Hlavní navigace

Bezpečnost

Bezpečnost počítačových systémů. Zabezpečení serveru, pracovní stanice - antiviry, antispamy, šifrování, firewally a další.

Pracovník Huawei objevil bezpečnostní chybu v jádrech 2.6 - 4.20

Pracovník Huawei Mao Wenan objevil bezpečnostní chybu v jádrech 2.6 – 4.20. Jde o chybu CVE-2019–8912 use-after-free v sockfs_setattr, což může například vést ke spuštění kódu. Chyba má již jednoduchou opravu, v jádře 4.20.11 ale ještě není. (zdroj: phoronix)

Nebezpeční správci hesel? K panice není důvod, jen nechrání před vším

Uživatelé služeb 1Password, Dashlane, KeePass a LastPass by měli zbystřit. Dle tvrzení Adriana Bednareka jejich správa paměti vede k možnosti prolomení služeb a tudíž odcizení hesel. Nepropadejte panice.

Doba čtení: 4 minuty

Objevena kritická zranitelnost WordPressu stará šest let

Pokud používáte WordPress a nemáte jeho nejčerstvější verzi 5.0.3, nastal právě čas na aktualizaci. Společnost RIPS Technologies objevila vážnou zranitelnost, která se v populárním redakčním systému nachází šest let. Chyba se nachází v jádře…

Google otevřel registraci domén .dev

Po doménách .app a .page uvolňuje Google pro veřejné použití také svou další top-level doménu .dev. Sám už na ní provozuje některé weby jako opensource.dev nebo web.dev, brzy k nim přibudou také další projekty. Zajímavé je, že Google na všech…

19. 2. 2019 22:17

Vyšel Kali Linux 2019.1, přináší Metasploit 5.0

Vývojáři uvolnili první letošní verzi distribuce Kali Linux 2019.1, což je systém postavený na Debianu a určený především pro penetrační testování. Čerstvá verze přináší nové jádro 4.19.13, díky kterému systém opět podporuje armové desky Banana Pi…

19. 2. 2019 21:39

Postřehy z bezpečnosti: zranitelnost Dirty_Sock umožňuje získat práva uživatele root

Podíváme se na zranitelnost Dirty Sock, na problémy maltské banky, výzvu švýcarské vlády týkající se on-line volebního systému, na nový čínský zákon přinášející netušené možnosti nebo na specifické využití Mono frameworku na macOS.

Doba čtení: 3 minuty

NTLM hesla s osmi znaky lze prolomit do 2,5 hodiny

Ve středu tvůrci programu hashcat na Twitteru oznámili, že ručně optimalizovaná beta verze hashcat 6.0.0 s kartou NVIDIA 2080Ti dosahuje 100 GH/s. To by při použití osmi karet znamenalo prolomení libovolného NTLM hesla do 2,5 hodiny. Osm karet…

Kradení hesel z eduroamu, řešení phishingu a ochrana soukromí v DNS

Proč vám můžou při špatné konfiguraci připojení k síti eduroam uniknout přihlašovací údaje? Jak má vypadat dostatečně bezpečné heslo? Co má správce dělat při detekci phishingu? Nejen o tom se mluvilo na BSS19.

15. 2. 2019 0:00
Doba čtení: 11 minut

Rozšíření pro Chrome odhalí kompromitované účty

Google představil rozšíření Password Checkup pro prohlížeč Chrome. Toto rozšíření automaticky varuje uživatele, pokud se hlásí ke službě uživatelským jménem nebo heslem, které se objevilo v některém z úniků přihlašovacích údajů, která má Google…

Apache OpenOffice má neoficiální záplatu na vážnou zranitelnost

Nedávno objevená vážná zranitelnost byla zatím opravena jen v LibreOffice, ale pro Apache OpenOffice neexistuje oficiální záplata. Chyba s označením CVE-2018–16858 dovoluje přidat do dokumentu skrytou událost (onmouseover), která po svém vyvolání…

GPS přijímač vám může 6. dubna přestat fungovat, pokud neaktualizujete firmware

Starší navigace, GPS přijímače a podobná zařízení vám mohou 6. dubna přestat fungovat, pokud v nich neaktualizujete firmware. Signál GPS totiž mimo jiné obsahuje časovou značku, která je nutná ke správnému výpočtu polohy. Číslo týdne je v ní…

Maltská banka byla uzavřena, útočníci z ní ukradli 13 milionů eur

Druhá největší maltská banka Bank of Valletta, přes kterou proudí polovina místních bankovních transakcí, musela kvůli bezpečnostnímu incidentu přerušit provoz. Podle premiéra Josepha Muscata útočníci z banky ukradli 13 milionů eur, tedy přibližně…

Open-source má ve zdravotnictví dveře otevřené, ransomware bohužel taky

Za dvacet let prodělala medicína překotný vývoj. Kupředu se posunuly i související technologie a IT, otevřely se brány pro open-source a zlepšilo se i zabezpečení dat pacientů. Bohužel přibylo i hrozeb.

Doba čtení: 9 minut

Kam vás dovede dotazník z podvodné stránky?

Kam uživatele zavede dotazník, který slibuje iPhone nejnovější řady za vyplnění čtyř otázek? Kdekdo by se nad tímto typem podvodné stránky jen usmál a ignoroval ji. Jak ovšem zareaguje nepoučený uživatel?

Doba čtení: 7 minut

Postřehy z bezpečnosti: na internetu nejste nikdy v bezpečí

Pravidelný pondělní souhrn bezpečnostního dění, které se událo v uplynulém týdnu. Opět se nám urodila pěkná sbírka zranitelností napříč všemi oblíbenými operačními systémy a samozřejmě nevynecháme ani internet věcí.

11. 2. 2019 0:00
Doba čtení: 2 minuty

Mozilla oznámila projekt Fission, skutečně víceprocesový Firefox

Po roce utajených příprav Mozilla veřejně oznámila, že chce implementovat vlastnost site isolation – přísnější oddělení jednotlivých zobrazených stránek. Vyžaduje to přepsání Firefoxu tak, aby využíval izolovaných systémových procesů pro zpracování…

Android je možné napadnout pomocí obrázku PNG

Tři nově objevené zranitelnosti umožňují napadnou Android pouze tím, že si uživatel prohlédne obrázek ve formátu PNG. Vhodně upravený soubor může nést nebezpečný kód, který je v napadeném systému spuštěn s vysokými právy. Je tak možné snadno…

Uživatelé musí brát bezpečnost vážně, jinak přijde doba regulační

Desítky let vývoje počítačové bezpečnosti jsou hodně znát, první amatérské útoky nahradily profesionální mezinárodní zločinecké skupiny. Je to tak zásadní téma, že začalo zajímat i politiky a ti přišli s regulací.

Doba čtení: 6 minut

Chyba v RDP klientech umožňuje vzdáleně spustit cizí kód

RDP klienty jsou velmi užitečné aplikace, které dovolují vzdálené připojení k virtuálním či skutečným plochám s Windows. Jedná se o proprietární protokol vyvinutý Microsoftem, existuje ale celá řada jeho implementací také pro Linux či macOS…

Bezpečnost na linuxovém serveru (školení)

Provozovat linuxový systém můžete i se základními znalostmi, ale v dnešním internetu se velmi rychle dostanete do potíží. Na kurzu Bezpečnost na linuxovém serveru se naučíte, jak server provozovat bezpečně a jak zamezit přístupu nechtěných návštěv…

6. 2. 2019 10:00

Vážná zranitelnost LibreOffice a OpenOffice může ohrozit uživatele

V kancelářských balících LibreOffice a Apache OpenOffice byla objevena vážná zranitelnost, která umožňuje spuštění útočného kódu, pokud uživatel otevře upravený dokument s příponou ODT. Chyba s označením CVE-2018–16858 dovoluje přidat do dokumentu…

Unbound 1.9.0 vylepšuje podporu DNS-over-TLS

Vývojáři z NLnet Labs vydali novou verzi populárního rekurzivního DNS serveru Unbound (článek). Jedná se o první vydání po 1. únoru 2019, které podle plánu odstraňuje workaroundy pro autoritativní servery, které nesprávně implementují rozšíření…

5. 2. 2019 12:56

Současné hrozby: hromadný sběr dat, problémy v procesorech a prohlížeče

Svět se neustále mění a s ním se mění i bezpečnostní hrozby. Jaké problém nás nejvíce ohrožovaly v uplynulém roce a na co si musíme v tom letošním dávat pozor? Příliš mocné prohlížeče, chyby v CPU nebo těžba dat.

Doba čtení: 7 minut

Postřehy z bezpečnosti: když phisher zapomene na IPv6

Dnes si ukážeme, jak může nasazení IPv6 zafungovat jako anti-phishingová bariéra. Dále se podíváme na bezpečnost vozů bez klíče, originálně pojatou studii sociálních sítí a na další zajímavosti.

Doba čtení: 3 minuty

Keychain - šikovný pomocník pro klíče v terminálu

Pokud používáte ssh nebo gpg klíče chráněné heslem, musíte různě často zadávat toto heslo. Na desktopech se používá například gnome-keyring-daemon, který se vás zeptá na heslo jen jednou. Problém je pokud takového démona nemáte nebo nechcete…

Nový OpenVPN 3 linuxový klient

Vyšla třetí betaverze OpenVPN 3 linuxového klienta. Ten se od OpenVPN 2 dosti odlišuje. Je přepsán do C++11, používá D-Bus a tedy nepotřebuje být spuštěn superuživatelem. Vylepšená byla také konfigurace DNS. OpenVPN 3 klient nepodporuje všechny…

Mozilla zveřejnila pravidla pro blokování sledovačů ve Firefoxu

Mozilla v říjnu vydala Firefox 63, který přinesl přepracovanou ochranu proti sledování. Vývojáři nyní zveřejnili konkrétní pravidla, kterými se bude blokování sledovačů řídí. Je známo, že využívá seznam sledovacích služeb, který vytváří…

Let's Encrypt definitivně vypíná validační metodu tls-sni-01

Přibližně před rokem, 9. ledna 2018, byla objevena zranitelnost validační metody tls-sni-01 , používané k ověření držení doménového jména ve službě Let's Encrypt. Po objevení bezpečnostního problému byly validace touto metodou zablokovány pro…

Postřehy z bezpečnosti: nebezpečné důsledky neslušného operátoru

V dnešním zlodějském speciálu se vyhneme neslušným obrazcům při programování, naučíme se číst cizí záložky, obohatíme se daty z VPN provozu, zcizíme soubory chmatáckým MySQL a ochutnáme shnilou hrušku.

Doba čtení: 5 minut

Kritická zranitelnost v NumPy

Byla objevena kritická zranitelnost v NumPy CVE-2019–6446. Zranitelné jsou verze 1.10 (2015) – 1.16 (14. ledna 2019). Problém je v modulu pickle, pokud nahrajete škodlivý kód pomocí numpy.load spolu s allow_pickle (zavedeno právě ve verzi 1.10),…