Postřehy z bezpečnosti: LinkedIn opět cílem útoků

Martin Čmelík 24. 6. 2013

Profesionální sociální síť LinkedIn se zotavuje po jednom z posledních útoku, kdy útočník (na hodinu) hijacknul DNS a přesměroval veškerý provoz na web confluence-network.com. Problémem jsou především cookies, které LinkedIn používá a ke kterým se útočník mohl dostat, protože mají velice dlouhou dobu platnosti.

Pokud útočník mohl odchytávat data na webu, kam byl provoz přesměrovaný, mohl se snadno dostat ke cookies a tyto klíče pro přihlášení na LinkedIn může dál použít pro přístup.

Naše postřehy

Microsoft spustil vlastní bug bounty program, kde si můžete přijít na opravdu pěkné peníze. Za nahlášení chyby můžete dostat až 100 000 USD a za popis, jak chybě předejít, dalších 50 000 USD. Tento program se oficiálně spustí 26. června a musí se jednat o chyby nalezené ve Windows 8.1 Preview, či Internet Explorer 11 Preview, kde je však možné získat maximálně 11 000 USD.

V posledním updatu Javy 7 je opraveno zhruba 40 security chyb a Java 6 se už dle vyjádření Oraclu nebude dále updatovat. Pokud opravdu potřebujete používat Javu, tak si stáhněte poslední verzi a používejte jen na důvěryhodných webových stránkách, protože drtivá většina malwaru se dostane do počítače právě pomocí chyby v Javě. Můžete ji nechat zapnutou např. jen v sekundárním prohlížeči, který budete používat právě pro pár aplikací, které Javu vyžadují.

Microsoft vydal novou verzi toolu EMET (Enhanced Mitigation Experience Toolkit), který má za cíl zvýšit bezpečnost systému Windows a aplikací třetích stran. Umožňuje vnutit např. používaní ASLR všem aplikacím, ať už randomizaci adres používají nebo ne a dalších technik, které vás mohou teoreticky ochránit i před využitím existující chyby v aplikaci.

Anglická ICSA vydala dokument, který by měl vysvětlit manažerům společností, že na bezpečnosti záleží a co mohou udělat pro to, aby bezpečnost jejich společnosti byla na dobré úrovni.

Posledních několik měsíců se cíleně útočí na weby postavené na CMS WordPress. Většinou útočnící využívají starší verze pluginů a témat obsahující SQLi/XSS chybu a po úspěšném útoku na web nasadí na stránky malware sloužící k drive-by download, nebo watering hole útokům. Vzhledem k tomu, že je WordPress nasazen na cca 60 milionech stránkách, jedná se o poměrně vážný problém.

Na iOS zařízeních je možné sdílet internetové připojení s ostatními pomocí Personal Hotspotu, který je integrován v iOS. Heslo k němu je však generované zařízením (ano, můžete zvolit vlastní), a to je poměrně jednoduše předvídatelné. Jedná se o kombinaci jednoho ze 52.500 slov a náhodně generovaného čtyřmístného čísla. Podle studie z univerzity v Erlangenu se však používá pouze 1842 z těchto slov, takže je jednoduché vygenerovat seznam všech kombinací. Pomocí utility “iPhone Hotspot Password Cracker” můžete generovat seznam těchto kombinací a crackovat tak hotspoty ve vašem okolí.

Článek popisující čtyři základní prvky aplikační bezpečnosti, kterými by se všichni programátoři měli řídit.

Zdrojové kódy bankovního trojanu Carberp jsou na prodej. Stojí bohužel jen 5000 USD, i když by se podle odhadů daly prodat za 50–70 000 USD, takže můžeme čekat v brzké době několik modifikací a masivnější šíření tohoto malwaru.

Pokud ještě neznáte, tak se určitě podívejte na server VulnHub.com. Můžete zde stáhnout speciálně upravené obrazy (VMware, VirtualBox) systémů i celých sítí.
Tyto obrazy (většinou Linux) systémů obsahují velké množství chyb, případně pak aplikace a webové služby, které můžete použít pro penetrační testování. Některé z nich jsou vedené formou hry, kdy musíte překonávat několik úrovní, jejichž obtížnost postupně narůstá, případně pak hrajete roli hackera, který dostává úkoly. Velice šikovné a nezbytné pro začínajícího pentestera a bezpečnostního odborníka.

Od prvního zveřejnění a spuštění digitální měny bitcoin se lidé snaží vytvářet nejroztodivnější minery. Jedním z posledních kousků je využití Raspberry PI. Ten v článku využívá ASIC zařízení. Výhodou je možnost rozšiřovat “těžební stanici” o nová ASIC zařízení pomocí USB rozbočovačů.

widgety

Pro pobavení

Jedno z nejlepších využití QR kódů? Třeba při náboru tatérů.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter.

Našli jste v článku chybu?
Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: V říjnu se rozšíří režim reverse-charge

V říjnu se rozšíří režim reverse-charge

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

DigiZone.cz: Digi Slovakia zařazuje stanice SPI

Digi Slovakia zařazuje stanice SPI