Hack in The Box Amsterdam 2013

Keynote jour 1 : Embracing the uncertainty of advanced attacks with Big Data analytics

La keynote de lancement de la conférence avait pour thème la détection d’incidents à l’aide du Big Data. Ce terme est présent dans de nombreux milieux depuis des années mais commence à peine à être utilisé dans le monde de la sécurité.

Catalogue de formations 2013

Pour 2013 SCRT étoffe à nouveau son catalogue de formations techniques afin de répondre au mieux au monde de la sécurité en perpétuelle évolution, notamment avec les formations sur le développement d’applications pour terminaux mobiles (COD102 & COD103) ainsi que la gestion des logs dans le contexte de la sécurité informatique (FOR102).

Hashdays 2012 – Compte rendu

Edit 2:

Suite à l’article, le créateur du challenge nous a apporté quelques précisions :

small remark, the morse code in Phase 1 actually spelled
MV LED 67, but I know it was blinking really fast 😉

[…]

for phase 2
if you connect the LED to 67, it will use morse code again
but this time spelling “SERIAL MONITOR”
as the hint to connect through USB

Merci à lui pour ces précisions 😉

Hashdays 2012

Les Hashdays se dérouleront pour leur troisième édition cette fin de semaine à Lucerne.

SCRT à l’AppSec Forum: audits d’applications iOS

Nous serons présents à l’AppSec Forum d’Yverdon les 7 et 8 novembre prochains afin de partager notre expérience sur l’audit d’applications iOS.

La première partie de notre présentation va consister en une revue rapide de l’architecture des terminaux iOS: processeurs ARM, simulateur et les modèles de distributions des applications. Bien entendu, comme il faut savoir quoi chercher avant d’étudier la façon de le faire, nous allons passer en revue les vulnérabilités impactant ce type d’applications.

SCRT at EUSecWest 2012 : iOS applications auditing

Later this month I will be presenting a talk on iOS applications auditing at EUSecWest in Amsterdam. Here is an overview of this talk.

Mobile applications security is becoming a bigger concern every day and it is not only an idea taken out of some Gartner’s quadrant, this is something we see every day as penetrations testers.

XSS dans Twitter pour IE <= 8

===================================

Français

For an english summary, go to the bottom of this post

===================================

Une mise à jour de Twitter a eu lieu pendant la nuit de mardi à mercredi, elle aura permis de protéger les utilisateurs d’Internet Explorer 8 d’au moins une faille XSS se trouvant dans la génération des tweets possédant des URLs contenant certaines séquences de caractères spéciaux.

CanSecWest 2012 – 3/3

Suite et fin de l’édition 2012 de la conférence CanSecWest:

CanSecWest 2012 – 2/3

Résumé de la seconde journée de conférences:

Root Proof Smartphones, and Other Myths and Legends – Scott Kelly, Netflix

Première conférence de la journée qui fait un rappel sur les séquences de boot sécurisées sur les terminaux mobiles. Ce type de protections étant utilisée par les fournisseurs de solutions mobiles pour verrouiller leurs plateformes (leurs buts/envies étant différents de ceux des consommateurs).

Clicklogin?

Beaucoup d’attaques plus ou moins récentes profitent du fait que les utilisateurs ont tendance à rester connectés sur beaucoup de sites simultanément. Ceci est en effet facilité par le fait que tous les navigateurs récents supportent le concept de “tabs” ou d’onglets. On peut par exemple mentionner le CSRF, souvent sous-estimé et mal compris, ou le clickjacking qui profitent du fait que le navigateur de l’utilisateur est authentifié à un site vulnérable pour y effectuer des commandes malicieuses. C’est pourquoi beaucoup de sites sensibles recommandent de fermer tous les autres volets de navigation avant de s’y authentifier.