Hlavní navigace

Bezpečnost

Canonical odstraní nebezpečné vyhledávací moduly pro Unity 7

Canonical oznámil, že z archivu odstraní starší vyhledávací moduly „scopes“ pro Unity 7. Vývojáři míří k verzi s následujícím pořadovým číslem, ale sedmička se bude v podporovaných systémech držet ještě mnoho let. Vývojáři ale upozorňují na to, že…

Petr Krčmář

Dnes 10:53

Phishingový útok krade účty Google, pozor na falešné PDF v příloze

Nová phishingová kampaň míří na uživatele Google a je tak přesvědčivá, že může zmást i technicky zdatné uživatele. Vše začíná mailem s falešným PDF a končí ukradením přihlašovacích údajů.

Petr Krčmář

Dnes 0:00

Bezpečnost serverů Google

Google v pátek zveřejnil popis zabezpečení své serverové infrastruktury. Zabezpečení je rozděleno do šesti úrovní. Na nejnižší úrovni Google používá speciální hardwarové bezpečnostní čipy, vyrobené na zakázku. Pomocí podpisů zajišťuje integritu…

Jan Fikar

Včera 10:41
| 2

Nalezení zapomenutých klíčů na GitHubu

Dylan Ayrey napsal krátký skript v Pythonu, který prochází zdrojové kódy na GitHubu a hledá potenciální zapomenuté klíče. Vypisuje řetězce s velkou entropií a délkou alespoň 20 znaků. Program se nazývá lanýžový vepř (Truffle Hog) a je sám též dostupný na GitHubu. (zdroj: reddit)

Jan Fikar

Včera 9:16
| 5

IMAP server Dovecot prošel bezpečnostním auditem

Mozilla v rámci projektu MOSS zaplatila externí audit velmi populárního IMAP serveru Dovecot. Ten je nasazen na 68 % IMAP serverech po celém světě. Z výsledků auditu [PDF] plyne, že byly nalezeny jen tři méně vážné bezpečnostní chyby. Zajímavé také…

Petr Krčmář

16. 1. 2017 14:19
| 5

Vyděrači se po MongoDB zaměřují na Elasticsearch

Minulý týden zasáhla servery MongoDB nová vlna vyděračských útoků, když útočníci smazali data a požadovali platbu v bitcoinech za jejich obnovení. Nyní se zdá, že se útočníci zaměřili na nechráněné instalace Elasticsearch dostupné z internetu a…

Petr Krčmář

16. 1. 2017 9:43
| 3

Šifrování WhatsApp je lež, server umí klientům vyměnit klíče

Světově nejpopulárnější komunikační aplikace WhatsApp se chlubí velkou bezpečností a end-to-end šifrováním. Ve skutečnosti je to ale lež, server totiž umí u klientů potichu vyměnit klíče a odposlechnout komunikaci.

Petr Krčmář

16. 1. 2017 0:00

Postřehy z bezpečnosti: výkupné na míru

Dnes se podíváme na nový ransomware Spora a jeho vychytávky, přiblížíme triviální bezpečnostní chybu v Mongo databázi a ukážeme si, kdy nemusí být předvyplnění údajů v prohlížeči bezpečné.

CSIRT.CZ

16. 1. 2017 0:00
| 4

Jabbim Archive postihl velký únik dat VIP uživatelů

Česká služba Jabb.im vydala prohlášení, ve kterém přiznala rozsáhlý únik dat ze služby Jabbim Archive. Kompletní obsah databáze se objevil na ruských serverech, má 8 GB a obsahuje data za 6 měsíců, od října 2015 do března 2016. Jedná se o záznam…

Petr Krčmář

13. 1. 2017 9:03

Nefoťte se s prsty na znamení vítězství „V“, nebo vám ukradnou otisky

Nefoťte se s prsty na znamení vítězství, míru či vzdoru „V“, nebo vám ukradnou otisky. Vědcům z japonského národního institutu pro informatiku (NII) se podařilo rekonstruovat otisky prstů z fotografií pořízených ze vzdálenosti až tří metrů. Na…

Jan Fikar

12. 1. 2017 11:25

GoDaddy vydal 8951 certifikátů bez správného ověření

Společnost GoDaddy přiznala vážný bezpečnostní incident, který byl způsobený nefunkční validaci při vydávání DV certifikátů. Autorita tak vydala tisíce certifikátů bez ověření žadatele.

Petr Krčmář

11. 1. 2017 11:22

Vyděrači útočí na MongoDB, počet napadených serverů přesáhl 32 000

Internetem se šíří nová vlna vydírání spojená s užíváním databáze MongoDB. Jsou napadeny desítky tisíc instalací a další se objevují. Útočníků je pravděpodobně více a za obnovení databáze požadují platbu v bitcoinech.

Petr Krčmář

11. 1. 2017 0:00

Onion Browser (Tor) pro iOS je nově k dispozici zdarma

Na rozdíl od Androidu pro systém iOS neexistuje oficiální klient a prohlížeč sítě Tor, k dispozici je však několik neoficiálních. Možná nejoblíbenějším je prohlížeč Onion Browser, který byl nedávno zpřístupněn zdarma. Do té doby stál jeden dolar,…

Roman Bořánek

9. 1. 2017 17:06

Orwellův zákon jde podruhé do sněmovny

Už zítra (10. 1. 2017) vstupuje do druhého čtení ve sněmovně novela zákona o Vojenském zpravodajství, jež by dovolovala vojákům instalovat k českým providerům “černé skříňky”. Výzvu proti zákonu na webu Přichází rozvědka podepsalo zatím přes…

marek.opatrny

9. 1. 2017 16:43

Tisíce instalací MongoDB byly napadeny ransomwarem

Přes 10 000 databází běžících na open-source MongoDB byly vymazány po napadení ransomwarem. Na nebezpečí upozorňují oficiální stránky MongoDB a zároveň nabádají uživatele k správnému zabezpečení databáze. Administrátorům napadených databází na…

Petr Kajzar

9. 1. 2017 7:20
| 2

Rozvoj monitoringu velkých sítí aneb aby se data neztrácela

Jste správci velké sítě a potřebujete zjistit, zda ve vaší síti nedošlo k problémům, například zda vaše počítače byly zdrojem či cílem útoku, a kdy a jak byly stroje kompromitovány?

Martin Žádník

9. 1. 2017 0:00
| 8

Postřehy z bezpečnosti: veselý život pod povrchem

V dnešním díle se podíváme na nečekaný vektor útoku, zopakujeme si opravu chyby, podíváme se na novou verzi Pythonu, získáme trochu času, probereme aktuální události a možná se i trochu poučíme.

CESNET CERTS

9. 1. 2017 0:00
| 2

Připravte se s Mozilla.cz na mezinárodní den ochrany osobních údajů

Protože je 28. leden mezinárodním dnem ochrany osobních údajů, pořádá letos indická komunita Mozilly informační on-line kampaň. Celý leden bude každý den sdílet tipy a informace, jak se na internetu chovat nebo které nástroje využívat.Zprávy od…

Michal Stanke

5. 1. 2017 12:55

Útočník napadá nechráněné MongoDB a chce výkupné

Útočník s přezdívkou Harak1r1 napadá nechráněné MongoDB a požaduje výkupné 0,2 bitcoinu, tedy kolem 200 dolarů. Údajně už je napadeno více než 2 tisíce MongoDB. Jde většinou o databáze otevřené do internetu a bez hesla. Databáze není zašifrována,…

Jan Fikar

5. 1. 2017 9:07
| 7

Nejvíc zranitelností CVE měl v minulém roce Android

Server Bleeping Computer přináší souhrn statistik zranitelností CVE odhalených v roce 2016. S přehledem nejvíc, více než pět set, bezpečnostních zranitelností bylo nalezeno v operačním systému Android. Následovaly linuxové distribuce Debian a…

Roman Bořánek

4. 1. 2017 19:37

Kalifornie má od nového roku zákon proti ransomware

Ransomware je čím dál populárnější typ malwaru, který uživateli udělá něco nemilého a za navrácení počítače nebo dat do původního stavu žádá výkupné. Dalo by se říct, že je to jasně nelegální a trestná věc, ale například v americké Kalifornii to…

Roman Bořánek

4. 1. 2017 19:19
| 6

Odposlouchávání a prolamování Wi-Fi sítí zabezpečených pomocí WPA2

V tomto článku si podrobně popíšeme, jak funguje zabezpečení WPA2-PSK a následně se podíváme na možnosti odposlouchávání a prolamování hesla.

Michal Novák

4. 1. 2017 0:00

Webhosting s Cloudflare: bezpečná CDN zdarma

Provozovat bezpečný web vyžaduje spoustu úsilí. Veřejná reverzní proxy Cloudflare dokáže spoustu věcí zásadním způsobem zjednodušit.

Ondřej Caletka

3. 1. 2017 0:00

Firefox 52 znesnadní získání otisku prohlížeče, schová fonty

Můžete se na webu snažit chránit své soukromí jak chcete, ale kolikrát vás může jednoduše prásknout prohlížeč. Webové stránky si od něj mohou vyžádat různé informace a jejich kombinace může být unikátní (tzv. otisk), takže uživatele teoreticky lze…

Roman Bořánek

2. 1. 2017 7:40
| 4

Postřehy z bezpečnosti: trojský kůň Switcher

V aktuálním díle Postřehů se podíváme na nový malware pro Android, jehož cílem jsou naše routery, dále na to, jak chytrá zařízení zasahují do vyšetřování trestných činů nebo na falešnou hru Super Mario Run.

Pavel Bašta

2. 1. 2017 0:00
| 3

FBI a Ministerstvo vnitřní bezpečnosti USA odhalují ruské aktivity v americkém kyberprostoru

Nová společná zpráva Federálního úřadu pro vyšetřování (FBI) a Ministerstva vnitřní bezpečnosti USA (DHS) odhaluje nástroje a infrastrukturu používané údajně ruskými tajnými službami v kyberprostoru USA pod názvem Grizzly Steppe. Nástroje a…

Petr Kajzar

1. 1. 2017 11:12

Debian zvažuje zavedení automatických aktualizací

Antoine Beaupré na svém blogu píše o tom, že vývojáři Debianu zvažují zavedení automatických aktualizací pro nově nainstalované systémy. Přestože Debian nabízí možnost automatické a velmi spolehlivé aktualizace balíčků, většina uživatelů volá…

Petr Krčmář

30. 12. 2016 22:34

Tři kritické 0-day chyby v PHP 7

Odborníci z bezpečnostní firmy CheckPoint objevili tři vážné zranitelnosti v PHP 7. Chyby prý dovolují úspěšně napadnout 80 procent webů, které používají nejnovější řadu populárního jazyka. Jde opět o „unserialized mechanism“, který byl před lety…

Petr Krčmář

30. 12. 2016 22:15
| 6

Intel poslal patche pro bezpečnou paměť SGX do GCC 7

Intel poslal patche pro bezpečnou paměť SGX (Secure Guard Extension) do GCC 7. Přitom již v dubnu byly zveřejněny SGX patche pro linuxové jádro. K využití SGX je nutný procesor Intel Skylake nebo novější. (zdroj: phoronix)

Jan Fikar

29. 12. 2016 15:59

Chrome bude od příštího roku také upozorňovat na přihlašování bez HTTPS

Chrome ve verzi alespoň 56 bude od ledna příštího roku také upozorňovat na přihlašování bez HTTPS, podobně jako Firefox 51. Jde o první krok v označení všech nešifrovaných stránek jako potenciálně nebezpečných. Dalším krokem bude zřejmě označení…

Jan Fikar

29. 12. 2016 15:43