Seznam všech aktualit

Zpět do aktualit

Hacker Reckz0r našel zranitelnost na Twitteru

23.5.2013 | Batou

Oznámil to na Pastebin a jak řekl, nemá s tímto odhalením žádné zlé úmysly. Tento hacker není nikdo neznámý, nedávno např. prolomil web CNN ([link]).

Konkrétně se jednalo o zranitelnost SQL injection na stránkách podpory Twitteru. Oznámil to na svém Twitteru ([link]), výsledek ke shlédnutí zde [link] .

Jak píše na Pastebin: „Lokalizoval jsem POST SQL zranitelnost na stránkách support.twitter.com v jejich formuláři api_general, který používá jako parametr referrer, který je zranitelný. Tím můžeme Twitter injektovat a potenciálně z něj vytáhnout důvěrná data.“ Jak dále píše: „Zdá se, že tímto typem útoků jsou zranitelné další velké weby, včetně m.facebook.com, které tímto typem útoků dokonce „exploitovali“ nějací argentinští hackeři.“ Kompletní záznam k nalezení zde - [link] .

Rubrika: Hacking | Comments: 0 | Viewed: 3521x | Rate: 0/0


Kongres vyžaduje odpovědi ohledně Google Glass

21.5.2013 | Batou

Přestože Google Glass ([link]) nejsou stále dostupné pro veřejnost, američtí kongresmani vyžadují odpovědi na některé otázky a to přímo po Larrym Pageovi. Originální znění ke shlédnutí zde - [link] .

Projekt Glass je velmi zajímavý a nebojím se říct, že mnohým z nás by se splnil (nejen) klukovský sen. Brýle mají umět spoustu věcí - ovládány by měly být hlasem, budou natáčet video, fotit, umožnit rychlé sdílení toho, co právě vidíte, odesílat hlasem diktované zprávy, zjišťovat informace o právě viděném objektu, překládat hlas a mnoho dalšího. To, jak by to v praxi mělo vypadat můžete vidět například v tomto videu [link] .

Dopis se postupně zabývá body různými záležitostmi:
- Hned první připomíná CEO Googlu incident z roku 2010 při jejich focení pro službu Street View. Auta od Googlu tehdy „omylem skenovala“ data ze soukromých wifi sítích všude tam, kde projela. Google tehdy musel zaplatit pokutu 7 milionů dolarů. Otázka tedy zní, jak Google zabrání nechtěnému sběru dat v tomto případě.
- Dále se zajímají o to, jak chce Google chránit neuživatele Glass před jejich uživateli. V některých zemích např. není možno legálně pořizovat snímky ostatních lidí bez jejich souhlasu.
- Další otázka se týká toho, zda bude produkt Glass umět rozpoznávat obličeje. Vzrušující, ale zároveň i lehce mrazivá je představa situace, kdy někdo, kdo k vám kráčí už si o vás „vygooglil“ spoustu informací a např. tak poupraví jeho přístup k vám při rozhovoru.
- V jednom z dalších bodů se např. poslanci ptají, zda bude mít Google Glass vlastní úložiště pro data a pokud ano, jak bude vyřešena autentifikace uživatele.
V dopise se dále píše, že odpověď je očekávána nejpozději do 14. června.

Toto vše jsou jistě dobré dotazy. Na druhou stranu není dnes naprosto žádný problém natočit nepozorovaně video kohokoliv při čemkoliv, ukrýt foťák téměř neodhalitelně do propisky či klidně rámečku brýlí, o mikrofonech ani nemluvě. Google Glass ovšem ze všeho tohoto dělá seriózní a běžnou záležitost, což není. Na druhou stranu - výhody takto popisovaného funkčního systému jsou doslova nekonečné. Tolik možností, jak tuto technologii využít, ale také zneužít. To si zaslouží regulaci. Nebo ne? Podělte se o váš názor či nezmíněné možnosti využití do komentářů.

Rubrika: Identita a soukromí | Comments: 1 | Viewed: 2579x | Rate: 0/0

22 milionů uživatelských ID může být v rukou hackerů po útoku na Yahoo Japan

21.5.2013 | Batou

Jednička v japonském vyhledávání a v návštěvnosti vůbec, Yahoo Japan, varovala 200 milionů japonských uživatelů a doporučila změnu hesla po tom, co hackeři získali přístup k souborům, které neměly spatřit světlo světa. Japonská pobočka Yahoo tvrdí, že zaznamenala útok na systémy v pátek večer. Vlastníky společnosti jsou Yahoo a japonský operátor SoftBank.

Zajímavou skutečností je, že ačkoliv Yahoo tvrdí, že napadené servery neobsahovaly hesla či jiná soukromá data (např. odpovědi na bezpečnostní otázky), přesto by si uživatelé měli hesla zresetovat. Více o tom v jejich prohlášení - [link] :-). Na svých stránkách také umístili tool umožnující zkontrolovat, zda je konkrétní ID v určitém riziku či ne.

Pokud by unikly kromě přihlašovacího jména třeba celé e-maily, jistě si umíte představit následnou smršť spamů a pokusů o phishing. I pokud by se jednalo o IDčka, jistě by se neměla dostat do nepravých rukou.

Více informací naleznete třeba na webu informationweek.com ([link]).

Rubrika: Hacking | Comments: 0 | Viewed: 2846x | Rate: 0/0

Česká firma s téměř 20letou praxí nabízí HW a SW šifrování telefonů

20.5.2013 | Batou

Česká firma Probin nabízí tyto služby v rámci balíčku ([link]), jehož nejvyšší kategorie se bez závazku vyšplhá až ke 100 000,- Kč a dalším cca 3000/měs. za služby. V ceně produktu nazvaného Cryptosmart je telefon Samsung Galaxy S3 s Androidem a služby na šifrování SMS, dat i hovorů. Nejvyšší varianta nabízí HW i SW šifrování a v ceně jsou dva telefony.

Komunikaci bez odposlechů vám zajistí upravené hardwarové součástky i softwarové řešení šifrování digitalizovaného hlasu před samotným přenosem (a samozřejmě dešifrování na druhé straně). V každém zařízení je Cryptosmart karta, kde probíhá samotné šifrování ([link]). Šifrování SMS, dat i hlasu se realizuje symetrickým blokovým algoritmem AES (používaným také např. pro wifi zabezpečení WPA2) s klíčem 256b, autentizace vzdálené karty pak pomocí RSA s klíčem 2048 bitů. Častým problémem šifrovaných hovorů bývá slabě zabezpečený webový server, kterým data procházejí. Servery u Probinu se prý snaží i fyzicky znemožnit odchytávání komunikace a stížit následné dešifrování.

Obsluha takto upraveného telefonu je prý naprosto standardní, uživatel pouze přepíná mezi klasickým a šifrovaným režimem a vidí u kontaktů informaci, s kým je možno komunikovat šifrovaně a ským ne. Má vůbec takový telefon využití, nebo je pouze pro nějaké paranoiky? Jiří Schmidt z Probinu k tomu říká: „Podle neoficiálních informací je každý dvacátý telefonní přístroj v ČR, který patří některé z významných osob působících v oblasti byznysu nebo politiky, pravděpodobně odposloucháván.“ Pokud vás zajímá, jakými způsoby lze komunikaci odposlouchávat, následujte odkaz [link] .

Rubrika: Ostatní | Comments: 0 | Viewed: 3209x | Rate: 0/0

Skype navštěvuje veškeré odkazy z chatu, je to opravdu nutné?

18.5.2013 | Batou

Microsoft koupil Skype v roce 2011 za 8.5 miliard dolarů. Má s ním od počátku spoustu možností, vzhledem k uzavřenému kódu a k jeho relativně špatné detekovatelnosti na síti (poradit si s ním samozřejmě lze - [link]). Nedávné zjištění, zveřejněné na webu Heise Security ([link]) mu rozhodně na důvěryhodnosti také nepřidá. Z analýzy síťového provozu vyplývá, že za každým odeslaným odkazem jde ještě „špion z Redmondu“.

Skype totiž navštěvuje (tzn. nedělá pouhé porovnání s databází) všechny odkazy, které pomocí něj pošlete. Vyjímkou nejsou ani linky protokolu HTTPS. Tuto „špinavou práci“ samozřejmě provádí roboti, jako hlavní důvod je Microsoftem uváděn boj proti spamu a phishingu.

Z tohoto vyplývá (pro ty, kteří to náhodou ještě nevěděli), že pro dokonale důvěrné konverzace se Skype rozhodně nehodí. Také vzhledem k jeho systému supernodů, který umožňuje, že přes vás proudí datové toky někoho jiného a vřelou spolupráci s bezpečnostními službami, bych si asi na domlouvání teroristických útoků Skype nevybral. Ale i mnohé firmy, jejichž šéfové mají určitě Skype pro svou jednoduchost v oblibě, by si měli dobře rozmyslet, co na něm řeší. Co si o tom myslíte vy, je důvod se obávat? Jaké znáte alternativy Skypu?

Rubrika: Identita a soukromí | Comments: 2 | Viewed: 3140x | Rate: 0/0

Čveřice jedněch z nejznámějších členů Anonymous (LulzSec) odsouzena

17.5.2013 | .cCuMiNn.

Včera byli v Southwark Crown Court odsouzeni čtyři významní členové hnutí Anonymous (LulzSec) za útoky spáchané v roce 2011.

Mezi odsouzenými jsou jednadvacetiletý Ryan Cleary (aka Viral) a šestadvacetiletý Ryan Ackroyd (aka Kayla), kteří byli odsouzeni k 32 a 30 měsícům odnětí svobody. Dále pak dvacetiletý Jake Davis (aka Topiary), který byl odsouzen ke dvou letům odnětí svobody, které stráví v zařízení pro mladistvé, a osmnáctiletý Mustafa Al-Bassam (aka Tflow), který vyfasoval dvacetiměsíční podmínku a 300 hodin veřejně prospěšných prací.

Odsouzení se v roce 2011 dopustili mnoha vážných trestných činů, mezi kterými najdeme například vykrádání databází a následné zveřejňování jejich obsahu na internetu, účast na DDoS útocích, nebo vyhrožování. Jejich oběťmi se stali například News International, Nintendo, Sony, CIA, US Air Force, Pentagon a mnoho dalších.

Právník státního zástupitelství Andrew Hadik uvedl na adresu odsouzených: Jejich činnost byla zbabělá a mstivá. Škody, které způsobili byly předvídatelné, rozsáhlé a zamýšlené. Ve skutečnosti se dokonce chlubili, jak jsou chytří a bylo jim naprosto lhostejné, jaký dopad budou mít jejich činy na životy skutečných lidí.

Pokud Vás příběhy odsouzených zajímají více, dovolím si doporučit knihu Jsme Anonymous od Parmy Olsonové, jejíž český překlad se před pár měsíci objevil na pultech našich knihkupectví [link]

Rubrika: Hacking | Comments: 0 | Viewed: 3160x | Rate: 0/0

Facebook hacking: Spoofování obsahu

16.5.2013 | .cCuMiNn.

Nir Goldshlager dnes zveřejnil další bugy, které se nachází v nedostatečně ošetřených parametrech odkazů na Facebooku a jeho důvěryhodných aplikací, jako Diamond Dash, SoundCloud, Skype nebo Slidshare.

Zajímavá je na tomto zveřejnění skutečnost, že se chyby vyskytují po změnách, která Facebook provedl nejspíše proto, aby odstranil dříve oznámené zranitelnosti. Dalo by se tak říci, že se Facebooku úspěšně podařilo vyrazit klín klínem.

V odkazovaném článku najdou zájemci několik ukázkových příkladů původní a nově odhalené zranitelnosti.

Rubrika: Hacking | Comments: 0 | Viewed: 4100x | Rate: 1/1

Známý web 1337day.com s databází exploitů podlehl hackerskému útoku

16.5.2013 | .cCuMiNn.

Webové stránky známé služby 1337day-com, na kterých byla k dispozici databáze exploitů všeho druhu, se včera staly cílem útoku hackerské skupiny TurkGuvenligi.

Těm se podařilo provést defacement webu, ve kterém jako důvod útoku uvedli následující:

we told you to ban this fake user >>>
www.1337day.com/author/5819
Is it so difficult or you are so stupid?


Aktuálně je web stále mimo provoz.

Rubrika: Hacking | Comments: 1 | Viewed: 2994x | Rate: 0/0

Sofistikovaný backdoor se specializuje na webservery Apache

14.5.2013 | Batou

Zaměstnanci firmy ESET a Sucuri společnými silami analyzují nedávnou novou hrozbu, ohrožující tisíce serverů běžících na Apache. Jedná se o velmi sofistikovaný backdoor, kterému dali jméno Linux/Cdorked.A ([link]) a je prý nejdůmyslnější Apache backdoor, se kterým se kdy setkali.

Hackeři ho využívají k tomu, aby přesměrovali internetového uživatele na škodlivé stránky infikované Blackhole exploit sadou. O té Righard Zwienenberg z ESETu říká: „Jde o známou a rozšířenou sadu, která k infikování systému uživatele během jeho návštevy postižené webové stránky používá známé ale i nové exploity, které jsou součástí Blackholu.“ Do dnešního dne identifikovali zásluhou technologie Eset LiveGrid stovky kompromitovaných webových serverů. „Kromě modifikovaného „httpd“ souboru (Apache webserveru) po sobě Linux/Cdorked.A na hard-disku nezanechává žádné stopy. Všechny informace související s backdoorem jsou uloženy ve sdílené paměti serveru, kvůli čemuž je jeho detekce a analýza mnohem komplikovanější,“ říká Pierre-Marc Bureau, další výzkumník společnosti ESET.

Zajímavostí je, že backdoor nekontaktuje svůj vzdálený řídící server aktivně, ale akceptuje příkazy z jakéhokoli serveru pomocí protokolu HTTP. Další fakt snižující možnost jeho odhalení je to, že uživatelům prezentuje škodlivý kód jen výjimečně.

ESET vytvořil pro administrátory nástroj, který jim má pomoci s detekcí Linux/Cdorked.A ([link]). Více infa také na webu firmy Sucuri ([link]).

Rubrika: Hacking | Comments: 5 | Viewed: 3035x | Rate: 0/0

AVAST spolkl předního hráče v sektoru bezpečnosti na sociálních sítích

13.5.2013 | Batou

Touto akvizicí získal AVAST za nespecifikovanou částku experta na poli bezpečnosti v sociálních sítích. Firma secure.me se totiž zabývala především problematikou, jak uživatelům uchránit soukromá data před aplikacemi po nich prahnoucích.

Společnost secure.me měla vyvinuty pokročilé analýzy obsahu na sociálních sítích a také se zaměřovali na bezpečnost v mobilních aplikacích. To, a mnohem více, patří nyní pod AVAST. Firma měla dále vyvinutou aplikaci Secure.me, speciálně navrhnutou pro prostředí Facebooku, která analyzovala aktivitu kolem cílového účtu a upozorňovala na případné bezpečnostní hrozby.

AVAST, který je prý fanouškem secure.me již delší dobu, se bude nově nabyté technologie snažit integrovat do svého portfolia co nejdříve. Především pak do rozšíření pro prohlížeče App Security a aplikace pro iOS. Více třeba na webu secure.me ([link]).

Rubrika: Ostatní | Comments: 0 | Viewed: 3104x | Rate: 0/0


Stránky: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187