1
2
3
4
5
6
7
8
9
10
>
>>
>|
05.02.2012 Šifrování komunikace satelitních telefonu prolomeno
Dvěma akademikům z německé univerzity se podařilo prolomit šifry GMR-1 a GMR-2, které se používají pro šifrování komunikace satelitních telefonů. Jedním z důvodů bylo to, že výrobci si toto šifrování ponechali v tajnosti a tudiž se nemohlo otestovat bezpečnostními inženýry po celém světě. Problém s prolomením šifrování komunikace se zatím netýká satelitních telefonů používajících šifry ETSI GMR-1/2. -zte-
29.01.2012 Spoločnosť Symantec varuje zákazníkov pred použitím vlastného produktu
Softvérový balík pcAnywhere od firmy Symantec obsahuje kritickú zraniteľnosť súvisiacu so vzdialeným prístupom. Potenciálne zneužitie danej chyby napríklad umožní útočníkom získať vzdialenú správu nad firemnou sieťou a dostať sa k citlivým údajom. V neprospech situácie navyše hrá fakt, že istá hackerská skupina odcudzila zdrojový kód, čím získali čas podrobne preskúmať zraniteľnosti a vypracovať sofistikovanejšie možnosti zneužitia. Firma Symantec preto odporúča všetkým svojím klientom, nepoužívať daný produkt, dokiaľ nevydá opravný patch, ktorý eliminuje všetky bezpečnostné riziká. Viac sa dočítate na stránkach BBCNews. -dra-
29.01.2012 Zraniteľnosť v zariadeniach Cisco IronPort
Systémy Cisco IronPort Email Security Appliances (ESA) a Cisco IronPort Security Management Appliances (SMA) obsahujú zraniteľnosť, ktorej úspešné zneužitie umožní vzdialene pripojenému útočníkovi, s neautorizovaným prístupom, spúšťať ľubovoľne upravené kódy so zvýšenými oprávneniami. Viac info nájdete na stánkach výrobcu. -dra-
23.01.2012 Oprava bezpečnostnej chyby v OpenSSL obsahuje kritickú zraniteľnosť
Opravný patch pre populárne knižnice OpenSSL, vydaný dňa 6. 1. 2012, síce vyriešil chybu typu DoS (denial-of-service), no priniesol so sebou ďalšiu zraniteľnosť (CVE-2011-4108). Ide o vážnu chybu v implementácii DTLS (Datagram Transport Layer Security) protokolu, ktorá umožní potencionálnym útočníkom dešifrovať zabezpečenú komunikáciu bez znalosti šifrovacieho kľúča. Riešením problému je upgrade na verzie OpenSSL 1.0.0g alebo 0.9.8t. Viac informácií nájdete tu. -dra-
07.01.2012 Zranitelnost v zabezpečení většiny wifi routerů
Velké množství dnes uživaných wifi routerů obsahuje funkci WPS, která umožňuje stiskem tlačítka přímo na routeru jednoduše připojit podporovaná zařízení bez komplikovaného nastavování. WPS však představuje i bezpečnostní hrozbu. Při spojení nového zařízení tato funkce vyžaduje zadání PIN, který se mnohdy nachází na štítku přímo na zařízení. To samo o sobě nepředstavuje většinou velký problém - PIN obsahuje 8 číslic, jejichž uhodnutí by mohlo trvat i celé roky. Pokud však útočník zadá špatnou kombinaci, vrátí se mu nejen informace o tom, že jeho útok byl neúspěšný, ale i zpráva o tom, jestli bylo některé čtyřčíslí zadáno korektně. Funkce WPS tak v důsledku redukuje 100 milionů možných kombinací na pouhých 11 000 a prolomení takového hesla už mnoho času nezabere. Pro připojení nezvaného hosta tedy vlastně stačí, aby při stisku tlačítka v okolí byl někdo, kdo momentálně zjišťuje, zdali některý z routerů v okolí nemá zapnutou službu WPS a byl připraven toho zneužít. Více informací o této nepochopitelné chybě naleznete ve zprávě na serveru Zive.cz. -jbl-
26.11.2011 Zneužití telefonu k odezírání textu psaného na PC
Vědci z Georgia Institute of Technology přišli se zvláštním způsobem zneužití smartphonů. Mnoho lidí už někdy slyšelo o takzvaných keyloggerech - programech, které zaznamenávají stisknuté klávesy a v některých případech tato data odesílají útočníkům, kteří takto mohou získat například hesla k uživatelským účtům. Málokoho však už napadne, že tento útok nemusí mít jen podobu programu na vašem počítači. Díky novinkám, jako akcelerometry, gyroskopy, a svým způsobem třeba i mikrofony stačí nyní nainstalovat obdobný program na telefon ležící vedle klávesnice a snímat záchvěvy stolu způsobené psaním. Telefon samozřejmě nezjistí přesně jakou klávesu jste stiskli, ale pokud obsahuje dostatečně sofistikovaný slovník, lze například s iPhonem 4 dosáhnout přesnosti až 80% jen z informací o hrubé oblasti klávesnice, na které klávesa byla. Více informací naleznete v tomto článku. -jbl-
21.11.2011 Anonymní internetový "hippíci" broja proti Adobe Flash Player Plugin
Nepriatelia Flash-u pritvrdili. Založili portál Occupy Flash, kde verejne nabádajú ľudí, aby odstránili zo svojích internetových "životov" všadeprítomný Flash a nahradili ho HTML5. Ten práve označujú ako budúcnosť internetu. Táto militantná skupina, na svojich stránkach, Adobe Flash vážne nešetrí a označuje ho za webovú fosíliu či bezpečnostnú nočnú moru, ktorá obmedzuje, brzdí internet a navyše ani riadne nefunguje na všetkých zariadeniach. Kto za týmto projektom stojí, zatiaľ známe nie je, rovnako aj dôvod ich konania. Štatistiky totiž hovoria, že Adobe Flash Plugin používa viac ako 90% PC pripojených na internet. Ponúka sa preto otázka, či pánom z Occupy Flash ide naozaj iba o náš, ničím nerušený pôžitok z rýchleho surfovania na webe. Viac už však nájdete v originálnom článku, ktorý prináša TheRegister. -dra-
21.11.2011 Vážne pochybenia v zabezpečení RealPlayer
Multimediálny prehrávač RealPlayer obsahuje viacnásobné zraniteľnosti, ktoré môžu byť zneužité na kompromitáciu celého systému. Riešením daného problému je upgrade na verziu 15.0.0. Podrobný popis chýb nájdete tu. -dra-
21.11.2011 Havárie serverů BIND 9
Byly hlášeny pády DNS serverů provozujících BIND 9 a vykonávajících rekurzivní dotazy. Postiženy byly mnohé verze včetně aktuálně podporovaných. ISC současně zkoumá příčiny a vydalo záplaty, které zabraňují pádu. Pro více informací navštivte stránky ISC. -jba-
04.11.2011 Ze služby Facebook ukradena data
Ze služby Facebook bylo ukradeno 250GB osobních dat. Během osmi týdenního pokusu se podařilo 102 SocialBotům, vydávajícím se za skutečné uživatele Facebooku, získat 250GB důvěrných dat od uživatelů, kteří potvrdili žádost o přátelství. Obranný systém Facebooku proti SocialBotům téměř nezakročil, podařilo se mu zablokovat pouze 20 % z nich. Podle autorů z University of British Columbia Vancouver neměl jejich projekt za cíl odkrýt nedokonalosti bezpečnostního systému Facebooku, ale pomoci Facebooku a jiným službám zdokonalit jejich obrané systémy. -zte-
starší >>>
05.02.2012 Šifrování komunikace satelitních telefonu prolomeno
Dvěma akademikům z německé univerzity se podařilo prolomit šifry GMR-1 a GMR-2, které se používají pro šifrování komunikace satelitních telefonů. Jedním z důvodů bylo to, že výrobci si toto šifrování ponechali v tajnosti a tudiž se nemohlo otestovat bezpečnostními inženýry po celém světě. Problém s prolomením šifrování komunikace se zatím netýká satelitních telefonů používajících šifry ETSI GMR-1/2. -zte-
29.01.2012 Spoločnosť Symantec varuje zákazníkov pred použitím vlastného produktu
Softvérový balík pcAnywhere od firmy Symantec obsahuje kritickú zraniteľnosť súvisiacu so vzdialeným prístupom. Potenciálne zneužitie danej chyby napríklad umožní útočníkom získať vzdialenú správu nad firemnou sieťou a dostať sa k citlivým údajom. V neprospech situácie navyše hrá fakt, že istá hackerská skupina odcudzila zdrojový kód, čím získali čas podrobne preskúmať zraniteľnosti a vypracovať sofistikovanejšie možnosti zneužitia. Firma Symantec preto odporúča všetkým svojím klientom, nepoužívať daný produkt, dokiaľ nevydá opravný patch, ktorý eliminuje všetky bezpečnostné riziká. Viac sa dočítate na stránkach BBCNews. -dra-
29.01.2012 Zraniteľnosť v zariadeniach Cisco IronPort
Systémy Cisco IronPort Email Security Appliances (ESA) a Cisco IronPort Security Management Appliances (SMA) obsahujú zraniteľnosť, ktorej úspešné zneužitie umožní vzdialene pripojenému útočníkovi, s neautorizovaným prístupom, spúšťať ľubovoľne upravené kódy so zvýšenými oprávneniami. Viac info nájdete na stánkach výrobcu. -dra-
23.01.2012 Oprava bezpečnostnej chyby v OpenSSL obsahuje kritickú zraniteľnosť
Opravný patch pre populárne knižnice OpenSSL, vydaný dňa 6. 1. 2012, síce vyriešil chybu typu DoS (denial-of-service), no priniesol so sebou ďalšiu zraniteľnosť (CVE-2011-4108). Ide o vážnu chybu v implementácii DTLS (Datagram Transport Layer Security) protokolu, ktorá umožní potencionálnym útočníkom dešifrovať zabezpečenú komunikáciu bez znalosti šifrovacieho kľúča. Riešením problému je upgrade na verzie OpenSSL 1.0.0g alebo 0.9.8t. Viac informácií nájdete tu. -dra-
07.01.2012 Zranitelnost v zabezpečení většiny wifi routerů
Velké množství dnes uživaných wifi routerů obsahuje funkci WPS, která umožňuje stiskem tlačítka přímo na routeru jednoduše připojit podporovaná zařízení bez komplikovaného nastavování. WPS však představuje i bezpečnostní hrozbu. Při spojení nového zařízení tato funkce vyžaduje zadání PIN, který se mnohdy nachází na štítku přímo na zařízení. To samo o sobě nepředstavuje většinou velký problém - PIN obsahuje 8 číslic, jejichž uhodnutí by mohlo trvat i celé roky. Pokud však útočník zadá špatnou kombinaci, vrátí se mu nejen informace o tom, že jeho útok byl neúspěšný, ale i zpráva o tom, jestli bylo některé čtyřčíslí zadáno korektně. Funkce WPS tak v důsledku redukuje 100 milionů možných kombinací na pouhých 11 000 a prolomení takového hesla už mnoho času nezabere. Pro připojení nezvaného hosta tedy vlastně stačí, aby při stisku tlačítka v okolí byl někdo, kdo momentálně zjišťuje, zdali některý z routerů v okolí nemá zapnutou službu WPS a byl připraven toho zneužít. Více informací o této nepochopitelné chybě naleznete ve zprávě na serveru Zive.cz. -jbl-
26.11.2011 Zneužití telefonu k odezírání textu psaného na PC
Vědci z Georgia Institute of Technology přišli se zvláštním způsobem zneužití smartphonů. Mnoho lidí už někdy slyšelo o takzvaných keyloggerech - programech, které zaznamenávají stisknuté klávesy a v některých případech tato data odesílají útočníkům, kteří takto mohou získat například hesla k uživatelským účtům. Málokoho však už napadne, že tento útok nemusí mít jen podobu programu na vašem počítači. Díky novinkám, jako akcelerometry, gyroskopy, a svým způsobem třeba i mikrofony stačí nyní nainstalovat obdobný program na telefon ležící vedle klávesnice a snímat záchvěvy stolu způsobené psaním. Telefon samozřejmě nezjistí přesně jakou klávesu jste stiskli, ale pokud obsahuje dostatečně sofistikovaný slovník, lze například s iPhonem 4 dosáhnout přesnosti až 80% jen z informací o hrubé oblasti klávesnice, na které klávesa byla. Více informací naleznete v tomto článku. -jbl-
21.11.2011 Anonymní internetový "hippíci" broja proti Adobe Flash Player Plugin
Nepriatelia Flash-u pritvrdili. Založili portál Occupy Flash, kde verejne nabádajú ľudí, aby odstránili zo svojích internetových "životov" všadeprítomný Flash a nahradili ho HTML5. Ten práve označujú ako budúcnosť internetu. Táto militantná skupina, na svojich stránkach, Adobe Flash vážne nešetrí a označuje ho za webovú fosíliu či bezpečnostnú nočnú moru, ktorá obmedzuje, brzdí internet a navyše ani riadne nefunguje na všetkých zariadeniach. Kto za týmto projektom stojí, zatiaľ známe nie je, rovnako aj dôvod ich konania. Štatistiky totiž hovoria, že Adobe Flash Plugin používa viac ako 90% PC pripojených na internet. Ponúka sa preto otázka, či pánom z Occupy Flash ide naozaj iba o náš, ničím nerušený pôžitok z rýchleho surfovania na webe. Viac už však nájdete v originálnom článku, ktorý prináša TheRegister. -dra-
21.11.2011 Vážne pochybenia v zabezpečení RealPlayer
Multimediálny prehrávač RealPlayer obsahuje viacnásobné zraniteľnosti, ktoré môžu byť zneužité na kompromitáciu celého systému. Riešením daného problému je upgrade na verziu 15.0.0. Podrobný popis chýb nájdete tu. -dra-
21.11.2011 Havárie serverů BIND 9
Byly hlášeny pády DNS serverů provozujících BIND 9 a vykonávajících rekurzivní dotazy. Postiženy byly mnohé verze včetně aktuálně podporovaných. ISC současně zkoumá příčiny a vydalo záplaty, které zabraňují pádu. Pro více informací navštivte stránky ISC. -jba-
04.11.2011 Ze služby Facebook ukradena data
Ze služby Facebook bylo ukradeno 250GB osobních dat. Během osmi týdenního pokusu se podařilo 102 SocialBotům, vydávajícím se za skutečné uživatele Facebooku, získat 250GB důvěrných dat od uživatelů, kteří potvrdili žádost o přátelství. Obranný systém Facebooku proti SocialBotům téměř nezakročil, podařilo se mu zablokovat pouze 20 % z nich. Podle autorů z University of British Columbia Vancouver neměl jejich projekt za cíl odkrýt nedokonalosti bezpečnostního systému Facebooku, ale pomoci Facebooku a jiným službám zdokonalit jejich obrané systémy. -zte-
starší >>>
