Hlavní navigace

Postřehy z bezpečnosti: Opera a ukradený certifikát

Martin Čmelík 1. 7. 2013

Společnost Opera oznámila, že její systémy byly napadeny a útočníci se dostali k certifikátům, kterými bylo možné podepsat malware a rozšířit ho tak mezi všechny uživatele Opery v době od 01:00 do 01:36 UTC dne 19. června. Doporučujeme, do další verze prohlížeče, Operu odinstalovat a kompletně oscanovat počítač.

Naše postřehy

Jak hacknout jakýkoliv Facebook účet jen pomocí SMS? Anglický security researcher (fin1te) našel slabinu v notifikačním systému Facebooku. Pomocí změny parametru na stránce autorizace mobilního čísla uživatele byl schopen číslo změnit za svoje. Pak už jen stačlo projít procedurou zapomenutého hesla, kdy je potřeba zadat verifikační kód, který vám přijde na mobil (teď již útočníka) a resetovat heslo. Za nahlášení této chyby dostal odměnu 20 000 USD v rámci program Bug Bounty.Pěkný článek shrnující metody přesměrování stránek či obsahu webu, které používají spameři pro trackování prokliků a obcházení spam filtrů. U každého ze způsobů (JavaScript, meta-tag, iframe, htaccess, php, obfuskace, …) je uveden popis a konkrétní příklad. Na konci pak soubor doporučení, jak se před těmito útoky chránit.

Pěkný článek pojednávající o způsobu šíření a chování exploit kitu Glazunov. Součástí je i krátké video vysvětlující mechanizmus „drive-by download“ a popis problému researcherů rozeznat od sebe některé z exploit kitů, protože jsou si velmi podobné.

Pokud potřebujete vygenerovat payload a zároveň se snažíte udržet mimo zorné pole antivirových aplikací (obcházení AV detekčních enginů), rozhodně by vám neměl uniknout Veil Evasion Framework.

Webové stránky Fortuny jsou pod útokem. Jak uvedl mluvčí společnosti, jedná se pravděpodobně o DDoS útok, který ale nedokázal web úplně odstavit. Media nicméně stále nechápou, nebo spíše nechtějí chápat, pojem hacker, a tak prosím ignorujte pojem “hackerský útok” uvedený ve článku.

Poslední verze WordPressu (3.5.2) opravuje sedm bezpečnostních chyb a obsahuje i změny napomáhající proaktivní obraně před novými útoky. Je doporučeno ihned aktualizovat na poslední verzi.

Ještě minulý týden jsme informovali, že cena trojana/bankera Carberp klesla z 50 000 USD na 5000 USD, a pár dnů na to jsme se dozvěděli, že většina zdrojových kódů byla zveřejněna na Internetu.

Google Chrome Web Store přidal scanování aplikací, který proběhne před publikování, za cílem detekovat malware i jinak škodlý kód, který by mohl zapříčinit napadení vašeho počítače.

HTML Injection je chyba validace webového formuláře, kdy je možné vložit vlastní HTML kód a tím tak modifikovat výstup stránky a odchytnout například session cookie, vynutit po uživateli přihlášení atp.

Pokud jste si vždy chtěli přečíst jednoduchý článek vysvětlující, co je to Heap Overflow, tak přečtěte tento na InfoSec Institute.

Google přehledně zveřejnil data ze Safe Browsing, kde se můžete podívat, kolik webů hostuje malware, kolik varování bylo zobrazeno uživatelům i jak dlouho trvá průměrné odstranění malwaru ze stránek.

O aktualizaci dokument OWASP Top 10 webových chyb jsme už psali. Teď si můžete přečíst o Top 10 open source aplikacích, které pro testování/odhalování těchto chyb můžete použít.

Vlády a společnosti trénují novou generaci kyber válečníků pro boj s internetovými hrozbami.

Vše co jste chtěli vědět o HTML 5 útocích a nových možnostech díky novým funkcím, které přináší.

Clickjacking je metoda, kdy přes jednu stránku načtete druhou a dáte ji stoprocentní průhlednost, čímž je vlastně neviditelná pro uživatele. Když poté uživatel klikne na další objekt/tlačítko/odkaz na stránce spustí se tím akce na stránce skryté. Využití se meze nekladou. Uživatel tak může např. nastavit přesměrování všech svých emailů, jako by to udělal z webové administrace webmailu, koupit zboží na eshopu, snížit bezpečnost svého profilu na sociální síti a tak dále. Novou metodu clickjackingu, které se říká keyjacking, objevil italský security odborník Rosario Valotta.

Anketa

Byly bychom rádi, kdybyste nám vyplnili níže uvedenou anketu, protože nám to velice pomůže s budoucím vývojem a koncepcí PzB. Předem děkujeme!

Anketa

Kdo čte naše Postřehy z bezpečnosti?

Závěr

Tento seriál vychází za pomoci příznivců a redaktorů serveru (RubberDuck) Security-Portal.cz Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na Facebook, případně na Twitter.

Našli jste v článku chybu?

1. 7. 2013 10:08

Nevěřící z Orwelova (neregistrovaný)

Jen jestli ten únik certifikátů Opery nemá za cíl aby se co nejvíce lidí zbavilo staré verze. Později řeknou, že pro těch pár lidí nebudou starou verzi udržovat a již ani poskytovat ke stažení a že podopsání novým certifikátem nepřipadá v úvahu, protože proto.

1. 7. 2013 18:10

Pokud mám tipovat, kdo jsou čtenáři těchto článků, tak bych určitě chtěl zaškrtnout více možností...

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony