I detta blogginlägg tänkte jag presentera flera alternativ för att skapa Linux-kiosk-system. Kiosk-system exponerar en begränsad användarmiljö på ett system, det vill säga funktionaliteten en användare har tillgång till skall kunna räknas upp och verifieras vara tillåten för systemets användningsområde. Ett exempel skulle kunna vara en biljett-kiosk tänkas endast ge användarna tillgång till en webbläsare […]
En vanlig uppfattning angående molntjänster är att leverantören säkerställer säkerheten så länge man använder default-inställningar i sin molninstans, så det kan väl inte finnas någon anledning att göra ett penetrationstest mot sin Azure AD-instans. Visst stämmer det väl att leverantören har bra koll på själva hårdvaran och en del grundläggande funktioner, men felkonfigurationer och osäkra […]
Denna vecka tänkte vi att det är dags att kika närmare på OWASP Top 10 2021, som publicerades nyligen. Vad är nytt, vad är gammalt, vad har hänt – och varför? OWASP Top 10 är en samling av de 10 mest vanligt förekommande sårbarheterna (eller sårbarhetskategorierna) i webbapplikationer. Det är egentligen utformat som en typ […]
Om man använder RSA SecurID-dosor som MFA-lösning samt Logpoint som central logglösning kanske man som jag kan notera att Logpoints plugin för RSA SecurID inte tolkar loggarna riktigt rätt. Allmänt kan det ju bli såna problem exempelvis om leverantörens plugin är byggd för en annan version av den applikation som loggas och att formatet på […]
iPhone har länge legat i framkant vad gäller säkerhet och integritet, med delade känslor för många IT-forensiker som hittills i princip omedelbart fått ge upp när en låst iPhone av nyare modell än 4S hamnar på bordet utan att användaren frivilligt lämnat ifrån sig koden. För någon månad sedan släppte Cellebrite dock sin implementation av […]
Något tragikomiskt, har programmet sudo (som används för att höja privilegier på linux) en bufferowerflow sårbarhet som ger möjlighet för en angripare att höja sina privilegier. https://www.sudo.ws/alerts/pwfeedback.html NIST har en ny draft på gång för att detektera och hantera ransomware och andra destruktiva händelser https://www.nccoe.nist.gov/sites/default/files/library/sp1800/di-detect-respond-nist-sp1800-26-draft.pdf Kaspersky har analyserat något som de kallar är det första […]
Tidigare har vi skrivit om BashBunny, men ungefär samtidigt som kaninen släpptes publicerades också den första versionen av P4wnP1, en USB-baserad attack-plattform. P4wnP1 kan installeras på en Raspberry Pi Zero och Zero W. P4wnP1 är särskilt användbar med den trådlösa varianten (Zero W) då den både kan konfigureras och skicka attack-kommandon och resultat på distans. […]
Steganografi, konsten att gömma meddelanden på ett sådant sätt att endast mottagaren känner till att det finns. Det har använts sedan länge, ca 500 år f.v.t. i det forna Grekland berättar Herodotus att Histiaeus lät tatuera in ett meddelande på en slavs rakade skalle. När håret växte ut var meddelandet således dolt och kunde levereras […]
Denna blogginläggsserie, skriven av Peder Sparell, är på två delar behandlar WPS, vilket är en extra funktion för trådlösa nätverk som genom sin konstruktion är väldigt bristfällig. Det är ingen ny funktion, och dess sårbarhet som vi tar upp här är inte direkt någon nyhet, men det känns fortfarande aktuellt då förvånandsvärt få känner till […]