Hlavní navigace

Postřehy z bezpečnosti: LinkedIn opět cílem útoků

Martin Čmelík

Profesionální sociální síť LinkedIn se zotavuje po jednom z posledních útoku, kdy útočník (na hodinu) hijacknul DNS a přesměroval veškerý provoz na web confluence-network.com. Problémem jsou především cookies, které LinkedIn používá a ke kterým se útočník mohl dostat, protože mají velice dlouhou dobu platnosti.

Pokud útočník mohl odchytávat data na webu, kam byl provoz přesměrovaný, mohl se snadno dostat ke cookies a tyto klíče pro přihlášení na LinkedIn může dál použít pro přístup.

Naše postřehy

Microsoft spustil vlastní bug bounty program, kde si můžete přijít na opravdu pěkné peníze. Za nahlášení chyby můžete dostat až 100 000 USD a za popis, jak chybě předejít, dalších 50 000 USD. Tento program se oficiálně spustí 26. června a musí se jednat o chyby nalezené ve Windows 8.1 Preview, či Internet Explorer 11 Preview, kde je však možné získat maximálně 11 000 USD.

V posledním updatu Javy 7 je opraveno zhruba 40 security chyb a Java 6 se už dle vyjádření Oraclu nebude dále updatovat. Pokud opravdu potřebujete používat Javu, tak si stáhněte poslední verzi a používejte jen na důvěryhodných webových stránkách, protože drtivá většina malwaru se dostane do počítače právě pomocí chyby v Javě. Můžete ji nechat zapnutou např. jen v sekundárním prohlížeči, který budete používat právě pro pár aplikací, které Javu vyžadují.

Microsoft vydal novou verzi toolu EMET (Enhanced Mitigation Experience Toolkit), který má za cíl zvýšit bezpečnost systému Windows a aplikací třetích stran. Umožňuje vnutit např. používaní ASLR všem aplikacím, ať už randomizaci adres používají nebo ne a dalších technik, které vás mohou teoreticky ochránit i před využitím existující chyby v aplikaci.

Anglická ICSA vydala dokument, který by měl vysvětlit manažerům společností, že na bezpečnosti záleží a co mohou udělat pro to, aby bezpečnost jejich společnosti byla na dobré úrovni.

Posledních několik měsíců se cíleně útočí na weby postavené na CMS WordPress. Většinou útočnící využívají starší verze pluginů a témat obsahující SQLi/XSS chybu a po úspěšném útoku na web nasadí na stránky malware sloužící k drive-by download, nebo watering hole útokům. Vzhledem k tomu, že je WordPress nasazen na cca 60 milionech stránkách, jedná se o poměrně vážný problém.

Na iOS zařízeních je možné sdílet internetové připojení s ostatními pomocí Personal Hotspotu, který je integrován v iOS. Heslo k němu je však generované zařízením (ano, můžete zvolit vlastní), a to je poměrně jednoduše předvídatelné. Jedná se o kombinaci jednoho ze 52.500 slov a náhodně generovaného čtyřmístného čísla. Podle studie z univerzity v Erlangenu se však používá pouze 1842 z těchto slov, takže je jednoduché vygenerovat seznam všech kombinací. Pomocí utility “iPhone Hotspot Password Cracker” můžete generovat seznam těchto kombinací a crackovat tak hotspoty ve vašem okolí.

Článek popisující čtyři základní prvky aplikační bezpečnosti, kterými by se všichni programátoři měli řídit.

Zdrojové kódy bankovního trojanu Carberp jsou na prodej. Stojí bohužel jen 5000 USD, i když by se podle odhadů daly prodat za 50–70 000 USD, takže můžeme čekat v brzké době několik modifikací a masivnější šíření tohoto malwaru.

Pokud ještě neznáte, tak se určitě podívejte na server VulnHub.com. Můžete zde stáhnout speciálně upravené obrazy (VMware, VirtualBox) systémů i celých sítí.
Tyto obrazy (většinou Linux) systémů obsahují velké množství chyb, případně pak aplikace a webové služby, které můžete použít pro penetrační testování. Některé z nich jsou vedené formou hry, kdy musíte překonávat několik úrovní, jejichž obtížnost postupně narůstá, případně pak hrajete roli hackera, který dostává úkoly. Velice šikovné a nezbytné pro začínajícího pentestera a bezpečnostního odborníka.

Od prvního zveřejnění a spuštění digitální měny bitcoin se lidé snaží vytvářet nejroztodivnější minery. Jedním z posledních kousků je využití Raspberry PI. Ten v článku využívá ASIC zařízení. Výhodou je možnost rozšiřovat “těžební stanici” o nová ASIC zařízení pomocí USB rozbočovačů.

Pro pobavení

Jedno z nejlepších využití QR kódů? Třeba při náboru tatérů.

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter.

Našli jste v článku chybu?

25. 6. 2013 22:59

Kdyz uz jsme u toho tak moc nechapu, proc to maji navic i zavisly na systemu. Pisou: Windows Vista, Windows XP nebo Windows 2000 a Windows 7. A pritom to je podle vseho jen nejaka JWS (Java Web Start) aplikace, to uz mohli udelat klidne normalni webovku :-)

25. 6. 2013 22:48

Je to prasečina. Musím kvůli tomu mít v systému 3 javy: 5, 6 a raději (pro jiné věci) i 7.

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Co chtějí operátoři při přechodu na DVB-T2?

Co chtějí operátoři při přechodu na DVB-T2?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR