Hlavní navigace

Postřehy z bezpečnosti: bezpečnost webu není jen otázkou bezpečnosti web serverů

Pavel Štros

Úterní DNS hack na několik hodin znepřístupnil stránky The New York Times, subsite Twitteru a dalších. Klíčem k útoku byl prý phishingem zcizený přístup k účtu správce renomovaného australského registrátora domén z Melbourne. Co můžete udělat pro to, abyste se nestali obětí podobného útoku?

Při útoku byly napadené weby směrovány na servery řízené organizací Syrian Electronic Army. Chránit se proti podobnému typu útoku na technologické úrovni nelze. Jak tedy? Vyžádejte si u svého registrátora posílení administrativních kontrol změnových procedur a v krajním případě i tzv. registry lock.

Také DDOS útok na čínské (.cn) TLD DNS servery byl překvapivě úspěšný a na pár hodin znepřístupnil čínské weby. Jak by asi obstáli menší provozovatelé TLD serverů?

Přidáváme stručný přehled typů útoků na DNS.

Další postřehy

Apple půl roku zaspal a nyní už existuje Metasploit modul pro zranitelnost sudo v OS X a po Internetu se šíří Arabic text string crash pro OS X a iOS. Zneužívání „unicode of death“, druhé zmíněné zranitelnosti, se začalo po sociálních sítích šířit v takové míře, že Facebook přistoupil k jeho blokování.

Rozšiřování IPv6 představuje riziko pro fungování některých bezpečnostních technologií dneška, zmiňovány jsou zejména technologie založené na blacklistingu. Příčinou je prostě fakt, že IP rozsah je v IPv6 nesrovnatelně větší. V souvislosti s IPv6 se ještě máme na co těšit a do budoucna můžeme čekat množství nových technik sloužících k obcházení bezpečnostních kontrol. Už dnes je patrné, že výrobci (nejen) bezpečnostních produktů se na plnou podporu IPv6 adaptují velmi pomalu a s obtížemi.

Dvěma výzkumníky byl proveden důkladnější reverzní inženýring Dropbox klienta. Kromě obecné bezpečnostní analýzy ukázali způsob, jak obejít dvoufaktorovou autentizaci a zmocnit se cizího účtu. Doufají také, že vytýčili cestu k naprogramování open source klienta.

Ve zkratce

  • Cisco Secure ASC for Windows verze 4.0 až 4.2.1.15, systém často používaný pro řízení přístupu v síti a k síťovým prvkům, obsahuje fatální, vzdáleně zneužitelnou bezpečnostní chybu. Upgradujte.
  • Němečtí výzkumníci tvrdí, že pomocí 11 upravených mobilních telefonů dokáží blokovat podstatnou část G2 GSM provozu v okruhu cca 10 km. V článku je přehledně vysvětlen i princip.
  • Málokoho už překvapí, že iOS a Android mají važné architektonické bezpečnostní problémy. Demonstrováno na populárních aplikacích: Dropbox, Facebook, Google+.
  • Zajímá vás princip master key zranitelnosti v Androidu?
  • Podle průzkumu na tisícovce dospělých v USA jich asi 30% otevře i mail, který je jim podezřelý. Tak to se pak nemohou divit. ;-)
  • Čtyři základní doporučení pro menší organizace jak zabezpečit web. Jedno z nich zní: Svěřte správu specializované firmě.
  • Jak oskenovat celý Internet během hodiny? Odpovědí je Zmap.

Závěr

Tento seriál vychází za pomoci konzultantů firmy Datasys, příznivců a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
2. 9. 2013 17:11

Trik uveden v Dropbox paperu s PyRun_SimpleString lze použít i na "attach to rocess", kde se pythoní proces donutí k připojení k externímu python debuggeru - http://community.activestate.com/forum/attach-python-process-python-process-coredump#comment-10636