Portál SOOM.cz byl během dnešního dne přesunut na nový server a zároveň mu byly nahrazeny expirované SSL certifikáty pro šifrovaný přístup. Při té příležitosti došlo k určitým změnám zamezujícím narůstajícímu spamu v diskuzích a dalším kosmetickým opravám.

Po menších názorových neshodách s majitelem webhostingu a následném odstavení aplikace Fake Mailer jsem byl nucen tuto službu přesunout na zahraniční server pod vlastní doménu. U té příležitosti jsem celou webovou aplikaci napsal znovu, modernějším způsobem a kosmeticky vylepšil. Nyní se tedy Fake Mailer nachází na adrese emkei.cz, nechť je Vám k užitku a nikomu přítěží.

Uprostřed okurkové sezóny se v binárním světě příliš věcí neděje, nabízíme ti proto unikátní možnost, jak zabít alespoň trochu volného času hackingem. Najdi na serveru SOOM.cz bezpečnostní slabinu a geeka s největším skillem oceníme malým hodnotným dárkem v podobě USB Wi-Fi adaptéru TP-LINK TL-WN727N.

Nedávné útoky na webhostingovou společnost banan s.r.o. pravděpodobně přehlédl málokdo. Následky kompromitace uživatelské databáze byly pro webhosting drtivé, jak k ní ovšem mohlo dojít? Těžko uvěřitelné, ale poměrně snadno. Tristní zabezpečení serverů uvedené společnosti včetně osobních souborů Radovana Kaluži pomohl odhalit samotný Google.

Neustále se Vaše webová prezentace stává obětí různých útočníků, ať už těch fyzických nebo softwarových? Zabezpečili jste si svůj web, a přesto je opět kompromitován? Poradíme Vám, jak se efektivně bránit pomocí méně známých, ovšem o to účinnějších postupů a jak aplikovat bezpečnostní model Defense in Depth.

Informační systém datových schránek stál miliony Korun, prošel bezpečnostním auditem, a přesto není pro útočníky problém obcházet primitivní bezpečnostní prvky, které jsou v aplikaci implementovány. Jak? Velmi snadno, viz přiložené názorné ukázky.

Čas od času vždycky někdo začne spekulovat o tom, zda je autorizace transakcí pomocí jednorázového hesla zasílaného na mobilní telefon uživatele internetového bankovnictví ve formě nešifrované SMS bezpečná nebo ne. Bezpečná samozřejmě není, ale přesto si dovoluji tvrdit, že nepředstavuje takové riziko, které by většina z nás nemohla nebo nebyla ochotna podstoupit. Proč? Protože alfou a omegou je pravděpodobnost získání tohoto jednorázového hesla.

Strana ČSSD si se zabezpečením svých nových webových stránek velkou hlavu nedělá. Vedle zranitelností typu XSS, SQL Injection a Full Path Disclosure lze narazit i na velmi směšné heslo do databáze, které by navíc nebyl problém uhádnout. Hádat ovšem vůbec nemusíte, stačí navštívit oficiální stránky této politické strany a ty Vám heslo sdělí dobrovolně, a to bez jakýchkoli nelegálních útoků.

Používáte internetové bankovnictví? Jak se do něj přihlašujete? Jak potvrzujete aktivní operace? Zadáváním jednorázového hesla? A co kdyby vám vaše banka tvrdila, že jméno a heslo pro přihlášení do jejího internetového bankovnictví je dostačující, protože používá systém pro detekci podvodů a že díky tomuto systému spolehlivě pozná, zda jste to opravdu vy, kdo chce danou operaci provést. Vyžadovali byste i v takovém případě, aby bylo pro autorizaci platby použito jednorázové heslo nebo nějaký další faktor? Nebo budete vaší bance věřit, že vaše přihlašovací údaje nemohou být nikým jiným díky nasazení systému na detekci podvodů zneužity?

Hlasovali jste letos v anketě Křišťálová Lupa? Ne? A co když ano, aniž byste o tom věděli? Nevěříte? Pokusili jsme se zmanipulovat výsledek nominací této prestižní ankety, abychom dokázali, že podvádět se dá skutečně kdekoliv a vy jste nám k tomu nevědomky pomohli.

Má v dnešní době smysl účastnit se internetových soutěží, když proti nám stojí mnohem silnější soupeři, kteří se nespoléhají pouze na štěstí či náhodu? Která klání tito útočníci vyhledávají, jak dochází k manipulacím a je vůbec možné se podobným praktikám bránit?

V tomto příspěvku se dozvíte, proč hned nenasazovat každý patch, který se objeví, byť by řešil nějakou kritickou zranitelnost.