Postřehy z bezpečnosti: Opera a ukradený certifikát

Martin Čmelík 1. 7. 2013

Společnost Opera oznámila, že její systémy byly napadeny a útočníci se dostali k certifikátům, kterými bylo možné podepsat malware a rozšířit ho tak mezi všechny uživatele Opery v době od 01:00 do 01:36 UTC dne 19. června. Doporučujeme, do další verze prohlížeče, Operu odinstalovat a kompletně oscanovat počítač.

Naše postřehy

Jak hacknout jakýkoliv Facebook účet jen pomocí SMS? Anglický security researcher (fin1te) našel slabinu v notifikačním systému Facebooku. Pomocí změny parametru na stránce autorizace mobilního čísla uživatele byl schopen číslo změnit za svoje. Pak už jen stačlo projít procedurou zapomenutého hesla, kdy je potřeba zadat verifikační kód, který vám přijde na mobil (teď již útočníka) a resetovat heslo. Za nahlášení této chyby dostal odměnu 20 000 USD v rámci program Bug Bounty.Pěkný článek shrnující metody přesměrování stránek či obsahu webu, které používají spameři pro trackování prokliků a obcházení spam filtrů. U každého ze způsobů (JavaScript, meta-tag, iframe, htaccess, php, obfuskace, …) je uveden popis a konkrétní příklad. Na konci pak soubor doporučení, jak se před těmito útoky chránit.

Pěkný článek pojednávající o způsobu šíření a chování exploit kitu Glazunov. Součástí je i krátké video vysvětlující mechanizmus „drive-by download“ a popis problému researcherů rozeznat od sebe některé z exploit kitů, protože jsou si velmi podobné.

Pokud potřebujete vygenerovat payload a zároveň se snažíte udržet mimo zorné pole antivirových aplikací (obcházení AV detekčních enginů), rozhodně by vám neměl uniknout Veil Evasion Framework.

Webové stránky Fortuny jsou pod útokem. Jak uvedl mluvčí společnosti, jedná se pravděpodobně o DDoS útok, který ale nedokázal web úplně odstavit. Media nicméně stále nechápou, nebo spíše nechtějí chápat, pojem hacker, a tak prosím ignorujte pojem “hackerský útok” uvedený ve článku.

Poslední verze WordPressu (3.5.2) opravuje sedm bezpečnostních chyb a obsahuje i změny napomáhající proaktivní obraně před novými útoky. Je doporučeno ihned aktualizovat na poslední verzi.

Ještě minulý týden jsme informovali, že cena trojana/bankera Carberp klesla z 50 000 USD na 5000 USD, a pár dnů na to jsme se dozvěděli, že většina zdrojových kódů byla zveřejněna na Internetu.

Google Chrome Web Store přidal scanování aplikací, který proběhne před publikování, za cílem detekovat malware i jinak škodlý kód, který by mohl zapříčinit napadení vašeho počítače.

HTML Injection je chyba validace webového formuláře, kdy je možné vložit vlastní HTML kód a tím tak modifikovat výstup stránky a odchytnout například session cookie, vynutit po uživateli přihlášení atp.

Pokud jste si vždy chtěli přečíst jednoduchý článek vysvětlující, co je to Heap Overflow, tak přečtěte tento na InfoSec Institute.

Google přehledně zveřejnil data ze Safe Browsing, kde se můžete podívat, kolik webů hostuje malware, kolik varování bylo zobrazeno uživatelům i jak dlouho trvá průměrné odstranění malwaru ze stránek.

O aktualizaci dokument OWASP Top 10 webových chyb jsme už psali. Teď si můžete přečíst o Top 10 open source aplikacích, které pro testování/odhalování těchto chyb můžete použít.

Vlády a společnosti trénují novou generaci kyber válečníků pro boj s internetovými hrozbami.

Vše co jste chtěli vědět o HTML 5 útocích a nových možnostech díky novým funkcím, které přináší.

Clickjacking je metoda, kdy přes jednu stránku načtete druhou a dáte ji stoprocentní průhlednost, čímž je vlastně neviditelná pro uživatele. Když poté uživatel klikne na další objekt/tlačítko/odkaz na stránce spustí se tím akce na stránce skryté. Využití se meze nekladou. Uživatel tak může např. nastavit přesměrování všech svých emailů, jako by to udělal z webové administrace webmailu, koupit zboží na eshopu, snížit bezpečnost svého profilu na sociální síti a tak dále. Novou metodu clickjackingu, které se říká keyjacking, objevil italský security odborník Rosario Valotta.

widgety

Anketa

Byly bychom rádi, kdybyste nám vyplnili níže uvedenou anketu, protože nám to velice pomůže s budoucím vývojem a koncepcí PzB. Předem děkujeme!

Anketa

Kdo čte naše Postřehy z bezpečnosti?

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter.

Našli jste v článku chybu?
Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: DVB-T2 ověřeno: ČRa doplňují seznam

DVB-T2 ověřeno: ČRa doplňují seznam

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Technisat připravuje trojici DAB

Technisat připravuje trojici DAB

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT