Seznam všech aktualit

Tento až komický příběh se stal v Brazílii, kde policie zadržela muže, který z bankomatu vyloupl bezpečnostní kameru připojenou přes USB a namísto ní zapojil svůj flash disk a klávesnici.

Vzhledem k tomu, že většina bankomatů jede na OS Windows, byla připojená zařízení operačním systémem detekována a jejich ovladače bez potíží automaticky doinstalovány. Útočníkovi, pak již nic nebránilo v restartu systému a nabootování stroje podle vlastních představ.

Muž následně z bankomatu vybral všechny 100$ bankovky a přistoupil k výběru 50$ bankovek. Banka ale mezitím bezpečnostní incident zaznamenala a vyslala na místo policejní hlídku, která muže zadržela po té, co již stihl z bankomatu vybrat 41.000$.

Zadržený muž byl během útoku telefonicky instruován někým s dobrou znalostí daného systému - patrně některým za zaměstnanců banky. Svého komplice ale zadržený neprozradil.

Opět zde máme jeden žebříček nejčastěji používaných hesel, které unikly z databází během letošních útoků. Lidé se od minulého roku příliš nepoučili a stále používají tatáž hesla. Poznámky v závorkách uvádí změnu oproti minulému roku.

password (beze změny)
123456 (beze změny)
12345678 (beze změny)
abc123 (o pozici výše)
qwerty (o pozici níže)
monkey (beze změny)
letmein (o pozici výše)
dragon (o dvě pozice výše)
111111 (o tři pozice výše)
baseball (o pozici výše)
iloveyou (o dvě pozice výše)
trustno1 (o tři pozice níže)
1234567 (o šest pozic níže)
sunshine (o pozici výše)
master (o pozici níže)
123123 (o čtyři pozice výše)
welcome (nový)
shadow (o pozici výše)
ashley (o tři pozice níže)
football (o pět pozic výše)
jesus (nový)
michael (o dvě pozice výše)
ninja (nový)
mustang (nový)
password1 (nový)

Ve stejné době vydala společnost Kasperský přehled metod, jak si lidé nejčastěji volí svá hesla: [link]
Žebíček těchto postupů je následující:

1. logická posloupnost (123456, qwertz, apd.)
2. Jméno milované osoby
3. Odrazování (password, keepout, letmein, stayaway)
4. "Hezká" slova (dragon, mustang, ninja)
5. Sport (football, baseball, soccer)
6. Jednoduché úpravy (passw0rd, basebalL, mother!)

Postaral se o to nový červ pro Windows systémy (označovaý jako W32/VBNA-X, W32/Autorun.worm.aaeb, W32.ChangeUp nebo WORM_VOBFUS). Ten totiž jako jednu z cest pro své šíření zvolil právě AutoRun.

AutoRun je technologie automatického spuštění souboru po připojení externího disku k počítači nebo po vložení CD/DVD do mechaniky. Zajímavé na celé věci je, že automatické spuštění bylo ve Windows 7 a 8 implicitně zakázáno a na starší verze Windows byly již před třemi lety vydány opravy. Odborníci se proto diví skutečnosti, že tento starý bug autoři malwaru stále ještě využívají. Červ tak zřejmě cílí na majitele starších nezáplatovaných systémů.

AutoRun na druhou stranu není jedinou cestou, kterou se tento červ šíří. Potkat se s ním můžete také na Facebooku, kde jej aktivujete prostřednictvím odkazů, nebo na sdílených discích.

Během posledních několika dnů se hojně diskutovalo o zranitelnostech populárního databázového systému MySQL. Na veřejnost se dostaly zprávy o celkem pěti zranitelnostech, které mají mít za následek pád databáze a s ním spojené odepření služeb.

Zprávy také uváděly, že jedna ze zranitelností umožňuje dokonce plné ovládnutí serveru. Tato zpráva se však nepotvrdila, protože její vyvolání bylo způsobené chybnou konfigurací serveru. Odkazovaný článek podává vysvětlení k jednotlivým oznámeným bugům, a konstatuje, že dva z nich jsou skutečně nové a DoS způsobit mohou.

Carlos Reventlov zveřejnil zranitelnost Instagramu, která by mohla vést až ke krádeži uživatelských účtů. Zranitelnost spočívá v možnosti odchycení cookies útočníkem, který se nachází na stejné lokální síti jako jeho oběť.

Důležitá data Facebooku, která jsou spojena například s přihlašováním nebo s editací profilu, jsou podle Reventlova přenášena v zašifrované podobě, ošem najdou se i takové činnosti Instagramu, které přenáší data ve tvaru prostého textu. Pro útočníka pak není žádný problém se takto přenášených cookies zmocnit a použít je pro zaslání vlastních požadavků pod identitou oběti, jejíž cookies byly odchyceny.

Rakouská policie zadržela Williema Webera s podezřením na šíření dětské pornografie po té, co z jeho IP bylo na Internet uploadováno několik fotografií s ilegálním obsahem.

Policie během domovní prohlídky zabavila Williemovi všechny počítače a mobilní zařízení v domácnosti. Teprve na policejní služebně dostal Williem možnost celou situaci vysvětlit a policisté se tak dozvěděli o uzlu sítě TOR, který zadržený provozoval. V rozhovoru [link] Williem popisuje průběh policejního zásahu a upozorňuje na nejasnost práva při určování zodpovědnosti za data přenášená na anonymizační síti TOR.

Jedná se o dva servery, nad nimiž Microsoft získal kontrolu letos v březnu v rámci "Operation b71". Americký federální soud schválil Micorsoftu kontrolu na těmito řídícími servery po dobu následujících dvou let.

Microsoft bude během této doby udržovat servery v chodu, aby dal uživatelům čas pro odstranění malware z jejich napadených počítačů.

Říkají to vývojáři plug-inu pro prohlížeče Ghostery (sledujícího reklamy). Na stránkách Microsoftu bylo detekováno celkem 137 různých trackerů, u Apple to bylo 107, Samsung 66, HP 65 a 106 na stránkách Dellu. Tesco oproti tomu umístilo na svoje stránky "pouhých" 64 detekčních funkcí.

Pravděpodobně jde o vládní snahu znemožnit rebelům komunikovat. Všech 84 IP bloků přidělené tamním organizacím je nedostupných.

Dnes už legendární zařízení HTC HD2 se, jak se zdá, ještě zdaleka nechystá do věčných lovišť. Nadšencům ze známé moderské skupiny Dark Forces Team se podařil husarský kousek, když na něm navzdory všem ochranám dokázali zprovoznit Windows Phone 8. Ty byly díky vestavěnému šifrování napojenému přímo na hardwarový čip v nových telefonech považovány prakticky za neprolomitelné.