Hlavní navigace

Bezpečnost

Bezpečnost počítačových systémů. Zabezpečení serveru, pracovní stanice - antiviry, antispamy, šifrování, firewally a další.

Apache OpenOffice má neoficiální záplatu na vážnou zranitelnost

Nedávno objevená vážná zranitelnost byla zatím opravena jen v LibreOffice, ale pro Apache OpenOffice neexistuje oficiální záplata. Chyba s označením CVE-2018–16858 dovoluje přidat do dokumentu skrytou událost (onmouseover), která po svém vyvolání…

GPS přijímač vám může 6. dubna přestat fungovat, pokud neaktualizujete firmware

Starší navigace, GPS přijímače a podobná zařízení vám mohou 6. dubna přestat fungovat, pokud v nich neaktualizujete firmware. Signál GPS totiž mimo jiné obsahuje časovou značku, která je nutná ke správnému výpočtu polohy. Číslo týdne je v ní…

Maltská banka byla uzavřena, útočníci z ní ukradli 13 milionů eur

Druhá největší maltská banka Bank of Valletta, přes kterou proudí polovina místních bankovních transakcí, musela kvůli bezpečnostnímu incidentu přerušit provoz. Podle premiéra Josepha Muscata útočníci z banky ukradli 13 milionů eur, tedy přibližně…

Open-source má ve zdravotnictví dveře otevřené, ransomware bohužel taky

Za dvacet let prodělala medicína překotný vývoj. Kupředu se posunuly i související technologie a IT, otevřely se brány pro open-source a zlepšilo se i zabezpečení dat pacientů. Bohužel přibylo i hrozeb.

Doba čtení: 9 minut

Kam vás dovede dotazník z podvodné stránky?

Kam uživatele zavede dotazník, který slibuje iPhone nejnovější řady za vyplnění čtyř otázek? Kdekdo by se nad tímto typem podvodné stránky jen usmál a ignoroval ji. Jak ovšem zareaguje nepoučený uživatel?

Doba čtení: 7 minut

Postřehy z bezpečnosti: na internetu nejste nikdy v bezpečí

Pravidelný pondělní souhrn bezpečnostního dění, které se událo v uplynulém týdnu. Opět se nám urodila pěkná sbírka zranitelností napříč všemi oblíbenými operačními systémy a samozřejmě nevynecháme ani internet věcí.

11. 2. 2019 0:00
Doba čtení: 2 minuty

Mozilla oznámila projekt Fission, skutečně víceprocesový Firefox

Po roce utajených příprav Mozilla veřejně oznámila, že chce implementovat vlastnost site isolation – přísnější oddělení jednotlivých zobrazených stránek. Vyžaduje to přepsání Firefoxu tak, aby využíval izolovaných systémových procesů pro zpracování…

Android je možné napadnout pomocí obrázku PNG

Tři nově objevené zranitelnosti umožňují napadnou Android pouze tím, že si uživatel prohlédne obrázek ve formátu PNG. Vhodně upravený soubor může nést nebezpečný kód, který je v napadeném systému spuštěn s vysokými právy. Je tak možné snadno…

Uživatelé musí brát bezpečnost vážně, jinak přijde doba regulační

Desítky let vývoje počítačové bezpečnosti jsou hodně znát, první amatérské útoky nahradily profesionální mezinárodní zločinecké skupiny. Je to tak zásadní téma, že začalo zajímat i politiky a ti přišli s regulací.

Doba čtení: 6 minut

Chyba v RDP klientech umožňuje vzdáleně spustit cizí kód

RDP klienty jsou velmi užitečné aplikace, které dovolují vzdálené připojení k virtuálním či skutečným plochám s Windows. Jedná se o proprietární protokol vyvinutý Microsoftem, existuje ale celá řada jeho implementací také pro Linux či macOS…

Vážná zranitelnost LibreOffice a OpenOffice může ohrozit uživatele

V kancelářských balících LibreOffice a Apache OpenOffice byla objevena vážná zranitelnost, která umožňuje spuštění útočného kódu, pokud uživatel otevře upravený dokument s příponou ODT. Chyba s označením CVE-2018–16858 dovoluje přidat do dokumentu…

Unbound 1.9.0 vylepšuje podporu DNS-over-TLS

Vývojáři z NLnet Labs vydali novou verzi populárního rekurzivního DNS serveru Unbound (článek). Jedná se o první vydání po 1. únoru 2019, které podle plánu odstraňuje workaroundy pro autoritativní servery, které nesprávně implementují rozšíření…

5. 2. 2019 12:56

Současné hrozby: hromadný sběr dat, problémy v procesorech a prohlížeče

Svět se neustále mění a s ním se mění i bezpečnostní hrozby. Jaké problém nás nejvíce ohrožovaly v uplynulém roce a na co si musíme v tom letošním dávat pozor? Příliš mocné prohlížeče, chyby v CPU nebo těžba dat.

Doba čtení: 7 minut

Postřehy z bezpečnosti: když phisher zapomene na IPv6

Dnes si ukážeme, jak může nasazení IPv6 zafungovat jako anti-phishingová bariéra. Dále se podíváme na bezpečnost vozů bez klíče, originálně pojatou studii sociálních sítí a na další zajímavosti.

Doba čtení: 3 minuty

Keychain - šikovný pomocník pro klíče v terminálu

Pokud používáte ssh nebo gpg klíče chráněné heslem, musíte různě často zadávat toto heslo. Na desktopech se používá například gnome-keyring-daemon, který se vás zeptá na heslo jen jednou. Problém je pokud takového démona nemáte nebo nechcete…

Nový OpenVPN 3 linuxový klient

Vyšla třetí betaverze OpenVPN 3 linuxového klienta. Ten se od OpenVPN 2 dosti odlišuje. Je přepsán do C++11, používá D-Bus a tedy nepotřebuje být spuštěn superuživatelem. Vylepšená byla také konfigurace DNS. OpenVPN 3 klient nepodporuje všechny…

Mozilla zveřejnila pravidla pro blokování sledovačů ve Firefoxu

Mozilla v říjnu vydala Firefox 63, který přinesl přepracovanou ochranu proti sledování. Vývojáři nyní zveřejnili konkrétní pravidla, kterými se bude blokování sledovačů řídí. Je známo, že využívá seznam sledovacích služeb, který vytváří…

Let's Encrypt definitivně vypíná validační metodu tls-sni-01

Přibližně před rokem, 9. ledna 2018, byla objevena zranitelnost validační metody tls-sni-01 , používané k ověření držení doménového jména ve službě Let's Encrypt. Po objevení bezpečnostního problému byly validace touto metodou zablokovány pro…

Postřehy z bezpečnosti: nebezpečné důsledky neslušného operátoru

V dnešním zlodějském speciálu se vyhneme neslušným obrazcům při programování, naučíme se číst cizí záložky, obohatíme se daty z VPN provozu, zcizíme soubory chmatáckým MySQL a ochutnáme shnilou hrušku.

Doba čtení: 5 minut

Kritická zranitelnost v NumPy

Byla objevena kritická zranitelnost v NumPy CVE-2019–6446. Zranitelné jsou verze 1.10 (2015) – 1.16 (14. ledna 2019). Problém je v modulu pickle, pokud nahrajete škodlivý kód pomocí numpy.load spolu s allow_pickle (zavedeno právě ve verzi 1.10),…

Ve správci balíčků APT je zranitelnost umožnující spustit libovolný kód

Bezpečnostní výzkumník Max Justicz dnes publikoval detaily zranitelnosti správce balíčků APT. Ten je používán v Debianu, Ubuntu a v dalších odvozených distribucích. Zranitelnost spočívá v nedostatečně ošetřeném vstupu ze sítě při zpracování HTTP…

Postřehy z bezpečnosti: HSTS v časech sporů o rozpočet

Dnes se podíváme na jeden z důsledků „vypnutí vlády” v USA, na zatím nezáplatovanou zranitelnost ve Windows, na jeden únik dat, na další sbírku hesel, zranitelnost účtů hry Fortnite a na další zajímavosti.

Doba čtení: 3 minuty

CZ.NIC vydal knihu CyberSecurity

CZ.NIC vydal knihu CyberSecurity pojednávající na více než pěti stech stránkách o základech kybernetické bezpečnosti. Autoři jsou Jan Kolouch, Pavel Bašta, Andrea Kropáčová a Martin Kunc. Kniha je volně ke stažení ve formátu PDF, EPUB a MOBI. (zdroj: twitter)

Kognitivní inteligence pomáhá v boji proti polymorfnímu malwaru

Kyberútočníci neustále zdokonalují metody, jak uniknout detekci. Ochrana založená na signaturách a běžné statické analýze selhává při použití balíčkovačů, obfuskátorů, polymorfismu nebo metamorfismu.

Doba čtení: 3 minuty

SCP má desítky let starou chybu, server může podvrhovat soubory

Většina SCP klientů nekontroluje, zda od serveru dostává soubory, které byly skutečné objednány. Kompromitovaný server tak má možnost klientovi přepisovat jeho soubory či měnit přístupová práva.

Doba čtení: 2 minuty

Doména .SK nasadí od března DNSSEC

Správce domény .SK, společnost SK-NIC, a.s. oznámila, že na březen letošního roku připravuje nasazení DNSSEC. Při té příležitosti spustila také stránku věnovanou DNSSEC, která vysvětluje jeho vlastnosti a výhody. Společnost ve své zprávě uvádí, že…

Microsoft ukončí podporu Windows 7 přesně za rok

Plná podpora Windows 7 skončila přesně před čtyřmi lety, Microsoft pak přešel do režimu rozšířené podpory, který běží následujících pět let. Po tu dobu uživatelé dostávají už jen bezpečnostní záplaty. Tento režim ovšem bude ukončen přesně za rok,…

Vyšel Metasploit 5.0: je výkonnější a jednodušší

Vývojáři uvolnili novou verzi penetračního testovacího nástroje Metasploit s označením 5.0. Nová verze je podle nich výkonnější a zároveň je jednodušší pro uživatele. Novinky shrnují na svém blogu, kde píší o nové databázi, automatizačním API,…

Postřehy z bezpečnosti: vyhoďte už konečně ty faxy!

Dnes se podíváme na faxy, co umí fungovat i jako terminálové servery, prozkoumáme nástrahy zapomenutých DNS serverů a nebude chybět ani analýza bezpečnostních zranitelností protokolu DHCP.

Doba čtení: 4 minuty

Za chyby se platí: EU potřetí odmění lov chyb v open-source software

Celkem 14 open-source aplikací si Evropská unie vybrala jako klíčové. Od ledna financuje už třetí kolo programu na hledání chyb v nich, přičemž výběr je to poměrně pestrý: od VLC přes Drupal po KeePass.

Doba čtení: 2 minuty