Hlavní navigace

Bezpečnost

Bezpečnost počítačových systémů. Zabezpečení serveru, pracovní stanice - antiviry, antispamy, šifrování, firewally a další.

Intel umožní použití GPU k detekci malwaru

Intel představil nové bezpečnostní technologie, které snad smyjí aspoň části pachuti nahromaděné za poslední měsíce. Patří mezi ně Accelerated Memory Scanning, technologie umožňující antivirovým programům provádět GPU akcelerované skenování a…

Cambridge Analytica těžila data z Facebooku více cestami

Bývalá zaměstnankyně Cambridge Analytica, Brittany Kaiser, dosvědčila před britskou komisí vyšetřující aféru kolem shromažďování osobních informací uživatelů Facebooku, že firma tato data získávala i za pomoci jiných kvízů, ne pouze dosud známým…

Další závažná chyba postihuje CPU Intelu, tentokrát v SPI Flash

Po Management Engine, Meltdown či Spectre byla odhalena další závažná chyba CVE-2017–5703 (přehled na webu Debianu) v produktech Intelu, která může vést až ke zničení počítače. Týká se několika posledních generací CPU Intel a útočník při jejím…

Instituce veřejné správy mohou žádat zdarma o routery Turris Omnia

Do 30. června letošního roku bude sdružení CZ.NIC, správce české národní domény, přijímat žádosti o bezplatné výpůjčky bezpečného routeru Turris Omnia. Ty mohou podávat instituce veřejné správy prostřednictvím webových stránek gov.turris.cz. Pro…

Databáze kasina ukradena přes teploměr v akváriu

Databáze velkých hráčů nejmenovaného kasina byla ukradena přes digitální teploměr v akváriu v hale kasina. Teploměr byl totiž připojený na internet a staral se o teplotu, jídlo ryb a čistotu akvária. Útočníci se přes něj dostali do vnitřní sítě a…

Děravé kardiostimulátory i ransomware decimující nemocnice

Ohlédnutí za uplynulým rokem ve zdravotnictví. Lidé nechodí po horách, ale po špitálech. A spolu s těmito lidmi kráčejí i jejich velmi citlivá data. Seznam problémů je ovšem stále velmi pestrý.

Doba čtení: 11 minut

Postřehy z bezpečnosti: komu se nelení, tomu se EV certifikát zelení

V dnešních postřezích si řekneme, že zelená barva není vždy důvodem k uklidnění a že pokud píšete malware, je dobré si přivstat. Také přiložíme ucho na síťovou zásuvku a naučíme se na sebe nechávat kontakt.

Doba čtení: 7 minut

Výrobci podvádějí s verzemi Androidu, místo záplatování jen mění datum

Téměř všichni výrobci chytrých telefonů s Androidem podvádějí své uživatele: Samsung, Xiaomi, OnePlus, Sony, HTC, LG a Huawei nedodávají bezpečnostní aktualizace, jen mění datum v systému, aby systém vypadal záplatovaný.

Doba čtení: 5 minut

Mozilla postupně zapíná ve Firefoxu TLS 1.3

Nedávno schválené bezpečnější a rychlejší finální TLS 1.3 bude postupně zapínáno ve Firefoxu. Asi polovina nových uživatelů bude mít TLS 1.3 povoleno. Zapnout si je však můžete také ručně pomocí volby security.tls.version.max, 3 odpovídá TLS 1.2 a 4 TLS 1.3.

AMD vydala opravu Spectre v2 pro CPU od roku 2011

Majitelé procesorů AMD od Bulldozeru výše mohou jásat, na světě je aktualizace mikrokódu CPU, která řeší bezpečnostní chybu Spectre v2 (CVE-2017–5715). Aktualizace již byly odeslány firmám vyrábějícím PC i základní desky, aby je zahrnuly do…

Reddit zakázal 944 účtů šířících ruskou propagandu

V nejnovějším přehledu Redditu shrnuje jeho šéf Steve Huffman několik věcí, z nichž v dnešní době tou možná nejpodstatnější je odhalení a uzavření téměř tisícovky účtů napojených na Internet Research Agency, nechvalně známou instituci šířící…

Facebook nabízí 40 000 dolarů za důkazy o úniku dat

Řada firem, včetně Facebooku, nabízí velmi zajímavé finanční odměny za nalezení vážných bezpečnostních děr. Po aféře se společností Cambridge Analytica, která ve velkém z Facebooku těžila veřejná data o uživatelích, však firma začala nabízet také…

Firefox zablokuje většinu načítání obsahu z FTP

Firefox bude následovat Chrome a začne výrazně přísněji zacházet s nezabezpečeným protokolem FTP. Konkrétně začne blokovat většinu vloženého obsahu, který by měl být pomocí FTP načítán. Týká se to tagů img, script nebo iframe, takže prohlížeč…

GE Healthcare ruší pevné přístupové údaje ve zdravotnických přístrojích

Napevno naprogramované přístupové údaje byly nalezeny hned v několika produktech firmy GE Healthcare určených pro zdravotnictví. Za analýzou stojí známý odborník angažující se v oblasti bezpečnosti zdravotnických přístrojů Scott Erven. Popsané…

10. 4. 2018 7:53

Knot Resolver a soukromí: méně úniků informací z DNS dotazů

Na apríla firma Cloudflare zcela vážně oznámila světu novinku, že vstupuje na trh rekurzivních DNS serverů a začíná tak konkurovat Google Public DNS. Cloudflare se rozhodl nasadit náš Knot Resolver, který v CZ.NIC vyvíjíme od roku 2014.

Doba čtení: 5 minut

Philips potvrdil řadu zranitelností v systémech pro zdravotnictví

Problémy se týkají například PACSových systémů Philips iSite a Philips IntelliSpace PACS. Řada zranitelností, jež by mohly ohrozit data pacientů, byla nalezena zejména v použitých komponentech třetích stran. PACS je technologie umožňující správu,…

9. 4. 2018 23:44

Postřehy z bezpečnosti: všechno co napíšete, může být použito proti vám

Dnes se věnujeme poslednímu vývoji okolo Facebooku, výpadku systému pro koordinaci letů, nové službě VirusTotal Droidy, zranitelnostem Cisco software a phishingové kampani využívající speciálního znaku řecké abecedy.

Doba čtení: 5 minut

Mark Zuckerberg připustil, že se těžila data všech 2,2 miliard uživatelů Facebooku

Původně se hovořilo o 50 milionech, později o 87 milionech a nyní Mark Zuckerberg připustil, že mohou být ohrožena data všech 2,2 miliard uživatelů sociální sítě Facebook. V průběhu několika let se totiž objevily firmy, které na sociální síti ve…

Cambridge Analytica vytáhla z Facebooku osobní data 87 miliónů uživatelů

Facebook přichází s novým zjištěním ve věci skandálu se zneužitím osobních dat, do kterého je zapletena společnost Cambridge Analytica. Podle něj nešlo v kause o osobní data „pouze“ 50 miliónů, ale dokonce 87 miliónů uživatelů největší sociální…

Intel neopraví Spectre v2 u řady starších CPU

Nejnovější aktualizace mikrokódu CPU firmy Intel přináší smutnou, ale očekávanou zprávu. Řady populárních procesorů let minulých, mnohdy dodnes využívaných, zůstanou bez opravy chyby Spectre v2. Z těch opravdu nejrozšířenějších, které dodnes…

Cert Spotter: jednoduché sledování vydaných HTTPS certifikátů

Od 30. dubna musí být všechny nové certifikáty zveřejňovány v systému Certificate Transparency, aby byly platné. Díky tomu je možné sledovat vydávání certifikátů na vybraná doménová jména.

Doba čtení: 5 minut

Chrome hledá ve Windows malware s pomocí nástroje společnosti ESET

Bezpečnostní analytička Kelly Shortridge ze společnosti SecurityScorecard si všimla, že prohlížeč Chrome skenuje soubory na jejím disku. Ukázalo se, že jde o více než rok starou funkci, která využívá nástroje společnosti ESET k základnímu skenování…

Postřehy z bezpečnosti: kouzelný hashtag pro děravý Drupal

Tentokrát se zaměříme na evergreen webových aplikací: neošetřené uživatelské vstupy. Ovšem u aplikace, na které stojí miliony webů. Nahlédneme na několik dalších kritických zranitelností a Meltdown vrátí úder.

Doba čtení: 3 minuty

Let's Encrypt začal přidávat do certifikátů potvrzení o Certificate Transparency

Měsíc před termínem začala otevřená certifikační autorita Let's Encrypt přidávat důkaz o zveřejnění certifikátu v Certificate Transparency. Tato autorita už od svého začátku všechny vydané certifikáty aktivně posílá do logů Certificate…

Drupal vydal opravu kritické zranitelnosti v jádře řady 7 a 8

Drupal už před časem potvrdil kritickou zranitelnost v jádře redakčního systému řady 7 a 8. Chyba označená jako CVE-2018–7600 nyní dostala záplatu a vývojáři doporučují ji co nejdříve záplatovat. Bezpečnostní problém se týká přímo jádra a umožňuje…

Pětina poskytovatelů VPN umožňuje únik IP adres při použití WebRTC

Přibližně 20 % největších poskytovatelů VPN služeb dovoluje IP adrese klienta uniknout pomocí mechanismu využívajícího WebRTC, který je známý minimálně tři roky. Problém objevil Paolo Stagno, který si říká VoidSec. Prověřil 83 známých VPN aplikací…

Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné

Po 30. dubnu vstupuje v platnost nové pravidlo, které nutí všechny certifikační autority zveřejňovat nově vystavené certifikáty v databázích Certificate Transparency. Všem autoritám tak bude vidět pod ruce.

Doba čtení: 4 minuty

BranchScope je nový útok postranním kanálem na procesory Intel

Po útocích Meltdown a Spectre je tu další útok, který zneužívá predikce skoků a spekulativního vykonávání kódu. Umožňuje vykrádat citlivé údaje z jiných procesů a dokonce těch běžících v SGX.

Doba čtení: 5 minut

Šance na změnu Facebooku po aféře Cambridge Analytica?

Před několika dny se provalila obří aféra se zneužitím dat desítek milionů uživatelů Facebooku bez jejich vědomí. Šéf firmy si již vysypal popel na hlavu. Je ale reálná šance, že se do budoucna něco změní?

Doba čtení: 6 minut

Schváleno finální TLS 1.3

Minulý týden bylo IETF (The Internet Engineering Task Force) schváleno finální TLS 1.3, které se shoduje s 28. verzí draftu. Předpokládá se, že TLS 1.3 se stane standardní metodou pro HTTPS šifrovanou komunikaci přes internet. Oproti TLS 1.2 byly…