Hlavní navigace

Bezpečnost

Rusko dalo Telegramu pokutu 300 tisíc Kč, odmítl poskytnout backdoor

Cloudový instantní kecálek Telegram v Rusku narazil. Jelikož odmítl poskytnout vládě, tedy přesněji Ruské tajné službě FSB backdoor k jím používané šifrované komunikaci, vyměřila mu Ruská federace pokutu ve výši 800 tisíc rublů (zhruba…

David Ježek

Včera 10:35 |

Apache přidává podporu Let's Encrypt, pro HTTPS stačí jeden řádek konfigurace

Mozilla financovala vývoj modulu pro webový server Apache, který se tak brzy naučí přímo podporovat certifikáty od Let's Encrypt. Abyste své weby zpřístupnili po HTTPS, stačí přidat jednu konfigurační volbu.

Petr Krčmář

Včera 0:00

HSTS preload vyžaduje nově platnost alespoň jeden rok

Před několika dny byly změněny podmínky pro zařazení webu na seznam HSTS preload (commit na GitHubu). Nově musí web mít v hlavičce max-age nastaveno alespoň 31536000 sekund, tedy jeden rok. Dříve to byla doba poloviční. Hlavička HSTS říká…

Petr Krčmář

16. 10. 2017 14:50 |
| 5

Šifrování WPA2 prolomeno, Wi-Fi sítě je možné odposlouchávat (aktualizováno)

Několik bezpečnostních problémů bylo objeveno v šifrovacím protokolu WPA2, který je dnes velmi často používán na Wi-Fi sítích. Útok byl nazván KRACK a umožňuje odposlech i podvržení informací.

Petr Krčmář

16. 10. 2017 11:35

Lokální zranitelnost v linuxovém jádře

V pátek Cisco popsalo chybu v linuxovém kernelu, která jde lokálně zneužít k eskalaci práv. Chyba dostala označení CVE-2017–15265 a týká se use-after-free ve funkci snd_seq_create_port() v Advanced Linux Sound Architecture (ALSA). Vývojáři kernelu…

Jan Fikar

16. 10. 2017 10:59 |
| 5

WPA2 pravděpodobně prolomeno

Zdá se, že běžné zabezpečení WiFi sítí WPA2-PSK bylo prolomeno. Dle článku Alexe Hudsona bylo úspěšných několik útoků proti tomuto typu zabezpečení. Další informace mají být dostupné v průběhu dnešního dne. Opatrným uživatelům Alex doporučuje do…

Tomáš Bedřich

16. 10. 2017 9:00 |

Postřehy z bezpečnosti: (ne)přizpůsobiví hackeři

V dnešním díle postřehů se podíváme na skupinu (ne)přizpůsobivých hackerů měnících techniky útoků, potenciální zranitelnosti 4G/5G sítí, Apple ID hesla v ohrožení a další zajímavosti z bezpečnosti.

CESNET CERTS

16. 10. 2017 0:00
| 5

Payment Request API: informace o platební kartě bezpečně v prohlížeči

Proč vyvíjí W3C standard, který bude přímo konkurovat PayPalu? Jakou má motivaci snažit se o to, aby placení na internetu bylo co nejrychlejší a nejpohodlnější? A co vlastně určuje akční rádius takové organizace?

Michal Černý

12. 10. 2017 0:00

Telefony OnePlus odesílají data bez vědomí uživatelů

OnePlus si nechává ze svých chytrých telefonů posílat průběžně spoustu uživatelských dat bez jejich vědomí. Vyplývá to z analýzy Chrise Moorea z Velké Británie. K odesílání dat si telefony při prvním zapnutí ani jindy neříkají o žádný souhlas…

David Ježek

11. 10. 2017 14:40 |

Vyšel Debian 9.2

Vývojáři Debianu vydali druhou opravnou verzi vydání Stretch. Jedná se o opravné vydání označené jako 9.2, nepřináší žádné novinky, jen opravuje chyby v už existujících balíčcích. Pokud máte starší instalační média, nemusíte je zahazovat, po…

Petr Krčmář

10. 10. 2017 10:59 |
| 4

Zneškodněte hackery a vyhrajte Raspberry Pi nebo YubiKey4

Forenzní laboratoř CESNET letos přichází s novinkou. V rámci Měsíce kybernetické bezpečnosti nabídne vedle tradičního semináře pro veřejnost ještě interaktivní výherní soutěž The Catch. The Catch dává možnost každému, kdo se zaregistruje, odhalit…

Ilona Trtíková

9. 10. 2017 8:18 |
| 3

Postřehy z bezpečnosti: bezpečnější Dnsmasq

Bezpečnostní analýza DNS balíčku, útok na herní službu Rainbow Six Siege, výsledky souboje Windows Defenderu se zranitelností Samby, blýskání na HSTS časy i analýza podceňování rizik spojenými s DNS útoky.

CSIRT.CZ

9. 10. 2017 0:00

Lokální eskalace práv v Linuxu (CVE-2017-1000253)

Společnost FORPSI informovala majitele VPS serverů o bezpečnostní chybě, která se dá zneužít k lokální eskalaci práv. Více informací naleznete v článku na ZDNet.com. Případně na CVE-2017–1000253. Zajímavé na této chybě je fakt, že chyba byla…

Roman Belda

7. 10. 2017 10:34 |
| 5

Keybase.io spouští šifrovaný git

Projekt Keybase.io přidává do svého portfolia další funkci: šifrovaný git. Uživatel si nainstaluje remote helper (viz dokumentaci ke gitu), který zajistí komunikaci se šifrovaným repozitářem a uživateli transparentně šifruje/dešifruje data. Server…

Petr Krčmář

5. 10. 2017 8:49 |

WannaCry a Petya způsobily škody za více než 4 miliardy dolarů

Společnost Trend Micro vydala svůj pravidelný Pololetní bezpečnostní report: Cena za útok. Ten ukazuje na konkrétní hrozby z první poloviny roku 2017, které nadále narušují a znepříjemňují IT plánování. Podniky čelí zvyšujícímu se počtu útoků…

Petr Krčmář

5. 10. 2017 8:40 |
| 3

Nejpopulárnější a nejčastěji zakazované mobilní aplikace ve firmách

Společnost Apthority zveřejnila rozsáhlou zprávu, která se týká používání mobilních zařízení ve firemním prostředí. Součástí jsou i žebříčky nejpoužívanějších aplikací. Na firemních telefonech s Androidem najdeme nejčastěji Uber, The Yellow Pages a…

Petr Krčmář

5. 10. 2017 7:52 |
| 4

Yahoo byly v roce 2013 ukradeny údaje o všech 3 miliardách účtů

Únik dat společnosti Yahoo z roku 2013 je větší, než se původně myslelo. Společnost Verizon, která se za 4,48 miliard dolarů stala v červnu novým majitelem Yahoo, zveřejnila informace o tom, že před čtyřmi lety unikly údaje o všech 3 miliardách…

Petr Krčmář

4. 10. 2017 8:19 |

Tři kritické chyby v pluginech WordPressu už jsou zneužívány

Odborníci z bezpečnostní společnosti Wordfence objevili tři kritické bezpečnostní chyby ve třech různých pluginech blogovacího systému WordPress. Všechny tři chyby jsou přitom už aktivně zneužívány. Postiženými pluginy jsou Appointments, Flickr…

Petr Krčmář

4. 10. 2017 8:12 |
| 2

Google odhalil sedm bezpečnostních chyb v Dnsmasq

Bezpečnostní analytici Google zveřejnili informace o sedmi bezpečnostních chybách v serveru Dnsmasq. Ten integruje služby DNS resolveru, DHCP serveru, RA a bootu ze sítě. Je integrován v mnoha linuxových distribucích a domácích routerech (včetně…

Petr Krčmář

3. 10. 2017 10:39 |
| 6

Účtenkovka chce přístup k datům o hovorech

Ostře vypuštěná verze aplikace Účtenkovka pro Android chce víc práv, než může legitimně upotřebit. Mezi nejzávažnější patří „ID zařízení a informace o hovorech“. Po malém víkendovém pozdvižení na českém internetu Ministerstvo financí oznámilo na…

ales.opatrny

2. 10. 2017 12:16 |

Výměna kořenového klíče se odkládá: operátoři nejsou připraveni

V říjnu mělo dojít k historicky první výměně klíče kořenové zóny systému DNSSEC. Dosud vše běželo podle plánu, teď však ICANN oznámil, že ohlášený termín se ruší a výměna bude provedena nejdříve v příštím roce.

Ondřej Caletka

2. 10. 2017 0:00

Postřehy z bezpečnosti: hlavně mít aktualizovaný systém

Dnes se podíváme na pár opravených zranitelností, první malware s exploitem zranitelnosti DirtyCow na Android, nasazování záplat u Apple a pár úniků důvěrných informací. Na závěr rozsekneme spor PIN vs. gesto.

CESNET CERTS

2. 10. 2017 0:00

Tails 3.2 staví na jádru 4.12.12

The Amnesic Incognito Live System v nové verzi 3.2 přináší podporu PPPoE pro vytáčené připojení a tvůrci žádají, aby uživatelé hlásili, pokud jim to stále nefunguje. Novinkou je také BookletImposer, nástroj pro konverzi lineárních PDF na booklety…

David Ježek

29. 9. 2017 10:49 |
| 1

Druhá fáze automatizované správy DNSSEC klíčů

Na červnové konferenci IT 17 jsme informovali o spuštění nového způsobu správy DNSSEC klíčů v registru domény CZ. Cílem je co nejvíce minimalizovat administrativu spojenou se zavedením DNSSEC pro držitele CZ domén.

Jaromír Talíř

29. 9. 2017 0:00

Změna podpisového klíče kořenové zóny se odkládá

Ve středu 11. října 2017 měla proběhnout rotace DNSSEC podpisové klíče kořenové zóny DNS. Organizace ICANN nicméně oznámila, že tento krok odkládá. Důvodem je, že na základě posledních výzkumů bylo zjištěno, že velká část DNS resolverů zatím není…

Ondřej Filip

28. 9. 2017 21:38 |
| 1

Bezpečnostní problém v distribučním javascriptu z GitHubu

Používáte ve svých projektech rovnou minifikované verze javascriptů z GitHubu, pokud jsou autorem poskytovány? A kontrolujete je? Poměrně populární addon bootstrap-select měl dva dny přidané stahování podezřelého skriptu ze serveru třetí strany.

Pavel Francírek

28. 9. 2017 21:37 |
| 9

Proč nemá Policie České repubiky na webu HTTPS?

Jeden čtenář nám zaslal odpověď Policie ČR na otázku, proč nemá na webu HTTPS. Prý nebyl takový požadavek vznesen, server na to není výkonově připraven a stejně se prý na webu nepřihlašují žádní uživatelé, takže to není potřeba. Nevadí prý…

Petr Krčmář

27. 9. 2017 16:33 |

Testování verzí CMS: 50 000 zastaralých instalací systémů WordPress a Joomla

Testování verzí CMS, ke kterému jsme přistoupili začátkem léta, vzbudilo poměrně značný ohlas v odborné komunitě. Zaznamenali jsme jak hlasy, které naši iniciativu vítaly, tak také ty, kterým z nějakého důvodu vadila.

Pavel Bašta

27. 9. 2017 0:00

Malware zneužívající chybu Dirty COW nalezen ve 1200 aplikacích pro Android

Loni objevená díra, která v linuxovém jádře spokojeně žila už od roku 2007, byla sice rychle zalepena, ale to se netýká Androidu. „Špinavou krávu“ zneužívá už víc než tisícovka podvodných aplikací. Bezpečnostní výzkumníci z Trend Micro publikovali…

David Ježek

26. 9. 2017 17:59 |

Web CBS Showtime také těžil kryptoměnu Monero

Nejen The Pirate Bay, ale i jiné weby obsahují JavaScriptový kód sloužící k těžbě kryptoměn. Oficiální web kanálu CBS Showtime, tedy konkrétně stánky Showtime.com a ShowtimeAnytime.com, dostaly kód, který měnu Monero těžil pomocí obvykle zhruba 60%…

David Ježek

26. 9. 2017 17:22 |