Pokud útočník mohl odchytávat data na webu, kam byl provoz přesměrovaný, mohl se snadno dostat ke cookies a tyto klíče pro přihlášení na LinkedIn může dál použít pro přístup.
Naše postřehy
Microsoft spustil vlastní bug bounty program, kde si můžete přijít na opravdu pěkné peníze. Za nahlášení chyby můžete dostat až 100 000 USD a za popis, jak chybě předejít, dalších 50 000 USD. Tento program se oficiálně spustí 26. června a musí se jednat o chyby nalezené ve Windows 8.1 Preview, či Internet Explorer 11 Preview, kde je však možné získat maximálně 11 000 USD.
V posledním updatu Javy 7 je opraveno zhruba 40 security chyb a Java 6 se už dle vyjádření Oraclu nebude dále updatovat. Pokud opravdu potřebujete používat Javu, tak si stáhněte poslední verzi a používejte jen na důvěryhodných webových stránkách, protože drtivá většina malwaru se dostane do počítače právě pomocí chyby v Javě. Můžete ji nechat zapnutou např. jen v sekundárním prohlížeči, který budete používat právě pro pár aplikací, které Javu vyžadují.
Microsoft vydal novou verzi toolu EMET (Enhanced Mitigation Experience Toolkit), který má za cíl zvýšit bezpečnost systému Windows a aplikací třetích stran. Umožňuje vnutit např. používaní ASLR všem aplikacím, ať už randomizaci adres používají nebo ne a dalších technik, které vás mohou teoreticky ochránit i před využitím existující chyby v aplikaci.
Anglická ICSA vydala dokument, který by měl vysvětlit manažerům společností, že na bezpečnosti záleží a co mohou udělat pro to, aby bezpečnost jejich společnosti byla na dobré úrovni.
Posledních několik měsíců se cíleně útočí na weby postavené na CMS WordPress. Většinou útočnící využívají starší verze pluginů a témat obsahující SQLi/XSS chybu a po úspěšném útoku na web nasadí na stránky malware sloužící k drive-by download, nebo watering hole útokům. Vzhledem k tomu, že je WordPress nasazen na cca 60 milionech stránkách, jedná se o poměrně vážný problém.
Na iOS zařízeních je možné sdílet internetové připojení s ostatními pomocí Personal Hotspotu, který je integrován v iOS. Heslo k němu je však generované zařízením (ano, můžete zvolit vlastní), a to je poměrně jednoduše předvídatelné. Jedná se o kombinaci jednoho ze 52.500 slov a náhodně generovaného čtyřmístného čísla. Podle studie z univerzity v Erlangenu se však používá pouze 1842 z těchto slov, takže je jednoduché vygenerovat seznam všech kombinací. Pomocí utility “iPhone Hotspot Password Cracker” můžete generovat seznam těchto kombinací a crackovat tak hotspoty ve vašem okolí.
Článek popisující čtyři základní prvky aplikační bezpečnosti, kterými by se všichni programátoři měli řídit.
Zdrojové kódy bankovního trojanu Carberp jsou na prodej. Stojí bohužel jen 5000 USD, i když by se podle odhadů daly prodat za 50–70 000 USD, takže můžeme čekat v brzké době několik modifikací a masivnější šíření tohoto malwaru.
Pokud ještě neznáte, tak se určitě podívejte na server VulnHub.com. Můžete zde stáhnout speciálně upravené obrazy (VMware, VirtualBox) systémů i celých sítí.
Tyto obrazy (většinou Linux) systémů obsahují velké množství chyb, případně pak aplikace a webové služby, které můžete použít pro penetrační testování. Některé z nich jsou vedené formou hry, kdy musíte překonávat několik úrovní, jejichž obtížnost postupně narůstá, případně pak hrajete roli hackera, který dostává úkoly. Velice šikovné a nezbytné pro začínajícího pentestera a bezpečnostního odborníka.
Od prvního zveřejnění a spuštění digitální měny bitcoin se lidé snaží vytvářet nejroztodivnější minery. Jedním z posledních kousků je využití Raspberry PI. Ten v článku využívá ASIC zařízení. Výhodou je možnost rozšiřovat “těžební stanici” o nová ASIC zařízení pomocí USB rozbočovačů.
Pro pobavení
Jedno z nejlepších využití QR kódů? Třeba při náboru tatérů.
Závěr
Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter.
