system med hjälp av ett automatiserat sårbarhetsskanningsverktyg, som inte lyckades identifiera […]

Kategorier
WiFi

Nya attacker mot WiFi-nät

Som många vet så fungerar ej KARMA så bra nu för tiden så få enheter automatiskt ansluter till trådlösa nätverk. Detta är något som två säkerhetsforskare vid SensePost fann och utvecklade sitt egna verktyg: MANA. MANA är således en vidareutveckling på KARMA som gör följande: Svarar på broadcast-probes Lyckas få iOS-enheter att proba gömda nätverk […]

Kategorier
Metodik

Granskning av webbläsaren för Tor

Det amerikanska IT-säkerhetsföretaget iSEC Partners har fått i uppdrag att genomföra ett penetrationstest av webbläsaren för Tor. Det som kallas för Tor Browser Bundle och uppdraget är beställt av Open Technology Fund (OTF). iSEC  tittare närmare på inställningar som återfinnes under about:config samt kompilatorinställningar för de olika plattformarna som Tor Browser Bundle (TBB) levereras för. […]

Kategorier
Linux

Kali Linux 1.0.8 släppt

Linuxdistributionen Kali Linux (tidigare BackTrack)  finns nu ute i version 1.0.8. Kali används framförallt vid penetrationstester eller forensiska utredningar. Det som är framförallt noterbart i denna nya version är stöd för EFI Boot vilket gäller Apple Macbooks Air och Retina-modeller. Övrigt har verktyg uppdaterats och buggar har fixats. Nya versioner finnes på mjukvaror såsom: Responder Automater  Recon-ng […]

Kategorier
Metodik

IT-säkerhetsgranskning av Flash-filer (SWF)

Vid ett penetrationstest av en webbsida eller webbtjänst så bör samtliga filer genomgå en granskning. Oavsett om det är JavaScript, CSS, PHP eller andra filer som förekommer. En av de vanligare filformat som just innehåller säkerhetsbrister är Shockwave Flash, dvs .swf-filer. Och förutom säkerhetsbrister så kan även dessa swf-filer avslöja annan intressant information såsom kommunikation […]