Hlavní navigace

Bezpečnost

Bezpečnost počítačových systémů. Zabezpečení serveru, pracovní stanice - antiviry, antispamy, šifrování, firewally a další.

Postřehy z bezpečnosti: problémy Androidu, macOS a IoT

Dnes si řekneme o problémech Androidu, macOS i internetu věcí, o zabezpečení hlasovacích strojů a policejních osobních kamer i o australském středoškolákovi toužícím po zaměstnání u firmy Apple.

Doba čtení: 5 minut

Username enumeration v OpenSSH

V OpenSSH byla před několika dny opravena zranitelnost publikovaná pod CVE-2018–15473 umožnující vzdálenému útočníkovi ověřovat (ne)existenci konkrétních uživatelských účtů. Aktualizovaný balíček je pro Debian dostupný pro verzi sid/unstable, stabilní verze zatím záplatována není.

Jak obejít ochranu před sledováním v prohlížečích a jejich doplňcích

Vědci z university v Lovani vyvinuli testy na funkci ochrana před sledováním (tracking protection) v prohlížečích a jejich doplňcích . Nových způsobů jak ochranu překonat je 7. Testováno bylo 7 moderních prohlížečů, 31 rozšíření blokujících reklamy…

Dopad záplaty Foreshadow na výkon

Server Phoronix zveřejnil před dvěma dny test dopadu záplaty na chybu CPU Foreshadow, také známou jako L1 Terminal Fault (L1TF). Záplaty se již dostávají do distribucí a zkontrolovat stav můžete pomocí cat…

FragmentSmack a SegmentSmack dvě chyby umožňující DDoS Linuxu

Nedávno Juha-Matti Tilli v Linuxu objevil dvě podobné chyby SegmentSmack (CVE-2018–5390) a FragmentSmack (CVE-2018–5391). O SegmentSmack už jsme měli zprávičku. Obě chyby jde zneužít vzdáleně a způsobit DDoS. SegmentSmack postihuje jádra od 4.9 a…

Do distribucí už se dostávají záplaty na chybu Foreshadow

Do nejpopulárnějších linuxových distribucí už se dostaly záplaty na nedávno odhalenou chybu L1 Terminal Fault neboli Foreshadow. Problém spočívá v tom, že pomocí postranních kanálů je možné vyčítat data z L1 cache. Software ve virtuálních strojích…

Rozšíření Web Security sbírá data o uživatelích

Populární rozšíření pro prohlížeč Firefox sbírá data o stránkách navštívených uživatelem. Rozšíření Web Security přitom používá více než 222 000 uživatelů Firefoxu a Mozilla jej před několika dny doporučila na svém blogu. Raymond Hill, autor uBlock…

L1 Terminal Fault je další chyba v CPU Intel

Společnost Intel potvrdila existenci dalšího typu bezpečnostní chyby ve vlastních CPU. Nese jméno L1 Terminal Fault (L1TF), objevili ji výzkumníci z KU Leuven University, Technion – Israel Institute of Technology, University of Michigan, University…

USA zakázaly vládním zaměstnancům používat produkty Huawei a ZTE

Americký president podepsal zákon známý jako Defense Authorization Act (plné znění), jehož přímým důsledkem je mimo jiné to, že zaměstnanci státu mají od nynějška zakázáno používat cokoli s nápisem Huawei či ZTE. Kontraktoři vlády nadále mohou…

TLS 1.3 alias RFC 8446 finalizováno

Šifrovací standard TLS 1.3 (Transport Layer Security) je dokončen. Podrobnosti jsou k dispozici v blogu IETF či u Cloudflare. Autor: Cloudflare TLS 1.3

Populární zdravotnický open-source OpenEMR obsahoval spoustu zranitelností

Kontrola zdrojového kódu jednoho z neoblíbenějších open-source systémů pro správu zdravotnické dokumentace odhalila hromadu bezpečnostních chyb. Jednalo se zejména o možnost obejít autentizační systém pacientského portálu, několik chyb typu SQL…

Postřehy z bezpečnosti: SIM swap gang odhalen díky starostlivé mamince

Dnes si povíme, jak může starostlivá maminka ohrozit i ten nejlepší podnikatelský záměr, podíváme se na projekt využívající zadní vrátka u x86 procesorů a nevynecháme ani smělé plány Facebooku na propojení s našimi bankovními účty.

Doba čtení: 5 minut

Kritická zranitelnost tiskáren HP

Začátkem měsíce vydala společnost Hewlett-Packard informaci o kritické zranitelnosti cca 270 modelů tiskáren.Vzdáleně lze způsobit přetečení zásobníku a vynutit tak spuštění vlastního kódu. Zranitelnosti jsou dvě (CVE-2018–5924 (HP) a CVE-2018–5925…

Chyba zabezpečení TCP v linuxovém kernelu

Linuxová jádra obsahují zranitelnost publikovanou pod CVE-2018–5390, kde speciálně naformátované TCP pakety mohou vzdáleně způsobit vyčerpání systémových zdrojů v důsledku jejich neefektivního zpracování v kernelu a ovlivnit tak dostupnost…

Továrny TSMC napadeny počítačovým virem, mezi postiženými je Apple

Tchaj-wanská „pekárna čipů“ TSMC oznámila, že její výrobní nástroje v továrnách byly napadeny virem. Stalo se tak 3. srpna, nicméně se rychle podařilo problém identifikovat a nalézt řešení. Firma dementuje drby o tom, že šlo o útok hackera…

Nová metoda prolomení WPA/WPA2

Jens „atom“ Steube, vývojář populárního prolamovacího programu Hashcat, objevil novou metodu, jak prolomit 802.11i/p/q/r WPA a WPA2 se zapnutým roamingem. Dříve bylo potřeba vyčkat, až se uživatel přihlásí a zaznamenat celý 4cestný handshake…

Kořenový certifikát Let's Encrypt zařazen mezi důvěryhodné na většině platforem

Kořenový certifikát populární služby Let's Encrypt byl zařazen na seznam důvěryhodných certifikátů v produktech firmy Microsoft. Kromě toho je již důvěryhodný pro produkty Google, Apple, Mozilla, Oracle a Blackberry. Certifikáty od Let's Encrypt…

6. 8. 2018 18:29

Hesla SSH klíčů jsou špatně hashovaná, lze je prolomit velmi rychle

Uživatelský SSH klíč představuje důležitý autentizační prvek každého administrátora či vývojáře. I když je chráněn heslem, ve většině případů je možné heslo velmi rychle uhodnout. Jak ho více zabezpečit?

Doba čtení: 5 minut

Postřehy z bezpečnosti: vím, že ses díval

Pravidelný pondělní přehled bezpečnostních novinek uplynulého týdne. V dnešním článku se podíváme na novou formu phishingu, zranitelnosti IoT zařízení a poněkud neobvyklý způsob šíření malware.

Doba čtení: 2 minuty

MikroTik routery napadeny, vkládají do stránek skript na těžení kryptoměn

Asi 200 tisíc routerů MikroTik je napadeno a vkládá do uživatelského webového provozu skripty Coinhive, které na uživatelských počítačích pak těží kryptoměnu. Nákaza se nejdříve objevila v Brazílii, pak se ale rychle rozšířila celosvětově…

Vyšla nová verze Knot Resolveru 2.4.1

Vývojáři z Laboratoří CZ.NIC dnes zveřejnili novou verzi Knot Resolveru (2.4.1), která přináší především opravu zranitelnosti CVE-2018–10920. Je tedy žádoucí, aby uživatelé co nejdříve tuto nejnovější verzi nasadili. Součástí vydání nové verze Knot…

2. 8. 2018 16:00

Certifikáty Let‘s Encrypt validované přes proxy DNS

Let‘s Encrypt už nějakou dobu vystavuje wildcard certifikáty. Jejich vystavení je ale podmíněno validací přes DNS, která je poněkud pracnější než nejpoužívanější metoda ověření přes vystavení souboru do známé cesty na serveru.

Doba čtení: 4 minuty

Reddit hacknut skrze SMS autentizaci

Jistý hacker se úspěšně naboural do Redditu a odnesl si odtud některá uživatelská data, zahrnujíce současné emailové adresy a backup databáze z roku 2007 obsahující hashe tehdejších hesel. Využil k tomu na SMS založenou autentizaci, podrobnosti a doporučení shrnuje zápisek na webu Redditu.

Postřehy z bezpečnosti: Výsledky pentestů

V tomto díle se podíváme na výsledky penetračních testů, nové zranitelnosti bluetooth, odsouzení dvou vývojářů malwaru, výpadek systémů u dopravní společnosti a nový vir používající staré zranitelnosti.

Doba čtení: 3 minuty

GCC dostává záplatu na Spectre v1 pro ARM

Richard Earnshaw z ARMu představil revidovanou variantu sady patchů, které řeší chybu Spectre v1 v kompilátoru GCC. Určena je pro 64bit ARM za pomoci přepínače -mtrack-speculation. Na podpoře pro 32bit ARM čipy se aktuálně nepracuje v souvislosti…

31. 7. 2018 0:00

Nový vzdálený útok NetSpectre

Výzkumníci z university ve Štýrském Hradci zveřejnili novou vzdálenou zranitelnost NetSpectre, která využívá stejnou zranitelnost CPU jako Spectre v1. Doposud však musel být škodlivý kód spuštěn na počítači oběti. Tentokrát stačí vzdáleně…

Odteď jsou pro Chrome všechny HTTP stránky ne-bezpečné

Jedna viditelná novinka přišla s Chrome 68 a nezmínili jsme ji. Od verze 68 už Chrome označuje všechny HTTP stránky za „Not secure“. Google tak víceméně završuje další důležitý milník poslední roky běžících snah za vymýcení ne-HTTPS spojení, což je…

Julian Assange bude nejspíš vydán britským úřadům

Dle dostupných informací se Ekvádor chystá ukončit 6 let trvající politický azyl Juliana Assangeho na své Londýnské ambasádě. Assange by tak mohl být v nadcházejících dnech či týdnech vydán na britské území, tedy de facto britským úřadům, které si…

Nová oprava Spectre v1 pro Linux

Výzkumníci z university v Dartmouth vymysleli nový způsob, jak v Linuxu zabránit zranitelnosti Spectre v1. Nové řešení používá jaderný patch ELFbac, který dokáže bezpečně oddělit paměťový prostor procesů. Klasická oprava vyžaduje přeložit jádro…

Postřehy z bezpečnosti: lechtivé vysávání

V dnešním úklidovém speciálu se nejprve podíváme, zda máte doma pořádně vyluxováno, poradíme vám, jak si přeprat špinavé kreditní karty a nakonec vše vydezinfikujeme voňavým chlorem.

Doba čtení: 5 minut