Hlavní navigace

Bezpečnost

Bezpečnost počítačových systémů. Zabezpečení serveru, pracovní stanice - antiviry, antispamy, šifrování, firewally a další.

Android dostane šifrované DNS-over-TLS

Vypadá to, že Android již brzy dostane podporu šifrovaného DNS-over-TLS, které se již v pátek objevilo na Android Open Source Projectu (AOSP). Nové nastavení se objeví zřejmě v „Developer Options“ a bude dostupné patrně v Androidu 8.1…

Sledování polohy pomocí reklamy jen za tisíc dolarů

Výzkumníci z university ve Washingtonu našli způsob, jak lze za přibližně tisíc dolarů koupit reklamní kampaň, která dokáže určit polohu oběti. Nejprve je potřeba zjistit MAID (Mobile Advertising ID) oběti a to třeba odposlechem na nešifrované…

Postřehy z bezpečnosti: bankomat otevírá brány

Malware pro bankovnictví i bankomaty, hloupé chytré hodinky, které nahrávají únosci dětí, inspirující studie použití SSH, která pomohla mnohým útočníkům, a nechybí ani zmínka o DoubleLockeru, slibném ransomwaru pro Android

23. 10. 2017 0:00
Doba čtení: 4 minuty

Google vypsal odměny za nalezení chyb v aplikacích pro Android

Google vypsal odměny za nalezení chyb v aplikacích pro Android v Google Play Store. Zatím jde o vzdálené spuštění kódu na Androidu 4.4 a novějším. Odměna je tisíc dolarů. Nejprve je třeba chybu ohlásit vývojáři aplikace a do programu odměn může…

Kanadská bezpečnostní agentura uvolnila svůj nástroj proti malware

Kanadská bezpečnostní agentura CSE uvolnila svůj nástroj Assemblyline pro boj proti malware jako open source. Assemblyline je CSE přirovnáváno k dopravníkovému pásu: soubory jdou dovnitř a spousta pomocných aplikací je pročesává a hledá…

Honeypot as a Service: zapojte se do boje proti malwaru

Od 1. října 2017 je možné se zapojit do beta testování výzkumného projektu Honeypot as a Service, který pro nás připravilo sdružení CZ.NIC. Do projektu se může přihlásit dobrovolně každý a odkudkoliv. Honeypot je aplikace, která simuluje operační…

Google nabízí silnější zabezpečení účtu pro zvláště ohrožené uživatele

Google na svém blogu představil funkci Advanced Protection, která je určena úzké skupině uživatelů vážně ohrožené cílenými útoky. Jedná se zejména o politiky, novináře, aktivisty a další lidi z podobně exponovaných skupin, které jsou přímo ohroženy…

Rusko dalo Telegramu pokutu 300 tisíc Kč, odmítl poskytnout backdoor

Cloudový instantní kecálek Telegram v Rusku narazil. Jelikož odmítl poskytnout vládě, tedy přesněji Ruské tajné službě FSB backdoor k jím používané šifrované komunikaci, vyměřila mu Ruská federace pokutu ve výši 800 tisíc rublů (zhruba…

Apache přidává podporu Let's Encrypt, pro HTTPS stačí jeden řádek konfigurace

Mozilla financovala vývoj modulu pro webový server Apache, který se tak brzy naučí přímo podporovat certifikáty od Let's Encrypt. Abyste své weby zpřístupnili po HTTPS, stačí přidat jednu konfigurační volbu.

Doba čtení: 2 minuty

HSTS preload vyžaduje nově platnost alespoň jeden rok

Před několika dny byly změněny podmínky pro zařazení webu na seznam HSTS preload (commit na GitHubu). Nově musí web mít v hlavičce max-age nastaveno alespoň 31536000 sekund, tedy jeden rok. Dříve to byla doba poloviční. Hlavička HSTS říká…

Šifrování WPA2 prolomeno, Wi-Fi sítě je možné odposlouchávat (aktualizováno)

Několik bezpečnostních problémů bylo objeveno v šifrovacím protokolu WPA2, který je dnes velmi často používán na Wi-Fi sítích. Útok byl nazván KRACK a umožňuje odposlech i podvržení informací.

Doba čtení: 5 minut

Lokální zranitelnost v linuxovém jádře

V pátek Cisco popsalo chybu v linuxovém kernelu, která jde lokálně zneužít k eskalaci práv. Chyba dostala označení CVE-2017–15265 a týká se use-after-free ve funkci snd_seq_create_port() v Advanced Linux Sound Architecture (ALSA). Vývojáři kernelu…

WPA2 pravděpodobně prolomeno

Zdá se, že běžné zabezpečení WiFi sítí WPA2-PSK bylo prolomeno. Dle článku Alexe Hudsona bylo úspěšných několik útoků proti tomuto typu zabezpečení. Další informace mají být dostupné v průběhu dnešního dne. Opatrným uživatelům Alex doporučuje do…

Postřehy z bezpečnosti: (ne)přizpůsobiví hackeři

V dnešním díle postřehů se podíváme na skupinu (ne)přizpůsobivých hackerů měnících techniky útoků, potenciální zranitelnosti 4G/5G sítí, Apple ID hesla v ohrožení a další zajímavosti z bezpečnosti.

Doba čtení: 4 minuty

Payment Request API: informace o platební kartě bezpečně v prohlížeči

Proč vyvíjí W3C standard, který bude přímo konkurovat PayPalu? Jakou má motivaci snažit se o to, aby placení na internetu bylo co nejrychlejší a nejpohodlnější? A co vlastně určuje akční rádius takové organizace?

Doba čtení: 5 minut

Telefony OnePlus odesílají data bez vědomí uživatelů

OnePlus si nechává ze svých chytrých telefonů posílat průběžně spoustu uživatelských dat bez jejich vědomí. Vyplývá to z analýzy Chrise Moorea z Velké Británie. K odesílání dat si telefony při prvním zapnutí ani jindy neříkají o žádný souhlas…

Vyšel Debian 9.2

Vývojáři Debianu vydali druhou opravnou verzi vydání Stretch. Jedná se o opravné vydání označené jako 9.2, nepřináší žádné novinky, jen opravuje chyby v už existujících balíčcích. Pokud máte starší instalační média, nemusíte je zahazovat, po…

Zneškodněte hackery a vyhrajte Raspberry Pi nebo YubiKey4

Forenzní laboratoř CESNET letos přichází s novinkou. V rámci Měsíce kybernetické bezpečnosti nabídne vedle tradičního semináře pro veřejnost ještě interaktivní výherní soutěž The Catch. The Catch dává možnost každému, kdo se zaregistruje, odhalit…

Postřehy z bezpečnosti: bezpečnější Dnsmasq

Bezpečnostní analýza DNS balíčku, útok na herní službu Rainbow Six Siege, výsledky souboje Windows Defenderu se zranitelností Samby, blýskání na HSTS časy i analýza podceňování rizik spojenými s DNS útoky.

Doba čtení: 4 minuty

Lokální eskalace práv v Linuxu (CVE-2017-1000253)

Společnost FORPSI informovala majitele VPS serverů o bezpečnostní chybě, která se dá zneužít k lokální eskalaci práv. Více informací naleznete v článku na ZDNet.com. Případně na CVE-2017–1000253. Zajímavé na této chybě je fakt, že chyba byla…

Keybase.io spouští šifrovaný git

Projekt Keybase.io přidává do svého portfolia další funkci: šifrovaný git. Uživatel si nainstaluje remote helper (viz dokumentaci ke gitu), který zajistí komunikaci se šifrovaným repozitářem a uživateli transparentně šifruje/dešifruje data. Server…

5. 10. 2017 8:49

WannaCry a Petya způsobily škody za více než 4 miliardy dolarů

Společnost Trend Micro vydala svůj pravidelný Pololetní bezpečnostní report: Cena za útok. Ten ukazuje na konkrétní hrozby z první poloviny roku 2017, které nadále narušují a znepříjemňují IT plánování. Podniky čelí zvyšujícímu se počtu útoků…

Nejpopulárnější a nejčastěji zakazované mobilní aplikace ve firmách

Společnost Apthority zveřejnila rozsáhlou zprávu, která se týká používání mobilních zařízení ve firemním prostředí. Součástí jsou i žebříčky nejpoužívanějších aplikací. Na firemních telefonech s Androidem najdeme nejčastěji Uber, The Yellow Pages a…

Yahoo byly v roce 2013 ukradeny údaje o všech 3 miliardách účtů

Únik dat společnosti Yahoo z roku 2013 je větší, než se původně myslelo. Společnost Verizon, která se za 4,48 miliard dolarů stala v červnu novým majitelem Yahoo, zveřejnila informace o tom, že před čtyřmi lety unikly údaje o všech 3 miliardách…

4. 10. 2017 8:19

Tři kritické chyby v pluginech WordPressu už jsou zneužívány

Odborníci z bezpečnostní společnosti Wordfence objevili tři kritické bezpečnostní chyby ve třech různých pluginech blogovacího systému WordPress. Všechny tři chyby jsou přitom už aktivně zneužívány. Postiženými pluginy jsou Appointments, Flickr…

Google odhalil sedm bezpečnostních chyb v Dnsmasq

Bezpečnostní analytici Google zveřejnili informace o sedmi bezpečnostních chybách v serveru Dnsmasq. Ten integruje služby DNS resolveru, DHCP serveru, RA a bootu ze sítě. Je integrován v mnoha linuxových distribucích a domácích routerech (včetně…

Účtenkovka chce přístup k datům o hovorech

Ostře vypuštěná verze aplikace Účtenkovka pro Android chce víc práv, než může legitimně upotřebit. Mezi nejzávažnější patří „ID zařízení a informace o hovorech“. Po malém víkendovém pozdvižení na českém internetu Ministerstvo financí oznámilo na…

Výměna kořenového klíče se odkládá: operátoři nejsou připraveni

V říjnu mělo dojít k historicky první výměně klíče kořenové zóny systému DNSSEC. Dosud vše běželo podle plánu, teď však ICANN oznámil, že ohlášený termín se ruší a výměna bude provedena nejdříve v příštím roce.

2. 10. 2017 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: hlavně mít aktualizovaný systém

Dnes se podíváme na pár opravených zranitelností, první malware s exploitem zranitelnosti DirtyCow na Android, nasazování záplat u Apple a pár úniků důvěrných informací. Na závěr rozsekneme spor PIN vs. gesto.

Doba čtení: 3 minuty

Tails 3.2 staví na jádru 4.12.12

The Amnesic Incognito Live System v nové verzi 3.2 přináší podporu PPPoE pro vytáčené připojení a tvůrci žádají, aby uživatelé hlásili, pokud jim to stále nefunguje. Novinkou je také BookletImposer, nástroj pro konverzi lineárních PDF na booklety…