Hlavní navigace

Seriál Postřehy z bezpečnosti

Pravidelný bezpečnostní přehled odkazující na zajímavé dokumenty a materiály, které by vás mohly zajímat.

Postřehy z bezpečnosti: Poodle v TLS kabátku

V dnešním díle Postřehů se podíváme na novou odnož chyby Poodle, kterou je možné využít i bez SSLv3, hacking chytrých hodinek, nový modul rodiny APT s názvem Penquin Turla, návrat APT RedOctober, code execution díky Bitlockeru, OWASP meeting, malware podepsaný certifikátem Sony a spoustu dalšího.

Martin (Čmelík) Holovský

15. 12. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: chyby PayPal umožňující převzetí cizího účtu

V tomto díle Postřehů se podíváme na chyby v PayPal umožňující převzít kontrolu nad libovolným účtem. Dále se mimo jiné podíváme na narůstající počet PoS malware, operaci „DeathClick“, předinstalovaný malware na mobilních telefonech, na novou službu FLAB a na nový přístup k rozpoznání robota a uživatele.

Pavel Bašta

8. 12. 2014 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: SEA nabourala servery hlavních médií

V tomto díle Postřehů se podíváme na poslední aktivitu skupiny SEA, během které dokázala infikovat weby největších médií, řekneme si o malwaru v nabíječkách e-cigaret, napadení serverů společnosti Sony, malware CryptoPHP ukrytém v modulech a tématech CMS, nabourání platebního systému v Chile a spoustě dalšího.

Martin (Čmelík) Holovský

1. 12. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: chyba v Microsoft Windows Kerberos ohrožuje celé počítačové sítě

V tomto díle Postřehů se podíváme na další kritickou chybu v MS Windows, která může vést k ovládnutí všech počítačů v doméně. Dále se podíváme na aféru s on-line kamerami, která v minulém týdnu ovládla i Česká média, a nezapomeneme ani na chyby v CMS, či spamovou kampaň zneužívající značku Česká pošta.

Pavel Bašta

24. 11. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: kritická chyba SChannel postihující Windows

V novém díle Postřehů se podíváme na kritickou chybu Windows SSL/TLS knihovny umožňující vzdálené spuštění kódu. Dále pak na APT s názvem DarkHotel, teorii, podle které je možné identifikovat 81 % Tor uživatelů, operaci Onymous, při které FBI znepřístupnila přes 400 webů Tor sítě a spoustu dalšího.

Martin (Čmelík) Holovský

17. 11. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: Samsung objasňuje zranitelnost služby „Find My Mobile“

Společnost Samsung objasňuje zranitelnost služby „Find My Mobile“. Společnost Google uvolnila nástroj nogotofail. OS X umožňuje eskalace privilegií. Proběhla již třetí bezpečnostní konference serveru SOOM. Cisco opravuje zranitelnosti v Small Business routerech. Server xperia.cz přináší nový pohled na kauzu spyware Baidu.

Lukáš Malý

10. 11. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: Tor a dynamický patching souborů

V dnešním díle Postřehů se podívame na ruský Tor exit node, který dynamicky patchoval binární soubory, spyware instalovaný v telefonech Sony Xperia, analýzu SandWormu a ZxShellu, nabourání části sítě Bílého domu, další dvoufaktorovouu autentizaci služeb Googlu, nový projekt ShodanHQ a spoustu dalšího.

Martin (Čmelík) Holovský

3. 11. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: prý uniklo 7 miliónů účtů Dropboxu

Účty a hesla populární cloudové služby Dropbox se prý objevily ke stažení na internetu. K DDoS útokům se dle Akamai používá protokol UPnP. Android distribuce CyanogenMod podléhá MitM útoku. Microsoft, Adobe a Oracle opravily mnoho chyb. V protokolu SSLv3 byla objevena chyba v šifrování CBC.

Lukáš Malý

20. 10. 2014 0:00 | Dropbox
Doba čtení: 2 minuty

Postřehy z bezpečnosti: zlé, zlé USB

V dnešním díle Postřehů se podíváme na možnost přepsání USB firmwaru, které nám dovolí infikovat všechny počítače. Dále nás čeká pár novinek k Shellshocku, tracker botnetu Asprox, kritická chyba Xenu, změny ohledně Google SafeSearch, botnet infikující OS X řízený z Redditu a spoustu dalšího.

Martin (Čmelík) Holovský

6. 10. 2014 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: jste šokováni chybou shellu?

V dnešním díle Postřehů se podíváme na kritickou chybu Shellshock, která zkazila víkend většine správců serverů, na napadení serveru jQuery, hack jakéhokoliv účtu eBay do jedné minuty, 12 let trvající útok na tři stovky bankovních systémů, nový projekt od tvůrců Kali Linuxu a mnoho dalšího.

Martin (Čmelík) Holovský

29. 9. 2014 0:00 | Bash
Doba čtení: 4 minuty

Postřehy z bezpečnosti: v podstatě jsou za všemi problémy programátoři

V dnešním díle Postřehů se podíváme na kritickou RCE chybu na webu Yahoo, novou verzi OWASP příručky, studii blackmarketů, jak vypnout za běhu PatchGuard, další operaci NSA s názvem „Treasure Map“, malware BoSSaBoTv2, pěknou službu pro deobfuskování JavaScriptu, analýzu dropperu FinFisher a spoustu dalšího.

Martin (Čmelík) Holovský

22. 9. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: uživatelé Google pozor

Dnes se dozvíme, že Googlu uniklo pět milionů přihlašovacích údajů a hesel. Česká služba Skener webu oslavila rok své existence. V pozemním informačním systému pro satelity NOAA bylo objeveno mnoho chyb. Většina OS unixového typu opravila chyby v OpenSSL. Malware Dyre se zaměřuje na sběr obchodních dat z CRM.

Lukáš Malý

15. 9. 2014 0:00 | Gmail
Doba čtení: 2 minuty

Postřehy z bezpečnosti: Wi-Fi Sense ve Windows Phone, ohrožení bezpečnosti?

Operační systém Windows Phone přišel s novou funkcionalitou nazvanou Wi-Fi Sense. Byl to dobrý nápad? Malware z Windows naportován na konkurenční OS X. Taktéž portace linuxového trojan na Windows je možná. Profilování hackerů odhalilo zajímavé skutečnosti. NATO bude odpovídat na útoky v kyberprostoru.

Lukáš Malý

8. 9. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: ruští hackeři útočí na americké banky

Microsoft opravil dřívější chybnou záplatu. Ruští hackeři zaútočili na banku JPMorgan. 470 miliónů stránek funguje pouze jeden den, jedna z pěti je nebezpečná. Vyšly nové opravné verze Hypertext Preprocessoru PHP. Aplikace zkompilované ve vývojových prostředích Delphi a C++ Builder mohou trpět vážnou zranitelností.

Lukáš Malý

1. 9. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: sběr privátních dat je v kurzu

V dnešním díle Postřehů se podíváme na 4,5 milionů odcizených zdravotních údajů, na chybu RTFM v iOS, odcizení tajných dokumentů o letu MH370, na 51 systémů UPS postižených malwarem, který kopíroval údaje na kartě, hacking semaforů, vývoj clickjackingu, reverzní inženýrství obsfuskovaného kódu a mnoho dalšího.

Martin (Čmelík) Holovský

25. 8. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: můžeme věřit čínským telefonům?

Čínský výrobce telefonů Xiaomi prý špehuje uživatelská data. Adobe uvolnilo několik oprav svých produktů. Konference Black Hat a Def Con poukazují na noční můry v oblasti bezpečnosti. Nová upravená varianta malwaru GameOver ZeuS se rychle šíří. Oracle data redaction podléhá zranitelnosti.

Lukáš Malý

18. 8. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: hacktivista zveřejnil data kyberšpionážní společnosti

V dnešním díle Postřehů se podíváme na 40 GB dat společnosti Gamma Group, která stojí za špionážním softwarem FinFisher, exploit pro Symantec SEP, techniky komunikace backdooru, možnosti infikace spamerů, kritickou XML chybu ve WordPressu a Drupalu, krádež 1,2 miliardy přihlašovacích údajů a další.

Martin (Čmelík) Holovský

11. 8. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: nová metoda tichého zneužití USB

Byla demonstrována nová metoda, jak pomocí USB kompromitovat počítač. Siemens Systems vydal záplaty produktů SCADA. V produktu Symantec Endpoint Protection nalezeny tři zranitelnosti nultého dne. Na systém s androidem se dá útočit pomocí reproduktoru. Elasticsearch zneužit k DDoS útoku v prostředí cloudu Amazonu.

Lukáš Malý

4. 8. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: tříletá zero-day chyba v Internet Exploreru

V dnešním díle Postřehů se podíváme na tři roky starou zero-day chybu opravenou teprve minulý měsíc, naivní výrok zaměstnance Microsoftu či nový malware objeveným výzkumníky společnosti Yandex. Povíme si také o milionové ruské pobídce na prolomení Toru, českém projektu VirusTracker a mnohém dalším.

Martin (Čmelík) Holovský

28. 7. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: pět zranitelnosti ve web serveru Apache

Webserver Apache opravil pět zranitelností. Boj proti spamu podpořil Národní CSIRT České republiky, informuje správce mail serverů jak na SPF a DKIM. ASUS routery mají slabinu v AiCloud. Vzniká projekt SSL Blacklist pro šíření seznamu otisků škodlivých SSL certifikátů. Mladý Nor byl zatčen pro podezření z DDoS útoků.

Lukáš Malý

21. 7. 2014 0:00 | Apache
Doba čtení: 2 minuty

Postřehy z bezpečnosti: zdrojový kód trojanu Tinba k dispozici

Pravidelná dávka pondělních informací z počítačové bezpečnosti. Bankovni trojan Tinba je k dispozici i se zdrojovými kódy. Norské instituce čelily obdobnému DDoS útoku jako Česká republika na jaře 2013. Google zablokoval certifikáty vydané indickým NIC. Office 365 byly nefunkční kvůli chybě v certifikátu.

Lukáš Malý

14. 7. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: Microsoft a jeho poslední akce proti botnetu

V dnešním díle Postřehů se podíváme na poslední akci Microsoftu v boji proti botnetům, jak EFF zahájila soudní proces proti NSA, o univerzálním klíči k SSH Cisco Unified CDM, o dalším novém mobilním malwaru HijackRAT spojující několik funkcí, o nové „Bolware“ kampani v Brazílii a spoustě dalšího.

Martin (Čmelík) Holovský

7. 7. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: KeyStore Androidu má kritickou chybu

V dnešním díle Postřehů se podíváme na kritickou chybu Android KeyStoru, umožňující exportování všech hesel, klíčů, otisků prstů a dalších důvěrných dat, o bankovním malwaru EMOTET odposlouchávající HTTPS, o 20 let staré chybě v kompresním algoritmu LZO, obcházení 2FA PayPalu, co je to DNS Sinkhole a spoustě dalšího.

Martin (Čmelík) Holovský

30. 6. 2014 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: karty Supermikro umožňují stáhnout hesla

Některé servery Supermicro umožňují stáhnout hesla pro vzdálený přístup k ovládání hardwaru a servery Internet Info odolávaly DDoS útoku. Návrh zákona o kybernetické bezpečnosti prošel druhým čtením v Poslanecké sněmovně Parlamentu ČR a zaznamenali jsme další bankovní man-in-the-middle útok Dyre/Dyreza.

Lukáš Malý

23. 6. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: webová aplikace pro kontrolu „rom-0“

Sdružení CZ.NIC vytvořilo webovou aplikaci na kontrolu zranitelnosti „rom-0“. Uživatelům Seznamu byla podstrkávána falešná aplikace pro Android. Metasploit obsahuje nový modul prověřující OpenSSL DTLS. Adobe, Microsoft a Google vydali opravy svých produktů.

Lukáš Malý

16. 6. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: po Heartbleedu přichází Cupid útok

V tomto díle Postřehů se podíváme na několik posledních chyb OpenSSL a GnuTLS, na závažnou chybu v linuxovém jádře, novém ransomwaru Cryptowall, první ransomware na mobilní zařízení šifrující soubory, šmírování v síti Vodafone, opravy kritických chyb IE, hacking silničního značení, E2E Chrome plugin a další.

Martin (Čmelík) Holovský

9. 6. 2014 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: TrueCrypt nesmí zemřít!

Populární šifrovací nástroj TrueCrypt skončil, ale nikdo vlastně neví, jak a proč k tomu došlo. Podaří se jej zachránit? Operačnímu systému Windows XP lze ilegálně prodloužit aktualizace do roku 2019, je to ovšem spojeno s dosti velkou mírou rizika. Kali Linux lze provozovat na šifrovaném USB disku.

Lukáš Malý

2. 6. 2014 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: společnost eBay byla napadena – hned několikrát

V tomto díle Postřehů se podíváme na několik kritických zranitelností eBaye, objevených až po ohlášeném útoku, s přístupem k databázi se 145 miliony uživatelů, jaký malware napadá přímo platební terminály, jaké existují možnosti v napadení kabelového vysílání, o zneužívání SNMP k DoS útokům a spoustu dalšího.

Martin (Čmelík) Holovský

26. 5. 2014 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: NSA a továrna na backdoory

Karlík má svou továrnu na čokoládu a NSA na implantaci backdooru do zařízení posílaných poštou. V tomto díle Postřehů se mimo jiné také podíváme na bankomaty používající biometrii, co umí zajímavého nová verze Cryptocatu, jak bezpečný je firmware bežící v satelitech a spoustu dalších (ne)bezpečnostních témat.

Martin (Čmelík) Holovský

19. 5. 2014 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: Microsoft a Adobe vydají důležité záplaty

Microsoft a Adobe připravují na úterý 13.5. hned několik závažných oprav. I skrze Facebook se spolehlivě šíří malware. Zprávu o SPAMu vydala společnost Kaspersky Labs. Telefony a tablety se systémem iOS7 nedostatečně šifrují přílohy emailů. Cisco vydalo opravy pro svůj produkt WebEx player.

Lukáš Malý

12. 5. 2014 0:00
Doba čtení: 2 minuty