Hlavní navigace

Bezpečnost

Bezpečnost počítačových systémů. Zabezpečení serveru, pracovní stanice - antiviry, antispamy, šifrování, firewally a další.

Známe útočníka, který prodával data z LinkedIn, DropBox či Twitteru

Pod přezdívkou Tessa88 se ukrývá Maksim Vladimirovich Donakov z Ruského města Penza. Tento hacker stojící za prodejem dat z mnoha významných služeb od LinkedIn, přes Dropbox, Twitter, MySpace či třeba domovský VKontakte, byl identifikován skrze…

Zranitelnosti typu injekce: vložení systémového příkazu

V druhém díle seriálu se podíváme na injekci příkazu, která často umožní kompletní převzetí zařízení či serveru se zranitelnou aplikací. Představíme princip chyby a ukážeme různé možnosti útoku i obrany.

Doba čtení: 9 minut

Během soutěže Tianfu Cup PWN se za zero-day exploity rozdal milion dolarů

Minulý týden se v čínském městě Čcheng-tu konala bezpečnostní konference Tianfu Cup, při níž proběhla také soutěž Tianfu Cup PWN. Během ní měli etičtí hackeři (white hats) představit za finanční odměnu bezpečnostní chyby ve známých aplikacích…

Bezpečnost je problém celé firmy, ne jen IT, řekl na ORS Bob Mann

Ve čtvrtek 15. listopadu proběhl další ročník konference Open source řešení v sítích, kterou hostuje OPF SLU v Karviné. Proč firmy přistupují k bezpečnosti špatně? Jak Moravskoslezský kraj proměnit v IT oblast?

Doba čtení: 10 minut

Postřehy z bezpečnosti: Jak se stát milionářem snadno a rychle

V dnešním díle si ukážeme, že Elon Musk stále táhne, podíváme se, kam až může vést šíření fake news, povíme si o chybě platformy Steam a CMS WordPress nebo o změnách v cloudovém úložišti DropBox.

Doba čtení: 3 minuty

GPU NVIDIA také zranitelná útoky typu Meltdown/Spectre

Výzkumníci z university v Kalifornii našli zranitelnosti GPU NVIDIA postranním kanálem, které jsou podobné útokům Meltdown a Spectre na CPU. Útok lze provést jak v grafickém režimu (demonstrováno v prohlížeči přes WebGL, OpenGL), tak i v CUDA,…

Sedm nových variant Spectre a Meltdown přináší další potíže

Skupina vědců ze tří univerzit publikovala dokument popisující pět nových variant chyby Spectre a dvě nové varianty Meltdown. Zavádějí novou terminologii i systematizaci do členění jednotlivých variant.

Doba čtení: 5 minut

Objeveno dalších 7 útoků typu Meltdown/Spectre

Výzkumníci objevili dalších 7 dříve neznámých útoků typu Meltdown/Spectre, které lze použít na procesorech Intel, AMD a ARM. Dva nové útoky jsou typu Meltdown: Meltdown-PK pro Intel a Meltdown-BR pro Intel a AMD. Pět nových útoků je typu Spectre…

Mozilla vydala zprávu o bezpečnosti zařízení připojených k internetu: „soukromí nepřibaleno“

Blíží se vánoce a je možné, že budete chtít koupit hračku či zařízení, které je připojené k internetu. Mozilla prozkoumala 70 takových zařízení z hlediska bezpečnosti v rámci projektu „soukromí nepřibaleno“ (privacy not included). Zkoumalo se,…

Nginx řeší tři chyby umožňující ohrozit provoz serveru

Nginx je čím dál populárnější webový server (Root.cz o něm pořádá vlastní školení), který se nachází na čtvrtině serverů servírujících web. Vývojáři uvolnili nové verze 1.15.6 a 1.14.1, které opravují chybu v implementaci HTTP/2, která mohla vést…

Malware těžící kryptoměny používá rootkit, aby se ukryl před správci

Minery kryptoměn se snaží lépe ukrýt před správci napadených systémů, nově si proto berou na pomoc rootkity. Ty zamaskují těžební činnost tak, že je velmi obtížné odhalit původce neznámého poklesu výkonu.

Doba čtení: 4 minuty

Postřehy z bezpečnosti: batmanův sonar v kapse

Dnes si pomocí komunikačního šumu zkusíme posvítit na druhou stranu zdi, využijeme dlouhých a nezabezpečených prstů reklamních platforem, zrekapitulujeme si týdenní sbírku CVE a možná se opět něco přiučíme.

Doba čtení: 3 minuty

WireGuard má aplikaci pro iOS

Aplikace pro snadné VPN WireGuard je od pondělí dostupná pro iOS, zatím v alfa kvalitě v programu TestFlight.  The app costs $3.99 and requires an email address to sign up; we manage all your tunnels for you in the cloud. JUST KIDDING! Like the…

Šifrování SSD lze prolomit, ani BitLocker není v bezpečí

Některá SSD nabízejí vlastní šifrování obsahu. Jak ale objevili výzkumníci z nizozemské Radboud University, i u těchto SSD se útočník k obsahu může dostat a problém to je i pro microsoftí BitLocker.

Doba čtení: 3 minuty

Google vydal poslední aktualizaci pro telefony Nexus 5X a 6P

Google vydal poslední plánovanou aktualizaci pro nejmladší telefony z řady Nexus, konkrétně 5X a 6P. Jde o build OPM7.181105.004 obsahující Android 8.1 Oreo. Jde o poslední telefony, které v řade Nexus vyšly, Google s nimi přišel v roce 2015…

VirtualBox má zranitelnost bez opravy, exploit je veřejný

Byly zveřejněny informace o čerstvé zranitelnosti virtualizačního nástroje VirtualBox. Chyba se nachází v kódu sdíleném mezi platformami, proto se týká všech operačních systémů. Při zneužití zranitelnosti má útočník možnost uniknout z virtuálního…

7. 11. 2018 11:34

Odposlech mobilů pomocí Stingray a hackovací nástroje NSA (OpenAlt)

Jak se odposlouchávaly mobily v minulosti a jak se to dělá dnes? Jak mocné jsou uniklé hackovací nástroje od NSA? Na co se zaměřit při bezpečném používání linuxového desktopu? Nejen o tom se mluvilo na OpenAltu.

Doba čtení: 18 minut

Chyba PortSmash umožňuje krást klíče přes Hyper-Threading

Nově odhalená chyba PortSmash umožňuje ukrást data z paměti jiného procesu, který běží na stejném procesorovém jádře používajícím Hyper-Threading. Ochrana zatím neexistuje, jediným řešením je HT vypnout.

Doba čtení: 3 minuty

Postřehy z bezpečnosti: modrý odposlech

Pravidelná pondělní várka bezpečnostních zpráv za uplynulý týden. Přístup k Wi-Fi pomocí zranitelností Bluetooth, uniklá data voličů a skautek, bitcoiny z e-mailu nebo návrat zranitelnosti Ping of Death.

Doba čtení: 5 minut

Systémy macOS a iOS je možné shodit útočným paketem na Wi-Fi síti

Kevin Backhouse objevil bezpečnostní chybu v macOS a iOS, která dostala označení CVE-2018–4407. Operační systémy je možné shodit s pomocí upraveného paketu, který je rozeslán napříč Wi-Fi sítí. Problém se nachází přímo v jádře XNU, takže před ním…

Co skrývají „otevřené“ adresáře na českém a slovenském webu?

Nedávno jsme se s kolegy z týmu ALEF CSIRT rozhodli zjistit, jaká data jsou dostupná v „otevřených“ adresářích na webu. Ukázalo se, že není nijak složité najít ofocené občanské průkazy či databáze s citlivými osobními údaji.

Doba čtení: 7 minut

reCAPTCHA 3 odhalí spamboty bez interakce s uživatelem

Google spustil třetí verzi svého nástroje reCAPTCHA, kterým bojuje na webu proti spambotům od roku 2007. První verze vyžadovala opsání kódu z fotografie, druhá kliknutí doplněné případně o odpověď na obrázkový kvíz, nejnovější třetí verze slibuje…

Chyba v systemd umožňuje shodit nebo napadnout linuxový stroj

Chyba v systemd s označením CVE-2018–15688 umožňuje přetečení paměti při přijetí upraveného DHCPv6 paketu s příliš dlouhým server-id, které přesáhne 493 znaků. Chyba se nachází ve funkci dhcp6_option_append_ia v systemd-networkd a používá se…

DDoS za pár dolarů, nová služba využívá botnet Bushido

Výzkumníci z FortiGuard Labs varují před novou službou nabízející DDoS útoky. Jmenuje se 0×-booter a doslova za pár dolarů nabízí útoky o velké síle. První reklamy se na Facebooku objevily 17. října a služba v nich nabízí toky až 500 Gbps získané…

Postřehy z bezpečnosti: pozor na zubní kartáček

V dnešních postřezích z bezpečnosti nám EUROPOL s ENISOU ohlídají ústní dutinu před zákeřnými IoT kartáčky, padne na nás hněv tvůrce DNS serveru BIND a propadneme z tvorby záplat. Možná také najdeme Agenta Teslu.

Doba čtení: 5 minut

Chyba v X.org umožňuje eskalaci práv na Linuxu i BSD

Bezpečnostní chyba CVE-2018–14665 umožňuje přihlášeným uživatelům s přístupem k terminálu spouštět libovolný kód s právy roota. Může za to chybná kontrola oprávnění při spouštění Xorg s parametry -modulepath a -logfile. Problém se týká linuxových…

Google požaduje po výrobcích telefonu dva roky bezpečnostní podpory

Problémy s aktualizacemi se táhnou od úplného vzniku platformy Android. Google se snaží postupně situaci řešit, nyní chce po výrobcích zařízení, aby alespoň dva roky dodávali bezpečnostní záplaty systému. Vyplývá to alespoň ze smlouvy, kterou má…

DNS over HTTPS: nový standard pro bezpečné a soukromé DNS

DNS over HTTPS je čerstvý standard, který přináší šifrování a soukromí do DNS provozu. Na rozdíl od staršího DNS over TLS by měl být implementován přímo do aplikací, jako jsou webové prohlížeče.

Doba čtení: 7 minut

Zloději ukradli Tesla Model S za pár sekund, zachytila je kamera

Dvěma zlodějům se podařilo ukrást automobil Tesla Model S pomocí překonání pasivního přístupového systému. Vědci z Katolické univerzity v belgické Lovani na problém upozornili během září. Princip spočívá v přenesení informace z klíče, který…

OpenBSD 6.4 je ještě bezpečnější, svazuje aplikace a opravuje CPU

Existuje něco, co je ještě bezpečnější než OpenBSD 6.3? Ano, je to OpenBSD 6.4. Nové vydání vylepšuje virtualizační nástroj VMM, podporu spousty hardware a hlavně přidává řadu novinek pro zvýšení bezpečnosti.

Doba čtení: 6 minut