Hlavní navigace

Seriál Postřehy z bezpečnosti

Pravidelný bezpečnostní přehled odkazující na zajímavé dokumenty a materiály, které by vás mohly zajímat.

Postřehy z bezpečnosti: bezpečnost webu není jen otázkou bezpečnosti web serverů

Úterní DNS hack na několik hodin znepřístupnil stránky The New York Times, subsite Twitteru a dalších. Klíčem k útoku byl prý phishingem zcizený přístup k účtu správce renomovaného australského registrátora domén z Melbourne. Co můžete udělat pro to, abyste se nestali obětí podobného útoku?

Pavel Štros

2. 9. 2013 0:00
Doba čtení: 2 minuty

Postřehy z bezpečnosti: Ahoj Zucku, máš tam chybku

Khalil Shreateh objevil chybu na Facebooku, pomocí které byl schopen posílat zprávy na jakýkoliv wall/timeline, i když vás daný profil neměl v přátelích. Tuto chybu nahlásil dvakrát na Bug Bounty program Facebooku, leč neúspěšně. Nebyl schopen zreprodukovat chybu na testovacích účtech, tak zvolil jinou cestu.

Martin (Čmelík) Holovský

26. 8. 2013 0:00 | Facebook
Doba čtení: 4 minuty

Postřehy z bezpečnosti: šifrování je důležitější než kdy dřív

V tomto díle seriálu se (mimo jiné) dozvíte, jak dlouho lze ještě považovat RSA za bezpečný algoritmus, jak NSA infikovala Tor síť svým exploitem, o ukončení služeb bezpečného zasílání emailů, o síti levných a distribuovaných analyzátorů WiFi, o botnetu distribuovaného úložiště v JavaScriptu a spoustu dalšího.

Martin (Čmelík) Holovský

12. 8. 2013 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: Black Hat USA 2013

Black Hat USA 2013 je se svými 110 přednáškami (94 hodin) a workshopy jednou z největších a nejpřínosnějších konferencí na světě, kde se schází největší odborníci na bezpečnost. Poslední konference se konala 27. 7. – 1. 8. v hotelu Caesar Palace – Las Vegas, kde měli podobné počasí jako u nás dosahující 39°C.

Martin (Čmelík) Holovský

5. 8. 2013 0:00
Doba čtení: 7 minut

Postřehy z bezpečnosti: kyberzločin nezná dovolenou

Tento týden byl opravdu bohatý na útoky, zranitelnosti a odhalení nových informací. Musel jsem výběr témat zredukovat, aby nebyly postřehy příliš dlouhé, a tak se můžete těšit na to, co bylo dle mého názoru nejzajímavější. Je vidět, že přes dovolenou, nebo bych měl říct prázdniny, mají útočníci mnohem více času.

Martin (Čmelík) Holovský

29. 7. 2013 0:00
Doba čtení: 6 minut

Postřehy z bezpečnosti: backdoor ukrytý v obrázku

Peter Gramantik ze společnosti Sucuri objevil nový typ útoku, kdy se kód umožnující vzdálené spuštění PHP kódu ukrýval v EXIF hlavičce obrázku. Útočníci stáhli obrázek, modifikovali jeho hlavičky a uploadnuli ho zpět, přičemž obrázek jako takový bylo pořád možné zobrazit v prohlížeči.

Martin (Čmelík) Holovský

22. 7. 2013 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: Edward Snowden a NSA

Když už si člověk myslí, že o projektu PRISM a jemu podobných přečetl snad téměř vše, tak se najednou veřejně objeví Edward Snowden a máme tu další nové informace. O tom jak NSA mohla odposlouchávat právě probíhající šifrovanou komunikaci uživatele se službou Microsoftu, o botnetech/virech z dílny NSA apod.

Martin (Čmelík) Holovský

15. 7. 2013 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: infikování podepsaných aplikací Androidu

Pokud vlastníte zařízení s Androidem, pravděpodobně patříte mezi 99 % uživatelů, kteří mohou přijít o soukromá data. Podle společnosti BlueBox za problémem stojí nedokonalost v návrhu Androidu umožňující upravovat kód podepsaných APK souborů a tím přetransformovat legitimní aplikace na infikované/trojanizované.

Martin (Čmelík) Holovský

8. 7. 2013 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: Opera a ukradený certifikát

Společnost Opera oznámila, že její systémy byly napadeny a útočníci se dostali k certifikátům, kterými bylo možné podepsat malware a rozšířit ho tak mezi všechny uživatele Opery v době od 01:00 do 01:36 UTC dne 19. června. Doporučujeme, do další verze prohlížeče, Operu odinstalovat a kompletně oscanovat počítač.

Martin (Čmelík) Holovský

1. 7. 2013 0:00 | Opera
Doba čtení: 3 minuty

Postřehy z bezpečnosti: LinkedIn opět cílem útoků

Profesionální sociální síť LinkedIn se zotavuje po jednom z posledních útoku, kdy útočník (na hodinu) hijacknul DNS a přesměroval veškerý provoz na web confluence-network.com. Problémem jsou především cookies, které LinkedIn používá a ke kterým se útočník mohl dostat, protože mají velice dlouhou dobu platnosti.

Martin (Čmelík) Holovský

24. 6. 2013 0:00
Doba čtení: 3 minuty

Postřehy z bezpečnosti: naše paranoia má název PRISM

PRISM je hlavním tématem minulého týdne. Nepsali jsme o nem už v minulém dílu PzB z několika důvodů. Chtěli jsme si počkat na ověření údajů, více informací o projektu, motivy Edwarda Snowdena, který s tajným projektem NSA vyšel ven a navíc s něčím podobným jsme stejně počítali, jen jsme neznali název.

Martin (Čmelík) Holovský

17. 6. 2013 0:00
Doba čtení: 5 minut

Postřehy z bezpečnosti: vykutálený PayPal

Většina významných společností motivuje bezpečnostní odborníky programem Bug Bounty, kteří tak za nahlášení neznámé chyby v jejich aplikaci/systému dostanou honorář. Nově se o prohnanosti a skrblictví společnosti PayPal přesvědčil teprve sedmnáctiletý německý student, který nalezl chybu typu XSS.

Martin (Čmelík) Holovský

10. 6. 2013 0:00
Doba čtení: 4 minuty

Postřehy z bezpečnosti: zakladatel Liberty Reserve zatčen

Postřehy z bezpečnosti se snaží navázat na seriál Bezpečnostních střípků, které zde na Root.cz po mnoho let publikoval Jaroslav Pinkava. Seriál bude mít trochu jinou formu. Cílem bude poukázat na ty zajímavější články/dokumenty, které jsme si sami přečetli a shledali je přitom přínosnými.

Martin (Čmelík) Holovský

3. 6. 2013 0:00
Doba čtení: 6 minut