Seznam všech aktualit

Zpět do aktualit

Secunia se omlouvá za omylem zveřejněné 0-day zranitelnosti

29.5.2013 | Batou

Secunia, mezinárodní firma pocházející z Dánska zabývající se IT bezpečností, se omluvila. Stalo se tak poté, co na veřejný mailing list zaslala informace o neopravených zero-day zranitelnostech. Jednalo se o 2 problémy s přetečením zásobníku v programu pro práci s formáty JPEG 2000 a ECW ERDAS ER Viewer (více o programu [link] více o zranitelnostech [link]).

Mluvčí společnosti k tomu řekl: „Během koordinace s pracovníky byl omylem zaslán mail z Secunie na veřejný mailing list, díky čemuž se informace o jedné zranitelnosti staly veřejně dostupné. Okamžitě po zjištění chyby jsme informovali pracovníky zabývající se tvorbou patche. Secunia dělá vše pro to, aby se tato situace již nikdy neopakovala.“ Vyjádření je na blogu firmy ([link]).

Více informací se dozvíte na webu securityweek.com - [link] .

Rubrika: Bezpečnost počítačů | Comments: 0 | Viewed: 3140x | Rate: 0/0


Americký průmysl uvažuje o použití malware k boji proti kyberkriminalitě

29.5.2013 | Batou

V dokumentu komise, zabývající se krádežemi amerického intelektuálního vlastnictví, se vyskytují zajímavé novinky. Např. se zde mluví o doporučení, aby americkým firmám bylo umožněno aktivně bojovat proti krádežím kybernetickými cestami. To může být vyloženo jako podpora tvorby malware. Jeho úplné znění naleznete ve formátu PDF zde [link] .

Třeba na straně 81 se jako příklad uvádí, že by se mohla zařídit nepřístupnost k inkriminovanému souboru či úplně „uzamknout“ uživatelův počítač. Tyto techniky jsou známé jako ransomware (o kterém jsme vás již v aktualitách informovali). Nyní by se ovšem nečekalo na zaplacení výkupného kriminálníkům, ale na to, až se pravděpodobný porušovatel autorských práv sám ohlásí na policii. Ta by mu měla zase počítač odemknout. Podle komise se nejedná o porušení současných zákonů.

Další techniky, které by se dalo pro aktivní vynucování využít je třeba pořizování snímků z webkamery či fyzické zneškodnění počítačů zapojených do kriminálních činností.

Co si o tom myslíte vy? Je to vůbec proveditelné a prošlo by takové jednání i u nás, v souladu s našimi zákony?

Rubrika: Standardy a právo | Comments: 1 | Viewed: 3435x | Rate: 0/0

Nový trojský kůň pro Android dělá dvoustupňovou autentifikaci nebezpečnou

28.5.2013 | Batou

Tento nový kousek, objevený ruskou antivirovou společností Dr.WEB, prý dokáže zachytit vaše zprávy a přeposlat je k útočníkům. Šíří se jako bezpečnostní certifikát a doporučuje svojí instalaci do systému. Jeho označení je Android.Pincer.2.origin.

Patří do rodiny tzv. Android.Pincer malware ([link]). Po instalaci zobrazí hlášku o tom, jak je váš systém již zabezpečen a v pozadí sbírá všechna vaše data, která jsou zajímavá. Telefonní čísla, informace o OS a zařízení vůbec, IMEI atp. Když zjistí vše, co může, snaží se data odeslat na server. Poté čeká na další instrukce. Ty mohou být různé - od zobrazení určitých zpráv až po zaslání SMS na zvolené číslo.

Vzhledem k možnému čtení SMS je na něj dvoustupňová autentifikace (používaná v mnoha kritických oblastech) krátká, pokud útočník vše stihne včas. Více informací na stránkách firmy Dr.WEB - [link] .

Rubrika: Spam/Viry/Phishing | Comments: 0 | Viewed: 2719x | Rate: 0/0

Lidé na FB neřeší, koho mají v přátelích. Překvapení?

27.5.2013 | Batou

Celkem zajímavým pokusem se pochlubili před týdnem na zive.cz, kde vytvořili imaginární profil na Facebooku a v období zhruba jednoho měsíce se snažili nasbírat co nejvíce „přátel“. Jistě tušíte, že to nebyl žádný problém a že z celé akce plyne - lidé prostě neřeší koho mají v přátelích, ale spíše kolik jich mají.

Facebook nejprve sám pomáhal najít přátele (mohli byste znát...), ze 60 takto oslovených lidí se chytli pouze 3. V další fázi přidal i společné přátele původních třech obětí. Až po 170 žádostech byl redaktor Živě označen jako automat, musel tedy opisovat CAPTCHu při každé nové žádosti. Dalším trikem, který FB použil je nastražení mezi navrhované přátele lidi, které vybral náhodně z jiné geografické oblasti a samozřejmě bez společných přátel. Po oslovení takového člověka odpověděl „Tohoto člověka nemůžete znát.“

V další fázi dostal dokonce autor Živě ban. Stalo se tak poté, co se FB dotazoval jeho přátel, odkud ho znají. Většina z nich odpověděla, že ho neznají. Po 7 denním banu se autor zaměřil na uživatele s více než 10 společnými přáteli. To samozřejmě dodávalo na důvěryhodnosti.

Vyhodnocení nebylo překvapující - z 300 oslovených lidí přijalo žádost 120, tedy 40 %. Většinou to byly slečny (autor použil profilovku sympatického hocha). Pouze několik lidí údajně položilo za celou dobu otázku „Kdo jsi?“

Rubrika: Identita a soukromí | Comments: 1 | Viewed: 3444x | Rate: 1/1

Zeus se opět ozývá, hlásí Micro Trend

27.5.2013 | Batou

Zaměstnanci firmy Trend Micro zaznamenali obrovský nárůst infekcí malware podobných známému trojskému koni Zeus (ZBOT). Tento trend podle nich potvrzuje jejich predikci na rok 2013.

V lednu tohoto roku se tyto trojské koně podařilo téměř vymýtit díky Microsoftu a jeho snaze odstavit útočící servery a pátrat po lidech v pozadí (více [link] či starší [link]). Přesto se v březnu objevily mnohé nové varianty založené na Zeusu. Základem je vždy zaměření na krádeže dat, povětšinou z finančního sektoru, novější verze pozměňují také Windows Host soubor pro větší nadvládu nad systémem. Poté například zamezují uživatelům přístup na weby spojené s bezpečností.

Více zajímavých informací přímo na webu Trend Micro - [link] .

Rubrika: Spam/Viry/Phishing | Comments: 0 | Viewed: 3204x | Rate: 0/0

Facebook obsahuje chybu umožňující publikovat na zeď odkaz tvářící se jako důvěryhodná aplikace

26.5.2013 | Batou

Zneužití se týká metody stream.publish, která byla zneužitelná již minulý rok. Letos FB změnil její parametry a upravil její implementaci:

- link je odkaz, na který je uživatel přesměrován po kliku na obrázek „aplikace“
- picture určuje obrázek z libovolného internetového umístění
- caption určuje web, odkud původně odkaz pochází - lze použít cokoliv důvěryhodně vypadajícího
- name určuje nadpis příspěvku

V době psaní této aktuality je vše plně funkční, pokud do url vyplníte tyto parametry včetně nějakého ID, po kliku na obrázek či nadpis jste přesměrováni přesně tam kam potřebujete. Pro příklad sledujte bílého králíčka.

Rubrika: Hacking | Comments: 0 | Viewed: 2963x | Rate: 0/0

Inženýr z Googlu uveřejnil zero-day zranitelnost ve Windows

24.5.2013 | Batou

Před více než dvěma lety objevil Tavis Ormandy zranitelnost ([link]), která dovolovala obcházet UAC (mechanizmus, poprvé obsažený ve WS Vista, zvyšující bezpečnost tím, že pouze důvěryhodné aplikace dostanou na dotaz systému vyšší oprávnění). Také prohlásil, že Microsoft jedná velmi nepřátelsky s výzkumníky mimo něj.

Před týdnem však zveřejnil kompletní rozuzlení toho, jak chyba funguje, včetně ukázek kritického kódu - [link] . Tato zranitelnost může být využita k pádu systému či ke zvýšení přístupových práv. Nejedná se však o kritickou zranitelnost nejhrubšího zrna, není např. využitelná ke vzdálené exploitaci.

Ke svému plnému odhalení řekl: „Nemám čas pracovat na hloupém Microsoftím kódu, takže hledám nápady jak opravit finální obtíže pro exploitaci.“ Chybu testoval na Windows 7, předpokládá že bude i ve W8. Také upozorňuje, že tento kód pochází z doby před Windows NT (tedy více jak 20 let).

Na tomto problému prý pracoval několik měsíců, poté se mu údajně podařilo vytvořit funkční exploit ([link]) povolující přístup ke kterékoliv verzi Windows. Podle svých slov tento kód zpřístupní studentům z prestižních vysokých škol, kteří o něj požádají.

Microsoft na celou věc reagoval: „Jsme si vědomi těchto tvrzení a potenciálních dopadů na Microsoft Windows, záležitost vyšetřujeme.“ Co dodat? Snad jen - klobouk dolů!

Rubrika: Hacking | Comments: 0 | Viewed: 3053x | Rate: 0/0

V ČR lze nyní zařídit pojištění proti kybernetickým hrozbám

23.5.2013 | Batou

Pojišťovna AIG přišla na trh s pojištěním kybernetických rizik - jako první v České republice. Tuzemské firmy si tak mohou pojistit své „digitální majetky“. Tento produkt má název CyberEdge. Vztahuje se na odcizení či ztrátu dat, cílené útoky. Dále zahrnuje i krytí nákladů, které firmě vzniknou na základě způsobené škody (platy právníků, IT odborníků,...).

V základním nastavení je zahrnuto finanční zajištění v důsledku neoprávněného nakládání s údaji a několik dalších služeb. Není však problém zvolit některá rozšíření - výpadek serveru, únos či vydírání (ve spojení s kyberkriminalitou).

Marko Antič z AIG k tomu řekl: „Dnes již prakticky neexistuje společnost, která by nepracovala s daty prostřednictvím informačních technologií. Proto je CyberEdge koncipován tak, aby jej mohly využít různé typy společností. Od malých až po ty největší, které na českém trhu působí. Nezáleží ani na oboru, ve kterém firma podniká. Dle určených parametrů sestavíme pojištění pro velké finanční instituce, ale například i pro lokální cestovní kancelář. Nastavíme CyberEdge každému klientovi na míru jeho potřebám.“

Ucelenější informace naleznete v informační brožuře produktu (PDF - [link]).

Rubrika: Ostatní | Comments: 0 | Viewed: 2880x | Rate: 0/0

Hacker Reckz0r našel zranitelnost na Twitteru

23.5.2013 | Batou

Oznámil to na Pastebin a jak řekl, nemá s tímto odhalením žádné zlé úmysly. Tento hacker není nikdo neznámý, nedávno např. prolomil web CNN ([link]).

Konkrétně se jednalo o zranitelnost SQL injection na stránkách podpory Twitteru. Oznámil to na svém Twitteru ([link]), výsledek ke shlédnutí zde [link] .

Jak píše na Pastebin: „Lokalizoval jsem POST SQL zranitelnost na stránkách support.twitter.com v jejich formuláři api_general, který používá jako parametr referrer, který je zranitelný. Tím můžeme Twitter injektovat a potenciálně z něj vytáhnout důvěrná data.“ Jak dále píše: „Zdá se, že tímto typem útoků jsou zranitelné další velké weby, včetně m.facebook.com, které tímto typem útoků dokonce „exploitovali“ nějací argentinští hackeři.“ Kompletní záznam k nalezení zde - [link] .

Rubrika: Hacking | Comments: 0 | Viewed: 3346x | Rate: 0/0

Kongres vyžaduje odpovědi ohledně Google Glass

21.5.2013 | Batou

Přestože Google Glass ([link]) nejsou stále dostupné pro veřejnost, američtí kongresmani vyžadují odpovědi na některé otázky a to přímo po Larrym Pageovi. Originální znění ke shlédnutí zde - [link] .

Projekt Glass je velmi zajímavý a nebojím se říct, že mnohým z nás by se splnil (nejen) klukovský sen. Brýle mají umět spoustu věcí - ovládány by měly být hlasem, budou natáčet video, fotit, umožnit rychlé sdílení toho, co právě vidíte, odesílat hlasem diktované zprávy, zjišťovat informace o právě viděném objektu, překládat hlas a mnoho dalšího. To, jak by to v praxi mělo vypadat můžete vidět například v tomto videu [link] .

Dopis se postupně zabývá body různými záležitostmi:
- Hned první připomíná CEO Googlu incident z roku 2010 při jejich focení pro službu Street View. Auta od Googlu tehdy „omylem skenovala“ data ze soukromých wifi sítích všude tam, kde projela. Google tehdy musel zaplatit pokutu 7 milionů dolarů. Otázka tedy zní, jak Google zabrání nechtěnému sběru dat v tomto případě.
- Dále se zajímají o to, jak chce Google chránit neuživatele Glass před jejich uživateli. V některých zemích např. není možno legálně pořizovat snímky ostatních lidí bez jejich souhlasu.
- Další otázka se týká toho, zda bude produkt Glass umět rozpoznávat obličeje. Vzrušující, ale zároveň i lehce mrazivá je představa situace, kdy někdo, kdo k vám kráčí už si o vás „vygooglil“ spoustu informací a např. tak poupraví jeho přístup k vám při rozhovoru.
- V jednom z dalších bodů se např. poslanci ptají, zda bude mít Google Glass vlastní úložiště pro data a pokud ano, jak bude vyřešena autentifikace uživatele.
V dopise se dále píše, že odpověď je očekávána nejpozději do 14. června.

Toto vše jsou jistě dobré dotazy. Na druhou stranu není dnes naprosto žádný problém natočit nepozorovaně video kohokoliv při čemkoliv, ukrýt foťák téměř neodhalitelně do propisky či klidně rámečku brýlí, o mikrofonech ani nemluvě. Google Glass ovšem ze všeho tohoto dělá seriózní a běžnou záležitost, což není. Na druhou stranu - výhody takto popisovaného funkčního systému jsou doslova nekonečné. Tolik možností, jak tuto technologii využít, ale také zneužít. To si zaslouží regulaci. Nebo ne? Podělte se o váš názor či nezmíněné možnosti využití do komentářů.

Rubrika: Identita a soukromí | Comments: 1 | Viewed: 2439x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187