Bezpečnostní situace:

• Platí naše stálé bezpečnostní varování.
• Do systému firmy INTERNET CZ, a.s. , která působí na trhu pod značkou FORPSI a patří k největším poskytovatelům internetových služeb na českém trhu, se v pondělí 8.9.2014 vlomil nějaký padouch a začal jejich jménem rozesílat proforma faktury. Využívá asi přístupu k databázi reálných vlastníků domén a žádá o zaplacení domény na další období.  Udělaný je ten podfuk fakt pěkně, sami jsme pár takových faktur dostali. Faktury jsou v PDF a mají úplně stejný formát, jako ty originální. Vše vypadá opravdu k nerozeznání od originálu, je tam jen jedna změna – a to číslo účtu Problém jsme hned časně ráno konzultovali s FORPSI a dostali vyjádření, které potvrdilo naše podezření. Takže jsme okamžitě odeslali varování „svým“ lidem. Následně (asi za 2 hodiny) firma FORPSI poslala vysvětlující mail všem klientům.
• FORPSI v tom není osamocena: O víkendu byl i její konkurent ACTIVE24 „pod palbou“ intenzivního distribuovaného (jak jinak) DDOS útoku. Zdá se, že jejich systémy narušeny nebyly, ale přesto raději  zodpovědně poslali svým klientům také varování, že by se mohlo stát něco podobného, jako u FORPSI.
• Na serveru AnonIB se objevil „inzerát“ jednoho hackera, který údajně připravil falešnou aplikaci Flappy Bird, schopnou krást fotografie ze zařízení Android. Nyní hledá komplice, aby společně uhradili poplatek za vývojářský přístup Google. Proto příště, až budete na Váš telefon instalovat novou aplikaci, raději se znovu zamyslete, pokud bude požadovat přístup k Vašim fotografiím! Zamysleme se: Proč asi každá jednoduchá aplikace požaduje přístup k identitě, souřadnicím, obrázkům, internetu atd.?
• Americký kongres se brání ukončení špiclování kohokoli pomocí NSA, a tak jejich databáze zůstanou asi i letos v plném provozu. Je to docela překvapivé, protože plán na jejich odstavení nebo přinejmenším značné omezení má velmi širokou podporu nejen veřejnosti, ale například i šéfa rozvědky Jamese Clappera! Čím to tak asi je? Že by se „kluci ze senátu“ před volbama nedokázali obejít bez informací NSA?
• Převzato z E15:  Vynalézavost českých podvodníků o sobě opět nechala slyšet – napadání špatně zabezpečených facebookových profilů, z nichž oslovují přátele dotyčné osoby s prosbou o zaslání drobné peněžní částky na bankovní účet totiž v rámci moderních platebních trendů také „inovovali“. Součástí prosby nyní nově přidávají odkaz na falešnou rychlou „platební bránu“ Fastbanking, který žádá zadání přihlašovacích údajů do internetového bankovnictví. Nepozorný uživatel tak sám podvodníkovi sdělí své přihlašovací údaje k bankovnímu účtu. Pokud zrovna nemá zapnutou službu 3D secure, která ověřuje identitu přihlašující se osoby odesláním kódu pomocí SMS na k účtu zaregistrovaný mobilní telefon, může se dostat do problémů.

Ostatní:

1. Skype pro iPhone nově umožňuje skupinové hovory až čtyřem účastníkům. Podobná funkčnost pro Android bude asi následovat.
2. Můj dlouhodobý srovnávací test  „iPhone vs. Android na vlastní kůži“ stále nemá jasného vítěze. Každý systém má svá „pro“, která jsou ovšem vyvážena vždy nějakým „proti“. Obávám se, že se jasného výsledku ani nedoberu a odpověď bude stejná, jako na otázku „jaké je nejlepší auto“. Pokud se mě tedy zeptáte, jestli je lepší iPhone nebo Android, zřejmě se dočkáte odpovědi „jak na co“
3. Facebookáři si určitě všimli, že už pár týdnu se na Facebooku automaticky přehrávají videa – aniž by uživatel musel „zmáčknout play“. Nevím jak se na to díváte Vy, ale mně je tahle funkcionalita vysloveně nepříjemná. Navíc má ještě jeden nepříjemný dopad: v kombinaci s rozmachem videí ve věci polívání si hlavy kýblem s ledovou vodou se razantně zvýšil celosvětový datový provoz Tisíce děkovných dopisů Markovi od mobilních operátorů …
4. Dnes je ten slavný den, kdy APPLE asi představí nový iPhone a kdo ví, co ještě. Nebo možná nic. Uvidíme…
5. Firmě ALZA.cz  je „ta naše zemička“ těsná a začíná prodávat do celé EU. Držíme palce, dělají to dobře – až mě někdy štvou
6. Intel uvedl nové 18ti jádrové XEONy! To už není na takové to domácí počítání, to už je jen do datacenter cloudových providerů …
7. DELL uvedl řadu nových produktů do firemního prostředí. Musím říct, že se mi moc líbí – koukněte tady na anglický originál zprávy, jsou tam i obrázky.

Howg

Všechny rychlovky

Nejčtenější příspěvky

Zdá se, že konec července je okurkovou sezónou i v oblasti IT. Asi to bude tím horkem. Jak lze vidět z následujícího grafu, tak v červenci a srpnu je i v Silicon valley opravdu vedro a navíc tam skoro neprší

1. !!! Několik smysluplných varování našeho Národního bezpečnostního týmu:
   • Česká spořitelna varovala před novou formou útoku, prostřednictvím kterého se snaží kyberzločinci vylákat kompletní údaje o cizích platebních kartách. Využívají k tomu podvodné stránky, které se na první pohled tváří jako internetové bankovnictví spořitelny – služba Servis 24.
   • Za účelem infikování uživatelů služby Facebook posílají podvodníci phishingovou zprávu e-mailem nebo pomocí facebookového účtu některé z přátel oběti a slibují snadnou cestu k hacknutí libovolného facebookového účtu.
   • Kritická chyba v aplikaci Instagram pro Android může umožnit únos uživatelského účtu a úspěšný přístup k soukromým fotografiím, editování komentářů, přidávání a mazání fotografií.
2. Kdo se těší na brzké uvedení nové generace Apple TV, bude zklamán. Apple si s novou verzí téhle chytré krabičky dá docela na čas a zatím bude pouze dodávat softwarové upgrady pro stávající 3. generaci. Pokud někde v tisku prosákly informace o nové Apple TV, byl to spíš jen marketingový humbuk – spousta televizních (resp. internetově-televizních) firem totiž doufá, že do nové verze Apple TV budou začleněny právě jejich služby.
3. Minulý týden se v našem českém IT rybníku odehrála velká věc: Firma AVAST Software koupila tuzemskou jedničku ve vývoji mobilních aplikací, pražskou Inmite. AVAST je hodně bohatá a úspěšná firma, která dokázala doslova zaplavit celosvětový trh svým bezpečnostním softwarem – např. tento týden je AVAST nejstahovanějším softwarem na nejnavštěvovanějším „stahovacím“ webu na světě!!! AVAST, který jednoznačně prokázal velké vizionářství a obchodní schopnosti vidí pochopitelně budoucnost v mobilních aplikacích a jde do toho, jak je vidět, s plným nasazením. Držíme palce a přejeme úspěch!
4. V dubnu jsme psali o autech, která umí jezdit bez řidiče. Na jejich vývoji hodně pracuje mj. Google s využitím své obrovské databáze kvalitních mapových podkladů a návazných informací. Mohlo by se zdát, že je to jen „výzkum pro výzkum“ a celkově tak trochu úlet. Je tu ale jeden fakt, který ukazuje, že to úplný úlet není: Anglická vláda ohlásila, že od ledna příštího roku umožní provoz autonomních aut na veřejných silnicích!!! Už dokonce zadali analýzu a doplnění vyhlášky. U tradičně konzervativních Angličanů je pro mě takto novátorský přístup velkým překvapením. Buď opravdu chtějí být moderní a uvědomují si potenciál „bezpilotních“ aut a nebo má anglická firma MIRA ďábelsky dobré lobbisty
5. Pokud tak jako já milujete rychlé SSD disky, ale trápí vás otázky ohledně jejich výdrže, MUSÍTE si přečíst tenhle článek. Tým nadšenců kolem serveru diit.cz v něm popisuje závěrečnou část svého dlouhodobého intenzivního testování jednoho SSDčka. Popis celé série testů je tady. Pro mě jsou výsledky testu hodně překvapivé: myslel jsem, že SSD zdaleka tolik nevydrží! Autorům patří dík za skvělou práci.
6. Neustále probírané případy špehování ze strany NSA, přítomnost „špehátorů“ v softwarových i hardwarových zařízeních všeho druhu i osvětové aktivity Edwarda Snowdena mají zajímavý tržní efekt: Zejména v asijských zemích, a také v Rusku začíná klesat byznys tradičním světovým firmám (IBM, HP, Microsoft, Symantec) ve prospěch místních výrobců! A to je dobře, mně se to líbí. Myslím, že se to v posledních letech s tou globalizací trochu přehnalo
7. Rusové chtějí od Applu a SAPu zdrojáky kvůli podezření na přítomnost „špehátorů“! Tahle zpráva jednoznačně navazuje na předchozí informaci a ukazuje rostoucí nedůvěru v bezpečnost a zachování soukromí při používání tradičního SW a HW. Detailně tento trend  rozebrali na E15.

Všechny rychlovky

Nejčtenější příspěvky

POZOR! Korektní verze TrueCryptu jsou ode dneška na www.truecrypt.ch !

Včera jsem informoval o panice, která vypukla kolem oblíbeného a odborníky oceňovaného programu TrueCrypt. V příspěvku jsem vyslovil také odvážnou teorii o tom, co se opravdu stalo. V průběhu dne se ukázalo, že v odborných kruzích nejsem zdaleka jediný, kdo nevěří tomu, že by byla v TrueCryptu objevena nějaká zranitelnost.

Jak tedy vypadá situace dnes ráno?

•  Je jisté, že se žádná zranitelnost nenašla!
• Jako nejpravděpodobnější scénář se jeví, že někdo z týmu vývojářů TrueCryptu byl donucen změnit stránky a vypublikovat velmi podezřelou verzi 7.2. Amatérský a podivný způsob, jakým to provedl, má být vodítkem, že něco není v pořádku. Ve zmínění Windows XP a BitLockeru je možná i nějaký skrytý význam …  ale to už je jen neprofesionální konspirace
• Komunita profesionálů, kteří jsou si jistí tím, že TrueCrypt je bezpečný šifrovací nástroj, vytvořila nové www stránky na švýcarské doméně. Na těchto stránkách jsou dostupné jak aktuální „informace z dění“, tak především správné verze všech instalačních souborů.

Vývoj situace hodně drsným způsobem ukazuje, jakou cenu dnes mají informace a kam až může zajít snaha o zlikvidování nástroje pro jejich bezpečné uchovávání. Vím, vypadá to jako scéna z „béčkového“ filmu … ale je to skutečnost

Další články na téma bezpečnost

Nejčtenější příspěvky

BACHA! Do doby , než se vše níže uvedené potvrdí nebo vyvrátí, nepoužívejte TrueCrypt ve verzi 7.2.. Zdá se totiž, že jde o podvrh, a že poslední „opravdová“ verze je 7.1a 

Dnes jsou všechna česká i zahraniční média (a také Twitter) plná zpráv o náhlém a nečekaném ukončení vývoje šifrovacího programu TrueCrypt. Pro spoustu IT profesionálů i běžných uživatelů to je obrovský šok. A dá se říct, že téměř nic nenasvědčuje tomu, že to není pravda, protože:

• oficiální webová stránka TrueCryptu jasně hovoří o ukončení vývoje, a to především z důvodu nalezení zranitelnosti použitých metod.
• všude se o tom píše

Ovšem aby si člověk udělal střízlivý a profesionální názor na věc, je potřeba si uvědomit následující fakta:

• Na základě odhalení praktik NSA Edwardem Snowdenem nalili sponzoři TrueCryptu značné množství financí do otestování jeho bezpečnosti. Minulý měsíc skončila první fáze tohoto auditu: VŠE JE OK, ŽÁDNÁ ZADNÍ DVÍŘKA NEBO ZRANITELNOSTI. Pro zájemce popis v angličtině.
• TrueCrypt je dlouhou dobu jedničkou pro profesionály v oblasti bezpečnosti právě díky jeho open-source vývoji, který značně eliminuje možnost existence zadních vrátek nebo prolomitelných algoritmů.

Takže já si myslím, že Projekt TrueCrypt (ne samotný program!) se stal terčem velmi sofistikovaného útoku hackerů!

A proč si to myslím? Mám tyhle důvody:

• Web www.truecrypt.org jakoby neexistuje a pouze přesměrovává na truecrypt.sourceforge.net, kde nalezneme výše zmíněné podivné oznámení.
• Na webu s oznámením o konci vývoje doporučují přechod na Bitlocker jako jedinou možnost. Existují přitom i jiné alternativy, navíc BitLocker je pouze pro Windows, a to ještě jen pro některé verze, takže naprosto nepokrývá „území“ pokryté TrueCryptem.
• Na stránkách vývojářů spojených s truecryptem se mluví o podvržených verzích a kontrolních součtech, podpisech aplikací atd.
• Ve velmi nedávné době se objevilo několik zmínek o tom, že právě s disky zašifrovanými TrueCryptem si ani NSA ani naše policie tak nějak neví rady (pokud majitel disků použil dostatečně dlouhou šifrovací frázi, samozřejmě).

Co mi z toho všeho vyplývá?

Mám dost odvážnou teorii: To, že se NSA nerozpakuje používat hackerské techniky, víme už z případu HeartBleed. Takže já by řekl, že NSA použila své experty (nebo si někoho najali, rozpočet mají dostatečný), aby zdiskreditovali projekt TrueCrypt, který je jim trnem v oku. Budoucnost ukáže, jestli a jak moc se pletu…

Další články na téma bezpečnost

Nejčtenější příspěvky

• Společnost CloudFlare, zabývající se počítačovou bezpečností, se rozhodla otestovat reálnou nebezpečnost HeartBleedu. Prví sami podle svých analýz usoudili, že nebezpečí sice existuje, ale jeho zneužití vyžaduje velmi sofistikovaný přístup. Aby si ale byli úplně jistí, vytvořili testovací server s ještě nezaplátovanou verzí OpenSSL knihovny (přesně Nginx-1.5.13 Web server s OpenSSL 1.0.1.f na Ubuntu 13.10 x86_64), vystavili jej na internet a vyzvali komunitu bezpečnostních geeků, aby jim ten server zkusil „hacknout“ – tedy abych byl přesný, zadání bylo: „Využít chyby v OpenSSL k získání privátního klíče serveru“. A co myslíte, jak to dopadlo? Během pár hodin se to jednotlivě podařilo čtyřem specialistům z různých částí světa, přičemž první byl Fedor Indutny z Moskvy. Já osobně tenhle výsledek považuji spíš za dobrou zprávu, protože
  1. se to podařilo JEN čtyřem extraspecialistům
  2. navíc i ten nejlepší na to potřeboval několik hodin
  3. bylo jasné zadání, vědělo se, že server je napadnutelný a byla jasná jeho adresa
  4. vědělo se, JAKOU NAPADNUTELNOST server obsahuje
  5. humbuk posledních dnů kolem HeartBleed bugu určitě donutil specialisty o tom něco nastudovat.
• DELL, HP, IBM a další výrobci HW už vydali opravené verze HW a SW nástrojů, obsahujících napadnutelnou OpenSSL knihovnu.
• Americký prezident, pan Obama, se vyjádřil ke svému předešlému vyjádření, ve kterém tvrdil, že je v pořádku, když NSA zamlčuje zjištěné bezpečnostní chyby a využívá je k získávání informací. Nyní prohlásil, že americká administrativa upřednostňuje zveřejnění zjištěných potenciálních hrozeb s výjimkou případů, kdy nezveřejnění je v zájmu národní bezpečnosti. Mně teda připadá, že řekl to samé jinými slovy – třeba se ale pletu, protože tohle už je umění politiků, kterému my, ajťáci, moc nerozumíme.

• Zjistilo se (Bloomber z anonymních zdrojů), že v NSA o chybě už pár let věděli a vesele ji využívali, aniž by na ni kohokoli upozornili. Za tohle je ajťáci budou milovat ještě víc, než doposud.
• Humbuk kolem NSA a HeartBleed bugu v OpenSSL dokonce donitil k vyjádření i pana Baracka Obamu. Z úst amerického prezidenta se tak dozvídáme, že je to vlastně v pořádku a že v NSA neudělali víceméně nic špatného.
• Zprávu přinesla on-line verze amerického deníku The New York Times s odvoláním na vysoce postavené vládní zdroje.
• Oficiálně Bílý dům a zpravodajské služby popírají informace médií, že NSA dlouhodobě využívala závažnou bezpečnostní chybu.
• A úplně nejžhavější zpráva z dneška přináší vyjádření samotné NSA kde se praví, že nic z toho není pravda a že se o chybě dozvěděli až nedávno, když byla publikována. Že by americký prezident měl potřebu vyjadřovat se k něčemu, co neexistuje? Tak nevím …

Stručně: Nalezla se chyba v technologii, používané pro SSL šifrování. SSL šifrování slouží pro vytvoření zabezpečeného spojení mezi internetovým prohlížečem a serverem tak, že veškeré následně vyměňované informace nelze „odchytit“. V praxi se toto používá na většině serverů, kde je vyžadování jakékoli přihlášení, vyplnění osobních údajů atd. Podrobněji: Analytici společnosti Google ve spolupráci s bezpečnostní společností Codenomicon během pondělí objevili bezpečnostní chybu v SSL šifrování při použití knihovny OpenSSL. Tato knihovna je pro SSL šifrování používána až dvěma třetinami internetových serverů. Chybu nazvali Heartbleed Bug, což lze volně přeložit jako „chyba krvácejícího srdce“. Kvůli kompromitované OpenSSL knihovně mohl útočník získat náhodné části dat z paměti serverů v nešifrované podobě a z nich získat uživatelská jména, hesla a šifrovací klíče. Jimi pak mohli dešifrovat i zabezpečovanou komunikaci.

Dobré zprávy:

• Na chybu upozornili analytici a ne hackeři, takže je vůbec otázkou, zda tato chyba byla někde zneužita.
• Internetová bankovnictví všech českých bank používají pro SLL šifrování jiné knihovny a tedy tato zneužitelnost se jich netýká.
• I tak je zneužití chyby v OpenSSL díky její komplikovanosti spíše nepravděpodobné
• Naprostá většina serverů již používá aktualizovanou a tedy bezpečnou verzi OpenSSL.

Které široce používané weby BYLY (už vesměs nejsou) touto chybou ohroženy a je vhodné si na nich změnit hesla?

• Facebook
• Instagram
• Twitter
• Google
• Yahoo
• Gmail
• Yahoo Mail
• Dropbox
• Minecraft