Hlavní navigace

Bezpečnost

Phillips záplatuje kardiologický software

Společnost Philips zveřejnila informace o zranitelnosti v systémech Philips IntelliSpace Cardiovascular a Xcelera Cardiac Information Systems. Zároveň jsou k dispozici aktualizace softwaru.Zmíněné systémy slouží ke správě obrazové kardiologické…

Petr Kajzar

16. 11. 2017 10:59 |

iPhone X Face ID prolomeno pomocí jednoduché masky

Vietnamská bezpečnostní firma Bkav v pátek zveřejnila na svém blogu postup, jak pomocí jednoduché masky za asi 150 dolarů ošálila Face ID na novém iPhone X. Maska připomínající filmy s Fantomasem je vytištěna z plastu na 3D tiskárně. Přidán je…

Jan Fikar

13. 11. 2017 15:41 |

Postřehy z bezpečnosti: špehují nás USB kabely

Dnes se podíváme na USB kabel s vestavěným GSM trackerem, najdeme webové stránky těžící kryptoměny, vypravíme se po stopách falešné aplikace a také si připomeneme, jak ochránit doménové jméno před odcizením.

CESNET CERTS

13. 11. 2017 0:00

WikiLeaks zveřejňuje zdrojové kódy nástrojů CIA

Na začátku letošního roku začal server WikiLeaks pod souhrnným názvem Vault 7 zveřejňovat dokumenty týkající se technik a nástrojů používaných americkou CIA. Nyní přichází s Vault 8, který obsahuje zdrojové kódy a analýzy konkrétních nástrojů…

Petr Krčmář

10. 11. 2017 10:38 |

Intel ME lze použít k napadení počítačů mladších deseti let

Že je třeba se bát věcí jako Intel Management Engine (a třeba Google se bojí oprávněně) dokazuje zpráva od společnosti Positive Technologies, která plánuje v prosinci na konferenci Black Hat předvést praktický útok na toto rozhraní. Nazvali ho…

Petr Krčmář

9. 11. 2017 10:18 |

Hacking Team: co všechno uměl a jak to dokázal?

Úspěšný útok na Hacking Team svlékl do naha jednu z velkých společností, která nabízí počítačové útoky a sledování na objednávku. Co všechno firma zákazníkům nabízela? Proč se jí takové útoky dařily?

Petr Krčmář

9. 11. 2017 0:00

Google našel desítky chyb v linuxových ovladačích USB

Vývojář společnosti Google, Andrej Konovalov, našel v USB ovladačích linuxového jádra 79 bezpečnostních chyb. Použil při tom techniku zvanou targeted fuzzing, tedy jakési cílené zahlcování ovladačů náhodnými daty pomocí nástroje syzkaller. Celkem…

Petr Krčmář

8. 11. 2017 14:44 |

MINIX je zřejmě nejrozšířenějším systémem, je ukrytý v procesorech Intel

Nejnovější zjištění o Intel Management Engine, maličkém počítači uvnitř (téměř) každého CPU Intel, vysvětlují velký zájem inženýrů firmy o MINIX v době před několika lety. MINIX běží ve všech nových procesorech.

David Ježek

8. 11. 2017 0:00

KRACK Detector ohlídá vaši síť před zranitelností WPA

Zranitelnost KRACK postihuje prakticky všechna zařízení s Wi-Fi a dovoluje prolomit šifrovací protokol WPA, který v některých situacích špatně zachází s klíči. Problém byl odhalen v polovině října a řada výrobců hardware i tvůrců software už vydala…

Petr Krčmář

7. 11. 2017 13:34 |

Google důvěřuje pouze Linuxu, zbaví se UEFI a Intel ME

Google podniká kroky, aby se zbavil UEFI a Intel Management Engine, který podle výzkumu firmy Positive Technologies obsahuje hluboko uvnitř procesorů zadní vrátka. Obává se tak možných útoků na servery ve svých datových centrech, které nelze…

Opovažte se mi hrabat v mém profilu jako posledně! Místo toho opravte leakování jména a příjmení!

7. 11. 2017 13:10 |

Student používal keylogger a měnil si známky, minimálně devadesátkrát

Bývalý student University of Iowa stanul před soudem. Je obviněn z nezákonného proniknutí do systémů školy, ve kterých měl sobě a některým spolužákům měnit výsledky zkoušek. FBI zatkla Trevora Gravese v Denveru na konci října. Používal prý…

Petr Krčmář

6. 11. 2017 12:03 |

Postřehy z bezpečnosti: TorMoil a .onion nové generace

Dnes se podíváme na novinky a zranitelnosti projektu Tor Browser, na inovativní způsob obcházení varování na stránkách bez HTTPS, na aplikace z Google Play potajmu těžící kryptoměny nebo na citlivá data z Heathrow.

CSIRT.CZ

6. 11. 2017 0:00
| 5

Tuzemské SIP honeypoty

Před časem byla zprovozněna skupina tuzemských SIP honeypotů. Už poskytují zajímavé informace. Např.: Jak rychle dojde k prvním pokusům o SIP útoky? Jak velké množství SIP útoků směřuje na jeden systém? Jak často se pokusy o SIP útoky opakují?…

Ivo Fišer

3. 11. 2017 9:30 |
| 7

Útoky hrubou silou stále fungují, z redakčních systémů dělají botnety

Brute force útoky existovaly už dávno před nástupem internetu. Kryptoanalytický útok začal být užíván ve snaze o přístup k šifrovaným datům, nebyla-li k dispozici jiná možnost. S rozvojem internetu se začal rychle rozmáhat i tento typ útoku.

Anna Shirokova

3. 11. 2017 0:00

Comodo prodalo svůj byznys s certifikáty

Největší komerční certifikační autorita Comodo prodala za nezveřejněnou částku svůj byznys kapitálové společnosti Francisco Partner. Prodej je velkým překvapením, které přišlo z čistého nebe a překvapilo  celý svět. Společnost tvrdí, že vydala…

Petr Krčmář

1. 11. 2017 13:45 |

Firefox 58 zakáže identifikaci uživatele skrze HTML5 Canvas

Za pomoci Canvas elementu je možné identifikovat konkrétního uživatele. Ví se to už pár let, v roce 2014 předvedli takovou techniku vědci z amerického Princetonu a belgické KU Leuven. Technika, která může ve své podstatě učinit EU varování…

David Ježek

31. 10. 2017 15:47 |

Mozilla se vyjádřila k prodeji CA Symantecu firmě DigiCert

Symantec jako certifikační autorita to má v poslední době složité. O nákupu jeho CA byznysu uvažuje DigiCert a Mozilla nyní vydala stanovisko, jak se to má s přenositelností důvěry mezi různými organizacemi. Root Store Program Mozilly zastává…

David Ježek

31. 10. 2017 14:43 |
| 2

Google odstraní podporu HPKP hlaviček z Chrome

Google oznámil plány na zrušení podpory pro hlavičky HPKP v prohlížeči Chrome/Chromium. Hlavička HPKP dovoluje při první návštěvě webu vložit do prohlížeče důvěryhodné veřejné klíče, kterými se příště musí web prokázat v TLS certifikátu. Brání se…

Petr Krčmář

30. 10. 2017 10:22 |
| 6

Dvoufaktorová autentizace pomocí fotografie osobního předmětu

Výzkumníci z Floridy představili metodu dvoufaktorové autentizace Pixie, která používá fotografií osobních předmětů tzv. login trinket. Při každém přihlášení je potřeba vyfotit váš trinket a fotografie je porovnána s uloženou. Vědci tvrdí, že…

Jan Fikar

30. 10. 2017 8:30 |

Postřehy z bezpečnosti: Zlý králík ohrožuje počítačové systémy

V dnešním díle Postřehů se dozvíme o cryptolockeru Bad Rabbit, o novém typu útoků na uživatele MS Wordu, o nově se rodícím botnetu IoT Reaper a o možném problému se zálohováním počítačů firmy Dell.

CESNET CERTS

30. 10. 2017 0:00
| 6

Odhalena kritická zranitelnost v populárních IP kamerách Dahua Technologies

Výzkumníci společnosti Positive Technologies odhalili a pomohli odstranit kritickou bezpečnostní chybu (stack-based buffer overflow) ve firmwaru IP kamer společnosti Dahua Technologies. Firmware IP kamer používá také mnoho OEM výrobců a nalezená…

Positive Technologies

26. 10. 2017 9:22 |
| 7

pfSense 2.4.1-RELEASE opravuje chybu KRACK ve WPA2

Včera vyšla opravná verze pfSense 2.4.1-RELEASE. Která reaguje hlavně na již známou chybu ve WPA2 Key Reinstallation Attack známou také jako KRACK. Existence opravy byla oznámena již 20. října 2017 na Twitteru. Vývojáři pfSense reagovali na opravu…

Lukáš Malý

25. 10. 2017 9:36 |

Šifrování je velký problém, říká šéf FBI Christopher Wray

Za poslední rok se FBI kvůli silnému šifrování nezvládla dostat do více než 6900 mobilních zařízení. A to je hodně velký problém, říká její šéf Christopher Wray. Na konferenci International Association of Chiefs of Police pořádané v americké…

David Ježek

24. 10. 2017 15:00 |

Android dostane šifrované DNS-over-TLS

Vypadá to, že Android již brzy dostane podporu šifrovaného DNS-over-TLS, které se již v pátek objevilo na Android Open Source Projectu (AOSP). Nové nastavení se objeví zřejmě v „Developer Options“ a bude dostupné patrně v Androidu 8.1…

Jan Fikar

23. 10. 2017 14:43 |

Sledování polohy pomocí reklamy jen za tisíc dolarů

Výzkumníci z university ve Washingtonu našli způsob, jak lze za přibližně tisíc dolarů koupit reklamní kampaň, která dokáže určit polohu oběti. Nejprve je potřeba zjistit MAID (Mobile Advertising ID) oběti a to třeba odposlechem na nešifrované…

Jan Fikar

23. 10. 2017 11:00 |

Postřehy z bezpečnosti: bankomat otevírá brány

Malware pro bankovnictví i bankomaty, hloupé chytré hodinky, které nahrávají únosci dětí, inspirující studie použití SSH, která pomohla mnohým útočníkům, a nechybí ani zmínka o DoubleLockeru, slibném ransomwaru pro Android

CSIRT.CZ

23. 10. 2017 0:00

Google vypsal odměny za nalezení chyb v aplikacích pro Android

Google vypsal odměny za nalezení chyb v aplikacích pro Android v Google Play Store. Zatím jde o vzdálené spuštění kódu na Androidu 4.4 a novějším. Odměna je tisíc dolarů. Nejprve je třeba chybu ohlásit vývojáři aplikace a do programu odměn může…

Jan Fikar

20. 10. 2017 11:32 |
| 7

Kanadská bezpečnostní agentura uvolnila svůj nástroj proti malware

Kanadská bezpečnostní agentura CSE uvolnila svůj nástroj Assemblyline pro boj proti malware jako open source. Assemblyline je CSE přirovnáváno k dopravníkovému pásu: soubory jdou dovnitř a spousta pomocných aplikací je pročesává a hledá…

Jan Fikar

20. 10. 2017 10:13 |
| 2

Honeypot as a Service: zapojte se do boje proti malwaru

Od 1. října 2017 je možné se zapojit do beta testování výzkumného projektu Honeypot as a Service, který pro nás připravilo sdružení CZ.NIC. Do projektu se může přihlásit dobrovolně každý a odkudkoliv. Honeypot je aplikace, která simuluje operační…

Josef Schlehofer

19. 10. 2017 14:42 |

Google nabízí silnější zabezpečení účtu pro zvláště ohrožené uživatele

Google na svém blogu představil funkci Advanced Protection, která je určena úzké skupině uživatelů vážně ohrožené cílenými útoky. Jedná se zejména o politiky, novináře, aktivisty a další lidi z podobně exponovaných skupin, které jsou přímo ohroženy…

Petr Krčmář

19. 10. 2017 9:17 |