<
1
2
3
4
5
6
7
8
9
10
>
>>
>|
06.11.2010 HTTP cookies, aneb jak nenavrhovat protokoly
Objevil se zajímavý článek pojednávající o bezpečnosti a historickém vývoji technologie zvané HTTP cookies. Cookies jsou totiž od nepaměti značně kontroverzním tématem. Mimo jiné se v článku dočtete, že díky zmatenému vývoji, kdy několik navzájem nezávislých společností vydávalo své vlastní specifikace této techniky se svými vlastními vylepšeními jsme dnes v situaci kdy neexistuje žádný přesný popis chování cookies. Článek dále poukazuje například na problém týkající se omezení maximální velikosti hlavičky žádostí posílaných na server. Například pro servery využívající Apache je tato velikost nastavena na 8 kB, což sice velkému množství požadavků vyhovuje, pokud ale k takové žádosti připojíme několik cookies daného webu, není problém tento limit překročit. To sice na první pohled nepředstavuje velké bezpečnostní riziko, ale nabízí se například scénář kdy útočník uloží do prohlížeče oběti několik cookies vázaných na daný server (a překračujících tento limit) a tím mu zabrání dále používat nějaký web. Článek se také například zabývá nedokonalostmi v implementaci cookies do protokolu HTTPS. Jako příklad za všechny lze uvést, že stránky, které samy nepoužívají šifrování mohou bez problémů nastavit cookie určené pro šifrované stránky. Zbytek tohoto obsáhlého článku v originálním znění najdete zde. -jbl-
25.10.2010 Firesheep, Zajímavé rozšíření pro Firefox
Když se v dnešní době přihlašujete na nějaký web, většinou začnete zadáním uživatelského jména a hesla. Server zkontroluje jestli vše souhlasí a pošle Vám k uložení tzv. cookie, která Vás má mimo jiné za úkol následně identifikovat při práci se stránkami. Problém je ten, že ačkoli samotné přihlašovací údaje jsou zpravidla chráněny nějakým druhem kódování, samotného obsahu webu se to již často netýká. Web se přitom neustále ptá na informace uložené ve vaší cookie a ty tak prakticky nechráněné doslova létají vzduchem například na veřejných wifi sítích. Díky rozšíření Firesheep už není problém takový kus informace zachytit téměř pro nikoho a kdokoliv tak může bez obtíží pracovat s vašimi účty, jelikož server jednoduše nepozná, který vlastník této cookie je ten pravý a zobrazí stejné informace oběma. Aplikace samozřejmě nefunguje naprosto spolehlivě, ale velice dobře slouží k účelu, k němuž byla původně zamýšlena. Její autor se totiž snaží především upozornit provozovatele portálů, mezi něž patří i takový giganti jako Facebook a Twitter, že v době dnešních cen SSL certifikátů je absence jakéhokoli šifrování neomluvitelná. -jbl-
19.10.2010 Microsoft Windows Server 2008, chyba v panelu nastavení barev
Byla nalezena zranitelnost v Microsoft Windows Server 2008. Zranitelnost se vyskytuje v panelu nastavení barev systému, který načítá knihovny bez předchozí kontroly jejich správnosti. Toto může být zneužito k načtení knihovny a spuštění libovolného kódu. Zranitelnost je potvrzena na plně updatované verzi Windows Server 2008 Enterprise s balíkem záplat SP2. Ostatní verze mohou být také zasaženy. Více informací je možné nalézt na serveru Secunia.com. -jbl-
19.10.2010 Sun Solaris Apache HTTP Server, několik zranitelností
Oracle připustil existenci několika zranitelností v HTTP Serveru Apache na systému Sun Solaris. Ty mohou být zneužity lokálními uživateli například k obcházení určitých bezpečnostních opatření, získání přístupu k citlivým informacím, manipulaci s určitými daty, nebo mohou umožnit zapříčinění Denial of Service. Více informací naleznete v originálním vyjádření. -jbl-
06.10.2010 iPhone ohrozuje súkromie užívateľov
Veľké množstvo aplikácii, ktoré bežia na iOS (Apple), by mohli, podľa najnovšej štúdie, ohroziť súkromie užívateľov. Dané aplikácie totiž zbierajú sériové čísla, ktoré jednoznačne identifikujú Vaše zariadenie. Apple na to využíva unikátny identifikátor zariadenia (UDID), ktorý na diaľku ukladá rôzne nastavenia aplikácií, videohry s vysokým skóre a podobné typy dát. Napriek tomu, že zástancovia ochrany súkromia užívateľov mlčia, odborníci tvrdia, že táto záležitosť s UDID je v mnohých ohľadoch podobná s kauzou 'Big Brother' a Pentium 3 z roku 1999.
Výskum, ktorý spracoval Eric Smith z Bucknell University v Pennsylvanii, ukázal, že z 57 testovaných aplikácií až 68% prenáša UDID na servre, ktoré sú pod dohľadom vývojárov a inzerentov, 18% posiela zašifrované dáta, ktoré taktiež môžu obsahovať údaj s UDID a iba 14% aplikácíí obsahovalo možnosť potvrdenia o nezasielani tohto údaju. Spoločnosť Apple síce vo svojích smerniciach vyslovene napomína vývojárov, aby verejne a ani akokoľvek inak nespájali UDID s užívateľským účtom, ale aj tak to nikto nerešpektuje. Obdobné problémy týkajúce sa ochrany súkromia trápia aj mnoho ďalších smartphonov. Viac info však už nájdete na stránkach informačného portálu The Register a v PDF obsahujúcom originálnu správu z výskumu. -dra-
18.09.2010 Slabina v šifrování ohrožuje bezpečnost internetového bankovnictví
Rizika se týkají aplikací vyvinutých pomocí Microsoft ASP.Net. ASP.Net sice využívá AES (Advance Encryption Standard) algoritmus k zabezpečení cookies vytvořených aplikací během on-line bankovnictví, nicméně chybné zpracování při změně šifrovaných dat v cookie poskytuje útočníkům vodítka k odhalení klíčů použitých během on-line bankovní operace. Útok založený na této chybě by mohl umožnit hackerům dešifrovat unesené cookies. Více informací najdete v originálním článku -jbl-
18.09.2010 Adobe varuje: Kritická zranitelnost Flash je aktivně zneužívána!
Adobe Systems v pondělí varoval před kritickou zranitelností nejnovější verze svého Flash Player. Nebezpečí se týká Flash Player 10.1.82.76 pro operační systémy Windows, Macintosh, Linux, Solaris a Android. Bohužel bezpečná není ani poslední verze programů Adobe Reader a Acrobat. Více informací o hrozbách útoku při používání tohoto software a možné obraně naleznete na serveru TheRegister.co.uk -jbl-
01.09.2010 Apple QuickTime, zranitelnost ActiveX
Byla nalezena zranitelnost v přehrávači Apple QuickTime, která může být zneužita ke kompromitaci uživatelova systému. Zranitelnost je zaviněna ovladačem QuickTime ActiveX (QTPlugin.ocx), který používá zaslanou hodnotu v parametru jako ukazatel (pointer). Díky tomu je možné ovladač donutit spustit kód z libovolné lokace a tedy i nejistého obsahu. Zranitelnost je potvrzena ve verzi 7.6.7 (1675), ostatní verze mohou být také zasaženy. Zranitelnost se vyskytuje pouze na operačních systémech firmy Microsoft. Více informací naleznete na serveru Secunia.com. -jbl-
27.08.2010 Adobe, Mozilla, Microsoft a další, Chyba v načítání knihoven
Byla nalezena chyba v aplikacích Adobe Illustrator, Device Central a InDesign CS4 a CS5, Mozilla SeaMonkey a Thunderbird, Microsoft Windows a PowerPoint, RealPlayer, Roxio Media Creator, Winamp, Autodesk Design Review a dalších. Zranitelnost má na svědomí načítání knihoven neošetřeným způsobem. To může být zneužito k načtení libovolné knihovny při otevírání speciálně upraveného souboru, se kterým má aplikace pracovat. U každé postižené aplikace toto probíhá jiným způsobem, ale vždy to může mít za následek spuštění libovolného kódu. Vzhledem k množství zasažených aplikací odkazujeme na seznam ohlášených chyb obsahujících stejné příznaky serveru Secunia.com, který může ještě růst. Všeobecně se nedoporučuje otevírat zasaženými aplikacemi soubory, jejichž obsahem a původem si nejste jisti. Typ souborů pak bývá pro každou aplikaci jiný. -jbl-
17.08.2010 Webová stránka spoločnosti Apple bola napadnutá
Uplynulý víkend boli webové stránky oficiálneho fóra on-line podpory Apple nedostupné. Stalo sa tak po zobrazení správy "For fun, by tojen" na stránkach centra podpory. Keďže bol zablokovaný iba priamy vstup na fórum cez stránky Apple (ostatné alternatívne vstupy, ako napr. pomocou uloženej záložky, fungovali), daný útok bol zrejme cielený na DNS servery alebo doručovanie obsahu. Screenshot z hacknutej stránky nájdete tu. Viac informácií nájdete na informačných portáloch Jablíčkář.cz a AppleInsider. -dra-
<<< novější starší >>>
06.11.2010 HTTP cookies, aneb jak nenavrhovat protokoly
Objevil se zajímavý článek pojednávající o bezpečnosti a historickém vývoji technologie zvané HTTP cookies. Cookies jsou totiž od nepaměti značně kontroverzním tématem. Mimo jiné se v článku dočtete, že díky zmatenému vývoji, kdy několik navzájem nezávislých společností vydávalo své vlastní specifikace této techniky se svými vlastními vylepšeními jsme dnes v situaci kdy neexistuje žádný přesný popis chování cookies. Článek dále poukazuje například na problém týkající se omezení maximální velikosti hlavičky žádostí posílaných na server. Například pro servery využívající Apache je tato velikost nastavena na 8 kB, což sice velkému množství požadavků vyhovuje, pokud ale k takové žádosti připojíme několik cookies daného webu, není problém tento limit překročit. To sice na první pohled nepředstavuje velké bezpečnostní riziko, ale nabízí se například scénář kdy útočník uloží do prohlížeče oběti několik cookies vázaných na daný server (a překračujících tento limit) a tím mu zabrání dále používat nějaký web. Článek se také například zabývá nedokonalostmi v implementaci cookies do protokolu HTTPS. Jako příklad za všechny lze uvést, že stránky, které samy nepoužívají šifrování mohou bez problémů nastavit cookie určené pro šifrované stránky. Zbytek tohoto obsáhlého článku v originálním znění najdete zde. -jbl-
25.10.2010 Firesheep, Zajímavé rozšíření pro Firefox
Když se v dnešní době přihlašujete na nějaký web, většinou začnete zadáním uživatelského jména a hesla. Server zkontroluje jestli vše souhlasí a pošle Vám k uložení tzv. cookie, která Vás má mimo jiné za úkol následně identifikovat při práci se stránkami. Problém je ten, že ačkoli samotné přihlašovací údaje jsou zpravidla chráněny nějakým druhem kódování, samotného obsahu webu se to již často netýká. Web se přitom neustále ptá na informace uložené ve vaší cookie a ty tak prakticky nechráněné doslova létají vzduchem například na veřejných wifi sítích. Díky rozšíření Firesheep už není problém takový kus informace zachytit téměř pro nikoho a kdokoliv tak může bez obtíží pracovat s vašimi účty, jelikož server jednoduše nepozná, který vlastník této cookie je ten pravý a zobrazí stejné informace oběma. Aplikace samozřejmě nefunguje naprosto spolehlivě, ale velice dobře slouží k účelu, k němuž byla původně zamýšlena. Její autor se totiž snaží především upozornit provozovatele portálů, mezi něž patří i takový giganti jako Facebook a Twitter, že v době dnešních cen SSL certifikátů je absence jakéhokoli šifrování neomluvitelná. -jbl-
19.10.2010 Microsoft Windows Server 2008, chyba v panelu nastavení barev
Byla nalezena zranitelnost v Microsoft Windows Server 2008. Zranitelnost se vyskytuje v panelu nastavení barev systému, který načítá knihovny bez předchozí kontroly jejich správnosti. Toto může být zneužito k načtení knihovny a spuštění libovolného kódu. Zranitelnost je potvrzena na plně updatované verzi Windows Server 2008 Enterprise s balíkem záplat SP2. Ostatní verze mohou být také zasaženy. Více informací je možné nalézt na serveru Secunia.com. -jbl-
19.10.2010 Sun Solaris Apache HTTP Server, několik zranitelností
Oracle připustil existenci několika zranitelností v HTTP Serveru Apache na systému Sun Solaris. Ty mohou být zneužity lokálními uživateli například k obcházení určitých bezpečnostních opatření, získání přístupu k citlivým informacím, manipulaci s určitými daty, nebo mohou umožnit zapříčinění Denial of Service. Více informací naleznete v originálním vyjádření. -jbl-
06.10.2010 iPhone ohrozuje súkromie užívateľov
Veľké množstvo aplikácii, ktoré bežia na iOS (Apple), by mohli, podľa najnovšej štúdie, ohroziť súkromie užívateľov. Dané aplikácie totiž zbierajú sériové čísla, ktoré jednoznačne identifikujú Vaše zariadenie. Apple na to využíva unikátny identifikátor zariadenia (UDID), ktorý na diaľku ukladá rôzne nastavenia aplikácií, videohry s vysokým skóre a podobné typy dát. Napriek tomu, že zástancovia ochrany súkromia užívateľov mlčia, odborníci tvrdia, že táto záležitosť s UDID je v mnohých ohľadoch podobná s kauzou 'Big Brother' a Pentium 3 z roku 1999.
Výskum, ktorý spracoval Eric Smith z Bucknell University v Pennsylvanii, ukázal, že z 57 testovaných aplikácií až 68% prenáša UDID na servre, ktoré sú pod dohľadom vývojárov a inzerentov, 18% posiela zašifrované dáta, ktoré taktiež môžu obsahovať údaj s UDID a iba 14% aplikácíí obsahovalo možnosť potvrdenia o nezasielani tohto údaju. Spoločnosť Apple síce vo svojích smerniciach vyslovene napomína vývojárov, aby verejne a ani akokoľvek inak nespájali UDID s užívateľským účtom, ale aj tak to nikto nerešpektuje. Obdobné problémy týkajúce sa ochrany súkromia trápia aj mnoho ďalších smartphonov. Viac info však už nájdete na stránkach informačného portálu The Register a v PDF obsahujúcom originálnu správu z výskumu. -dra-
18.09.2010 Slabina v šifrování ohrožuje bezpečnost internetového bankovnictví
Rizika se týkají aplikací vyvinutých pomocí Microsoft ASP.Net. ASP.Net sice využívá AES (Advance Encryption Standard) algoritmus k zabezpečení cookies vytvořených aplikací během on-line bankovnictví, nicméně chybné zpracování při změně šifrovaných dat v cookie poskytuje útočníkům vodítka k odhalení klíčů použitých během on-line bankovní operace. Útok založený na této chybě by mohl umožnit hackerům dešifrovat unesené cookies. Více informací najdete v originálním článku -jbl-
18.09.2010 Adobe varuje: Kritická zranitelnost Flash je aktivně zneužívána!
Adobe Systems v pondělí varoval před kritickou zranitelností nejnovější verze svého Flash Player. Nebezpečí se týká Flash Player 10.1.82.76 pro operační systémy Windows, Macintosh, Linux, Solaris a Android. Bohužel bezpečná není ani poslední verze programů Adobe Reader a Acrobat. Více informací o hrozbách útoku při používání tohoto software a možné obraně naleznete na serveru TheRegister.co.uk -jbl-
01.09.2010 Apple QuickTime, zranitelnost ActiveX
Byla nalezena zranitelnost v přehrávači Apple QuickTime, která může být zneužita ke kompromitaci uživatelova systému. Zranitelnost je zaviněna ovladačem QuickTime ActiveX (QTPlugin.ocx), který používá zaslanou hodnotu v parametru jako ukazatel (pointer). Díky tomu je možné ovladač donutit spustit kód z libovolné lokace a tedy i nejistého obsahu. Zranitelnost je potvrzena ve verzi 7.6.7 (1675), ostatní verze mohou být také zasaženy. Zranitelnost se vyskytuje pouze na operačních systémech firmy Microsoft. Více informací naleznete na serveru Secunia.com. -jbl-
27.08.2010 Adobe, Mozilla, Microsoft a další, Chyba v načítání knihoven
Byla nalezena chyba v aplikacích Adobe Illustrator, Device Central a InDesign CS4 a CS5, Mozilla SeaMonkey a Thunderbird, Microsoft Windows a PowerPoint, RealPlayer, Roxio Media Creator, Winamp, Autodesk Design Review a dalších. Zranitelnost má na svědomí načítání knihoven neošetřeným způsobem. To může být zneužito k načtení libovolné knihovny při otevírání speciálně upraveného souboru, se kterým má aplikace pracovat. U každé postižené aplikace toto probíhá jiným způsobem, ale vždy to může mít za následek spuštění libovolného kódu. Vzhledem k množství zasažených aplikací odkazujeme na seznam ohlášených chyb obsahujících stejné příznaky serveru Secunia.com, který může ještě růst. Všeobecně se nedoporučuje otevírat zasaženými aplikacemi soubory, jejichž obsahem a původem si nejste jisti. Typ souborů pak bývá pro každou aplikaci jiný. -jbl-
17.08.2010 Webová stránka spoločnosti Apple bola napadnutá
Uplynulý víkend boli webové stránky oficiálneho fóra on-line podpory Apple nedostupné. Stalo sa tak po zobrazení správy "For fun, by tojen" na stránkach centra podpory. Keďže bol zablokovaný iba priamy vstup na fórum cez stránky Apple (ostatné alternatívne vstupy, ako napr. pomocou uloženej záložky, fungovali), daný útok bol zrejme cielený na DNS servery alebo doručovanie obsahu. Screenshot z hacknutej stránky nájdete tu. Viac informácií nájdete na informačných portáloch Jablíčkář.cz a AppleInsider. -dra-
<<< novější starší >>>
