Jaroslav Lobačevski Blog

Following me

Tue, 07 Nov 2023 08:00:00 +0000

It’s been silent here recently. While I have nothing exciting to share in the personal blog, I work for GitHub in Security Lab. You may still follow my research here:

Contribee - move fast and break things

Mon, 06 Jun 2022 12:00:00 +0000

2022 m. vasario 24 d. rusija įsiveržė į Ukrainą. Viso pasaulio žmonės aukojo pinigus įvairioms organizacijoms padedančioms ukrainiečiams. Tuo tarpu kontraversiškas Patreon sprendimas suspenduoti ne pelno siekiančią organizaciją “Come Back Alive” paskatino nemažai skaitmeninio tūrinio kūrėjų, bent jau Lietuvoje, persikelti į alternatyvią platformą Contribee. Aš, kaip ir kiti prenumeratoriai, užsiregistravau šiame puslapyje. Tačiau greitas platformos testas parodė, kad ji gali turėti saugumo spragų.

Kas skaito VŽ slapukus?

Mon, 02 May 2022 08:00:00 +0000

Atsitik tu man taip, kad naršydamas Verslo Žinias (VŽ) paspaudžiau “uždraustą mygtuką” F12. Dėmesį patraukė ilgas slapukų sąrašas:

Registrų centras GoSign app vulnerabilities

Wed, 30 Dec 2020 08:00:00 +0000

After reading an article about a remediated information disclosure vulnerability in GoSign - an e-signature desktop application by the State Enterprise Centre of Registers of Lithuania (Registrų centras), I became curious whether it is vulnerable to the other attack - DNS rebinding. In this blog post I’ll review what I’ve found and what was fixed.

Nemokamų registracijos sistemų saugumas

Fri, 30 Oct 2020 17:00:00 +0000

Šiandien išėjo 15min straipsnis “Žmonės suskubo padėti COVID-19 smūgį patyrusioms kavinėms ir barams: kuria sistemas nemokamai”. Iniciatyva išties šauni, tik kiek keista, kad abi išvardintos ir kitos man žinomos “nemokamos” sistemos nėra atviro kodo. Restreg.lt kūrėjo Facebook’e išplatintas “manifestas” skelbia, kad “Restreg.lt sistemoje nėra reklamų , 3-iųjų šalių programų, socialinių tinklų sekimo programų”.

(Ne)atsakingas atskleidimas - 2-oji dalis

Tue, 29 Sep 2020 20:00:00 +0000

2019 metais Lietuvoje buvo apklausta 50 įvairaus dydžio įmonių. Dauguma palaikė atsakingo spragų atskleidimo reglamentavimą.

(Ne)atsakingas atskleidimas - 1-oji dalis

Tue, 29 Sep 2020 12:00:00 +0000

"Žmonės, kurie niekada gyvenime neatskleidinėjo saugumo spragų, turi „įdomiausių“ nuomonių apie tai kaip tai teisinga daryti." Thomas H. Ptacek, Matasano

"Aš sutinku kalbėtis apie „atsakingą atskleidimą“ kai mes pradėsim kalbėtis apie neatsakingą (nesantį) saugumo kokybės užtikrinimą iš gamintojo pusės." Thomas Dullien, Google Project Zero

HTTP Header Enrichment (pen)testing tutorial

Tue, 26 May 2020 12:00:00 +0000

Since I believe the issue I wrote previously about is not limited to Lithuania, but I physically cannot check all mobile operators in the world I decided to write a short tutorial you can follow to check the situation in your country.

Tele2 savitarnos autorizacijos apėjimas

Thu, 21 May 2020 12:00:00 +0000

Visi mobiliojo ryšio operatoriai turi savitarnos svetaines. Naujas vartotojas registraciją gali patvirtinti įvedęs kodą atsiųsta SMS žinute ir susikurti slaptažodį kitiems prisijungimams. Taip pat besijungiant yra galimybė naudoti mobilųjį parašą.

Authenticode verification vulnerability pattern

Thu, 09 Apr 2020 12:00:00 +0000

There is a common vulnerability pattern in various implementations of authenticode signature verification in .NET. It was found multiple times in different products in the past and I have seen it myself during security audits.