Hlavní navigace

Bezpečnost

Chrome opět přitáhne šrouby nezabezpečenému HTTP

V poslední době prohlížeče čím dál víc upozorňují na to, že nešifrované HTTP není zrovna bezpečné a lze odposlouchávat. Projekt Chromium, ze kterého vychází prohlížeč Chrome, teď ohlásil další zpřísňování. Jako nezabezpečená se označí každá stránka…

Roman Bořánek

28. 4. 2017 9:06

US Air Force spustí bug bounty program

Po úspěchu akcí Hack the Pentagon a Hack the Army přišlo americké ministerstvo obrany s akcí Hack the Air Force. Zájemci o odměnu z programu se budou muset registrovat na HackerOne.com, projít přísným testem a také nesmí mít záznam v trestním…

Gabriel Seidl

27. 4. 2017 23:37
| 7

Jak vzdáleně zkontrolovat a odstranit NSA exploit DoublePulsar z Windows

Nechvalně známý NSA SMB exploit DoublePulsar by měl být na více než 50 tisících počítačích s Windows, ale možná i na více. Podle Rendition Infosec je více než 3 % strojů s portem 445 otevřeným do internetu napadeno, což odpovídá více než…

Jan Fikar

27. 4. 2017 11:10

Bezpečnostní záplaty GrSecurity už nebudou k dispozici zdarma

Brad Spengler oznámil, že bezpečnostní jaderné patche GrSecurity a PaX už nebudou nadále k dispozici zdarma. Dostanou se k nim jen platící zákazníci. Nyní je na komunitě, aby udržovala staré verze či je vyvíjela.

Petr Krčmář

27. 4. 2017 0:00

Squirrelmail 1.4.22 je vzdáleně zranitelný, oprava zatím neexistuje

Webmailové rozhraní Squirrelmail je v nejnovější verzi 1.4.22 (a starších) zranitelné vůči vzdálenému spuštění kódu. Chyba je označena jako CVE-2017–7692 a dovoluje útočníkovi spouštět na serveru vlastní příkazy a tím ovládnout cílový systém. Chybu…

Petr Krčmář

26. 4. 2017 8:22
| 3

GDPR ve zdravotnictví zajistí lepší ochranu dat pacientů

GDPR začíná být neuvěřitelně populární zkratka. Zkusíme si ji promítnout i do problematiky zdravotnictví a ochrany dat ve zdravotnických informačních systémech.

Petr Kajzar

26. 4. 2017 0:00

BrickerBot ničí zranitelná IoT zařízení

BrickerBot se zaměřuje na zranitelná IoT zařízení s otevřeným telnet přístupem, která byla často zneužívána k DDoS útokům. BrickerBot napadené zařízení nevratně „zcihlovatí“ (brick) zápisem náhodných dat na všechna úložiště a dalšími příkazy. Útok…

Jan Fikar

25. 4. 2017 14:15

Postřehy z bezpečnosti: ve světle hodných červů

V dnešním dílu Postřehů se podíváme na „zatím” hodný červ Hajime, dále na další (z mnoha) nezabezpečených SOHO zařízení, exfiltraci dat pomocí DNS dotazů a senzorů světla nebo na to, jakým způsobem komunikují útočníci mezi sebou.

CSIRT.CZ

24. 4. 2017 0:00
| 8

Phishingový útok výměnou IDN znaků v doméně znovu na scéně

O útoku jménem „Homograph Attack“ víme už šestnáct let, přesto stále ještě neexistuje dokonalá obrana. Nové experimenty ukazují, že stále můžeme naletět na domény se zaměněnými znaky.

Petr Krčmář

20. 4. 2017 0:00

Twitter podporuje dvoufázovou autentizaci s Google Authenticator a Authy

Twitter se rozhodl rozšířit možnosti dvoufázového přihlašování také na aplikace Google Authenticator a Authy. Aktivace vyžaduje nejprve ověření pomocí SMS, poté je možné aktivovat autorizaci pomocí zmíněných aplikací. Při novém přihlášení pak…

Petr Krčmář

19. 4. 2017 8:56
| 2

Záznam CAA spáruje doménu a autoritu, kontrolován bude od září

CA/Browser Forum odhlasovalo, že certifikační autority musí od 8. září povinně kontrolovat u domén záznam typu CAA. Ten umožňuje provozovateli domény zvolit autoritu oprávněnou vydat pro jeho doménu certifikát.

Petr Krčmář

18. 4. 2017 0:00

Postřehy z bezpečnosti: objeven univerzální otisk prstu

V dnešním vydání se podíváme na výzkum podobnosti otisků prstů, nový protokol zneužívaný k DDoS útokům, napadené domácí routery v Alžírsku, nebo třeba na způsoby, jakými byly vykrádány bankomaty.

CESNET CERTS

17. 4. 2017 0:00
| 8

Certifikační autority budou povinně validovat CAA záznam

O doménových záznamech typu CAA jsme psali před téměř třemi lety v článku Připíchněte si SSL certifikát k doméně. Umožňují provozovateli domény vyjmenovat certifikační autority, které mohou pro danou doménu vystavovat certifikáty. Záznamy jsou…

Petr Krčmář

13. 4. 2017 9:35

Remote root exploity, údajně z dílny NSA

Servery The Register a Ars Technica zveřejnily existenci remote root exploitů. Exploity údajně pocházejí z ukradené databáze od NSA. Exploity jsou popsané na githubu , kde je uveden i link na stažení.

Josef Vomáčka

13. 4. 2017 9:12
| 3

Útočník může zjistit váš PIN z pohybu telefonu

Útočník může zjistit váš PIN, pokud bude mít přístup k senzoru pohybu a polohy. Výzkumníci z university v Newcastlu k tomu použili jednoduchý JavaScript, který se do mobilního zařízení dostane z webové stránky a ke čtení senzorů nepotřebuje souhlas…

Jan Fikar

12. 4. 2017 10:54

Postřehy z bezpečnosti: hackování KVM switche

V dnešním dílu Postřehů se podíváme na hackování KVMka, nový zákeřný nástroj pro vzdálenou administraci, čipování nadšenců ve Švédsku či na zajímavost z poslední konference BlackHat.

CSIRT.CZ

10. 4. 2017 0:00

Kolik stojí DDoS? Základní přijde na pár dolarů, pokročilý na stovky

DDoS patří stále mezi nejrozšířenější druhy útoků a objemy neustále rostou. Důvody mohou být různé, od pouhého vandalismu až k vydírání. Zájem o ně je velký a jsou účinné. Není divu, že se dají pronajmout jako služba.

Petr Krčmář

7. 4. 2017 0:00
| 7

Zamknutí kernelu proti přístupu z uživatelského prostoru

Vývojář Red Hatu David Howells poslal 24 patchů umožňující CONFIG_LOCK_DOWN_KERNEL, tedy zamknutí kernelu proti přístupu z uživatelského prostoru. Zakázány jsou všechny nepodepsané moduly a moduly u nichž nejde ověřit podpis. Zakázán je zápis do…

Jan Fikar

6. 4. 2017 15:46

Mobilní zařízení zranitelná upraveným WiFi signálem

Mobilní zařízení používající WiFi čip Broadcom jsou zranitelná upraveným WiFi signálem. Útočník dokáže docílit na SoC Broadcom přetečení zásobníku a spuštění libovolného kódu. Útok používá upravenou TDLS zprávu (802.11z), tedy není třeba se…

Jan Fikar

6. 4. 2017 9:22

Mozilla Binary Transparency nabídne ověření binárních souborů

Mozilla chce svým uživatelům nabídnout možnost ověření stahovaného binárního balíčku. Cílem je, aby si byl uživatel jistý, že stahuje binárku sestavenou Mozillou a ne upravenou verzi, která má za úkol například počítač napadnout. Zajistit by to měl…

Petr Krčmář

5. 4. 2017 10:40
| 8

Operační systém Tizen od Samsungu je prý bezpečnostní katastrofa

Samsung vyvíjí především mobilní zařízení s Androidem, ale netají se tím, že by chtěl být v budoucnu méně závislý na Google. Vyvíjí proto operační systém Tizen, který chce v budoucnu dále rozvíjet a dostat jej na různá elektronická zařízení. Amihai…

Petr Krčmář

5. 4. 2017 9:27

Google objevil spyware pro Android, který unikal tři roky

Odborníci ze společností Google a Lookout objevili nebezpečný malware Chrysaor, který je určený pro mobilní zařízení s Androidem a zaměřuje se na aktivisty a novináře v zemích jako Izrael, Turecko, Mexiko nebo Spojené arabské emiráty. Jedná se…

Petr Krčmář

5. 4. 2017 9:15
| 2

Postřehy z bezpečnosti: zadní vrátka v šifrovaných službách?

V dnešním díle postřehů se podíváme mimo jiné na možná zadní vrátka v šifrovaných službách, zranitelnost zařízení zapojeného do IoT, problémy se SSL certifikáty společnosti Symantec a zranitelnost Moodle.

CESNET CERTS

3. 4. 2017 0:00

Jak lehce napadnout chytré TV a získat práva roota

Rafael Scheel ze švýcarské kyberbezpečnostní firmy Oneconsult vyvinul vzdálený útok na chytré televize, který umožní získat práva roota a to bez uživatelovy interakce. Útok je veden na HbbTV přes vlastní DVB-T vysílač. Takový vysílač je možné…

Jan Fikar

30. 3. 2017 8:52

Asus spravil chybu routeru RT-N10E

Před dvěma týdny jsme psali o bezpečnostním problému routeru Asus, který ukládá heslo v plaintextu. Heslo se společně s dalšími citlivými údaji dostává i do záloh, odkud je možné jej vyčíst a zneužít. Asus nyní vydal novou verzi firmware označenou…

Redakce

29. 3. 2017 21:46
| 5

DNSSEC: splnily orgány státní správy svůj úkol?

Již na konci roku 2013 přijala vláda Usnesení, kterým zavedla povinnost zabezpečit všechny domény držené orgány státní správy prostřednictvím technologie DNSSEC, a to do 30. června 2015. Michala Radotínská z CZ.NIC na blogu shrnuje současný stav…

Petr Krčmář

29. 3. 2017 13:17

Postřehy z bezpečnosti: dvojitý agent

Dnes se podíváme na dvojitého agenta, který se objevil po 15 letech ve Windows, nové zranitelnosti v LastPass a Oracle MySQL, Kirk Ransomware či vyhrůžky, kterým v posledních dnech čelí společnost Apple.

CSIRT.CZ

27. 3. 2017 0:00
| 3

OpenSSL začíná s přechodem na licenci Apache 2.0

Už několik let se hovoří o tom, že by knihovna OpenSSL měla přejít na jinou licenci. V současnosti totiž používá licenci vlastní, která je někdy trochu nejasná a může bránit integraci knihovny do dalších projektů. Zvolena byla permisivní Apache…

Roman Bořánek

24. 3. 2017 21:48

Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat

Společnost Symantec dostatečně nezabezpečila svůj proces vydávání certifikátů, vyplývá z vyšetřování Googlu. Ten proto plánuje částečné odebrání důvěry v Chromu a vyzývá k tomu další prohlížeče.

Roman Bořánek

24. 3. 2017 13:51

Rozšíření LastPass obsahovala závažné chyby

Tavis Ormandy z Google Project Zero objevil docela závažnou chybu v oblíbeném správci hesel LastPass, konkrétně v jeho rozšířeních pro prohlížeče Chrome, Firefox a Edge. Mezera útočníkovi umožňovala volat různé příkazy, např. včetně příkazu pro…

Roman Bořánek

24. 3. 2017 8:46
| 8