Pravidelný občasník originálního humoru

chlívek Bezpečnost

Bezpečnost, viry, ochrana soukromí, atd.

Prezentace na téma Nebojte se sociálních sítí z KyberPSYCHO 2014

Vystoupení na konferenci "KYBERPSYCHO V HLEDÁČKU POLICIE" - konference.ncbi.cz - na téma děti, mládež, sociální sítě, bezpečnost, soukromí. A jako bonus, tipy na užitečné a zajímavé mobilní aplikace a aktivity, které jste možná ani netušili, že je dětem můžete doporučit. Samozřejmě klasicky spousta čísel,  hodně nových snímků ukazujících jak hodně mobily a tablety ovlivňují děti a co na nich dělají.

Městská Policie Brno má nejspíš hacknutý web, ale v prohlížeči to asi neuvidíte

Karel Figlar na Facebooku POOH.CZ upozornil na velmi zvláštní chování sdílení z webu www.mpb.cz , tedy webu Městské Policie Brno. Když budete chtít sdílet, tak se v popisku objeví dost podivná věc (viz obrázek).

Zajímavé na tom všem je, že když si onu adresu otevřete v prohlížeči, tak tam ten text není. Ale když si to otevřete třeba v Debuggeru Facebooku tak ho tam najdete. Takže buď se někdo rafinovaně pomstil Městské Policii Brno, nebo je ten web hacknutý.

Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

"Hesla jsou v databází uložena šifrovaně. Šifrujeme je vlastním algoritmem a tudíž je dokážeme i dešifrovat. Heslo si můžete kdykoli změnit přes zákaznickou administraci, která běží na httsp". Tohle dostal Tomáš Dvořák od zákaznické podpory u FORPSI jako odpověď na dotaz, týkající se ukládání hesel v plaintextu.

Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

Neexistuje žádná lepší ukázka do učebnice, než je tato. Technická podpora informuje zákazníka, že jeho heslo mohou kdykoliv přečíst nejenom oni, ale také kdokoliv jiný, kdo FORPSI hackne systémy. A aby se cítil bezpečně, přidají uklidňující větu o "vlastním algoritmu".

Prosím pěkně, hesla zákazníků, uživatelů, se nikdy neukládají v čitelné podobě ani dekodovatelné/dešifrovatelné podobě. Hesla uživatelů se musí zašifrovat odpovídajícím způsobem tak, aby to bylo jednosměrné. Tak aby nikdo nemohl heslo získat. A už vůbec ne kdokoliv ze zaměstnanců společnosti.  

Na Facebooku jedou nová podvodná videa. A hezky masově spamují a zavirují počítač

Bohužel lidská hloupost je nesmírná, protože tady klasicky naletí na výzvu ke stažení ovladače pro Flash. A pak už si dobrovolně zavirují počítač.

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Těžko říct, co si myslet o někom, kdo naletí na phishing (rhybaření) ukázané na následujícím obrázku. Něco takového samozřejmě už roky chodí v angličtině, tohle je jeden z mnoha pokusů, kdy útočníci prostě vzali anglický text a prohnali skrz Google Translate (něbo nějakou jinou službu co rozhodně nedokáže přeložit nic do srozumitelné podoby).  

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Všimněte si, že zde ani není žádný odkaz a útočníci nejspíš předpokládají, že jim obět prostě odpoví mailem (samozřejmě je možné, že prostě soudruzi z NDR udělali chybu a na odkaz zapomněli).

Čas to opět připomenout: Na Facebooku neexistuje soukromí

Zní to pro některé jako jasná a zřejmá věc. Na Facebooku neexistuje soukromí. Bohužel se stále setkávám s dětmi, mládeží (a kupodivu) i dospělými lidmi, kteří si myslí, že nálepkou "pouze pro přátele" zajistí svým příspěvkům a fotografiím soukromí. Nezajistí. Internet je veřejný prostor. A Facebook žádné soukromí neumožňuje.

Čas to opět připomenout: Na Facebooku neexistuje soukromí

SPOZ opět nabízí na webu věci co by nabízet neměl, včetně třeba /etc/passwd

Je to tu opět, SPOZ opět na SPOZ.cz nabízí leccos, co by nabízet neměl. Podívat se můžete na http://www.home.spoz.cz kde při minimálním snažení nakonec narazíte třeba i na zálohy SQL serveru, logovací soubory. Obsah http://www.etc.spoz.cz  se vám jistě také bude líbit (ano, jak etc napovídá, je to etc složka Linuxového stroje). Můžete si příjit třeba k typickém /etc/passwd (shadow je nedostupné) a řadě dalších zajímavostí. A do třetice ještě třeba http://www.tmp.spoz.cz. Za upozrnění díky @davidkarban

DODATEK: Už tam najdete jenom 404, ale má to ještě mezihru - viz A aby toho nebylo málo, na SPOZ.cz už objevuje porno a jiné radosti

DODATEK: Vhodné připomenout, že takhle už řešili minulý bezpečnostní problém - zakázali výpis složky/adresáře, ale pokud jste věděli, tak soubory zůstaly dostupné. Což zůstává třeba právě to http://etc.spoz.cz/passwd

 

 

SPOZ toho na serveru nabízí trochu víc, ale třeba to je ukázka budoucí otevřenosti [DOPLNĚNO]

Inu, těžko říci, jestli http://files.spoz.cz/upload/ je veřejně přístupné záměrně. Dotaz poslaný na tiskový kontakt SPOZ prozatím bez odezvy, takže můžeme pouze hádat. Každopádně tam najdete zhruba 360 MB souborů. Nějaké MP3, záplava fotografií, různé kandidátní listiny (včetně rodného čísla i bydliště kandidátů), nějaké k uzoufání nevkusné plakáty s Milošem. A také nějaké e-maily, paradoxně uložené jako PDF, ve kterých se řeší stranická krize.

DODATEK 8. října 2013 8:30 - Pozdě v noci dorazila odpověď ze SPOZ:

Dobrý den,
záměr to není, ale jedná se o úložiště fotografií a PDF krajů, tyto soubory jsou linkované ze stránek, tedy nic tajného.
Děkuji za upozornění.

Pěkný den,
Vladimír Kruliš

Mgr. Vladimír Kruliš
místopředseda strany

 

Hodně zvláštní příklad phishingu. Kolik hloupých na tohle může naletět?

Dorazil spam, celý ho můžete vidět v screenshotu. Na první pohled vypadá jako obchodní e-mail a nějaká ta poptávka. Samozřejme to smysl nedává, protože já nic takové co poptávají nemám, nemám ani žádný web, který by s tím měl něco společného. Ve skutečnosti je to povedený phishing:  

"To view the samples kindly login with your email and password because our company has added your email address to our own company email data base for security reasons."

Hodně zvláštní příklad phishingu. Kolik hloupých na tohle může naletět?

Přemýšlím nad tím, kolik lidí na něco takového naletí a na uvedené adrese skutečně zadá svůj e-mail a k němu platné heslo. Po zadání se mimochodem dostane na www.aliexpress.com/activities/promotional-products/index.html a mezitím samozřejmě došlo k uložení zadaných informací (zajímavé je, že to dělají pomocí www.formbuddy.com).

Milenka premiéra nasadila na manželku premiéra zpravodajce? Lepší důvod proč se bát o soukromí neexistuje

Když už se tak už zhruba týden bavíme o tom, že americká vláda v rámci PRISMu šmíruje všechno možné i nemožné, tak se nemohlo stát nic lepšího, než vývoj vládní krize. Odhlédňeme od faktu, že je prakticky nepochopitelné, jak může premiér země připustit, aby jeho milenka využila zpravodajské služby k sledování manželky. Nechme to být, protože to svědčí o tom, o jak hloupé lidi jde. Sice je nutné přemýšlet nad tím, jak je možné, že zemi může někdo takový vládnout, ale to tak nějak patří k české politice.

Rozumějte tomu správně. V téhle (a jakékoliv jiné zemi) zemi je nejspíš možné, aby se šéfka kabinetu premiéra rozhodla nechat šmírovat jednoho konkrétního člověka. Navíc ta šéfka kabinetu má poněkud bližší stav ke svému šéfovi a tím sledovaným člověkem je žena šéfa. Samozřejmě nepodstatný detaily, ale svědčící o tom, že vládne absurdní nedostatek kontroly toho, co lidé na nejvyšších místech dělají.

Z dění okolo PRISMu a posledního vývoje okolo vládní krize velmi jasně plyne to, že máme jasný důvod bát se o soukromí. Ne, vůbec tady neplatí to, že nic špatného neděláme (a tím pádem se nemáme čeho bát). Platí tady to, že kdykoliv je možné, že se někdo bude prohrabávat tím kam chodíme, s kým mluvíme, co kupujeme, kam chodíme na internetu, s kým si píšeme. A pokud si Policie nevymýšlí, tak toto bezprecedentní šmírování (pro zcela soukromé účely) si může objednat kdokoliv přímo od státu.

Nepochopitelné.

FIO zprovoznilo bankovní API. A ejhle, je to zlý Google, kdo útočí na vaše finanční data!

Málokdy mám ve zvyku komentovat články lidí píšících pro stejný titul jako já, ale tady nemohu vydržet. Řeč je o Google vám zadarmo zkontroluje bankovní výpis. Je o co stát? kde to prostě nechápu. Rozumějte tomu správně. FIO zprovoznilo API pro přístup k bankovnímu účtu. A Filip Hráček zveřejnil video, ve kterém ukazuje, jak ON využil toto API ve spojení s Google technologiemi. Nic víc a nic míň.

Zmíněný článek je ale super. Za všechno může Google, všechno je nebezpečné, přístupové klíče se přenášejí nebezpečně a všichni lidi z Google se jenom třesou na to, aby si z vašich Google Docs mohli přečíst vaše bankovní data. Dokonce to končí obviněním, že tohle je vlastně nějaký temný plán Google:

Zbývá otázka, proč Google vůbec přišel s tak nebezpečným nápadem. Je to předběžný průzkum trhu zjišťující, jestli by nám vadilo, že se nám Google bude dívat do bankovního účtu?

Nějak to vážně nechápu. Asi je čas to zopakovat. FIO zpřístupnilo API pro přístupk účtům. Filip Hráček to použil pro své osobní potřeby a natočil o tom instruktážní video. Povedené video, ukazující velmi praktické věci. A ať dělám co dělám, nikde tam nevidím žádné temné konspirační plány Google k ovládnutí našich bankovních účtů. Už vůbec ne to, že by "Google zdarma kontroloval bankovní výpisy".

Nemá asi moc smysl řešit řadu dalších omylů v článku, jako naivní představy autora o zabezpečení "bankovních aplikací v mobilech". Nepochopení toho, že milionům lidí stejně chodí bankovní výpisy e-mailem v plaintextu. Nebo třeba onen oblíbený mýtus, že snad Google má právo vaše data zpracovávat jak ho napadne či dokonce, že po použití API od FIO na vás bude Google cílit podle vašich ekonomických informací. To nechme být.

Zásadní problém? Máme tady FIO a jejich nebezpečné API (pokud tedy budeme autora vůbec kdy brát vážně). A máme tady autora, který za to obviňuje Google. Tomu nerozumím.

PS: Prostudoval jsem si API od FIO, je to běžně provedené "read-only" API pro přístup k výpisům. Takže je už zjevné, že autor textu na Lupě vůbec neví která bije. A ani se neobtěžoval si o API nic přečíst.

Ten Google ale bude strašně zlý. Jenom jestli tady ale nebude nějaká trochu divná novinařina

Tak prý Google až po třech letech smazal šmírácká data o Češích, píše to Mediafax, takže to určitě musí být pravda. Tedy až na to, že to podle dalších dostupných informací vypadá tak, že Gogle v květnu 2010 žádal ÚOOÚ o svolení ke smazání dat. A ÚOOÚ mu vlastně vůbec neodpověděl. Místo toho v listoadu 2012 poslal výzvu ke smazání dat. Na což Google zereagoval tím, že ty data konečně smazal. Podrobnosti viz Kauza Googlem nasbíraných WiFi dat se opět objevuje na Lupě.cz. Ze které a z dalších získaných informací prostě skutečně plyne, že Google žádal o svolení ke smazání (v roce 2010), to dostal v roce 2012. A poté data smazal. 

 

Pátý březen 2013, den kdy v Česku přestal jet Internet

Seznam.cz vrací 502 (Bad Gateway), Connection was reset ... to nevypadá, že by se po včerejšku něco zklidnilo. Ale co hlavně, 5. březen 2013 se zapíše do historie. Nefungující www.seznam.cz to je něco, co pro většinu BFU bude znamenat, že "nejede ten Internet". Bezdradně budou koukat na nějakou tu chybovou hlášku, v panice mačkat Refresh/Reload/F5 (pokud vůbec vědí co to je) a snažit se dostat k "tomu internetu" kam teprve napíší do vyhledávacího políčka adresu,  kam vlastně chtějí jít.

Připomeňme, že včera došlo k DDoS útokům na řadu zpravodajských webů (zejména iDnes.cz, Novinky.cz, iHNed.cz) z nichž některé to označily za útok "hackerů", jiné za útok "počítačových pirátů". Nejprve bylo v popředí tvrzení, že útok je obtížné řešit, protože pochází z IP adres v české republice, pak se objevilo, že vlastně pochází z Ruska. Ani den po zahájejí útoků ale zjevně nic nevíme (přitom stačilo konečně analyzovat alespoň včerejší logy). A vypadá to, že útočníci pochopili, že dobrý cíl bude přímo www.seznam.cz.

PS: Pro ty co nemohou bez Seznam.cz žít, zkuste to s jedním "s" navíc -> https://www.seznam.cz/ 

Google Chrome zablokoval vstup na jediný článek na Lupě pro phishing

"Google Chrome has blocked access to www.lupa.cz. This website has been reported as a phishing website," bylo varování, které se objevilo u jednoho čerstvého článku. Jediného článku.

Těžko říct jakým způsobem můžete snadno a rychle dosáhnout toho, že zcela čerstvě vydaný článek začne Google Chrome blokovat a tvrdit, že jde o phishing. Řeč je o článku původně vydaném s touto adresou - http://www.lupa.cz/clanky/google-pry-jedna-s-visa-mastercard-a-paypal-jak-zastavit-financovani-piratskych-webu/ - a který nakonec najdete na nové adrese - http://www.lupa.cz/clanky/google-visa-mastercard-a-paypal-pry-jednaji-o-zastaveni-financi-pro-piraty-doplneno/ (Google, Visa, MasterCard a Paypal prý jednají o zastavení financí pro piráty). Tu mu bylo nutné přidělit, protože se nějakým způsobem ta jeho původní dostala na "černou listinu". Skutečně tohoto jediného článku, několik desítek minut po jeho vydání.

Bohužel hláška zabraňující vstupu pouze umožňuje "nahlásit" omyl, vrátit se zpět nebo "pokračovat na vlastní nebezpečí". Žádné bližší údaje k dispozici nejsou, byť v jiných případech Google umožňuje získat nějakou tu zprávu o tom, proč (a kdy) k označení pro závadnost došlo. Klasická "Safe Browsing" diagnostika (viz například www.google.com/safebrowsing/diagnostic?site=lupa.cz) se tohoto případů také  netýká (a v tomto případě se na tuhle adresu stejně musíte vydat ručně).

Nigerijský spam přišel na nový trik. Využívá k tomu koťátka k adopci. A to prostě nevymyslíš

Napsala mi na Facebooku Petra. Je to opravdu zajímavé a naštěstí zatím přišla jenom o 3 000 korun a včas jí došlo, že pořídit se dvě (neexistující) koťaty za třeba i dalších 24 tisíc působí divně. Tohle prostě ten "nigerijský spammer" nezvládnul.

Prosim Vas o radu.. 
Nasla jsem inzerat, dve kotata, psala jsem pani, ze pry zije v Lyonu je zdravotni sestra a z nedostatku casu je dava k adopci..Ozvala jsem se, nasledovalo vymeneni nejakych udaju jako jmeno, adresa, telefon.. Pak pry ze zaveze kotata na letiste, priskla mi nejaka zprava z neceho co se tvarilo jako airfrance preprava zvirat.. bylo tam vyuctovano ze ona zaplatila 30E a ja mam zaplatit 3000CZK za tranfer. Prisly mi udaje, jednalo se o banku v Kamerunu s tim, ze jakmile jim dojdou prachy kotata budou prepravena. Slozit penize chteli na urcite jmeno pomoct MoneyGram. Udelala jsem to, prisel mi dalsi mail, ze vzhledem k prepravnim podminkam je treba nejaka vyhrivana prepravka a ze mam zaplatit dalsi castku mela jsem na vyber mezi 12tis, 19tis, 24tis. A najednou mi to zacalo byti vice nez podezrele. Obavam se ze jsem prisla o 3tis KC, a nic se dal dit nebude. Nemate s timto zkusenoti? Dekuji Petra

Každopádně je to prostě geniální.

Zelenkavý bezpečnostní nástavec na bankomatu? Konec lžím o vyšším bezpečí?

Bankomat v Brně kopíroval platební karty, stopy vedou do Kalifornie je článek o klasické situaci. Skimmovací zařízení na jednom brněnském bankomatu jedné nejmenované instituce. Samozřejmě, bankomatu co měl být vybaven oním skvělým kusem plastu, bezpečnostním nástavcem, barvy zpravidla zelenkavé. A ják už od objevení tohoto zhůvěřilého nápadu upozorňuji, nemajícího žádný význam. A ejhle, možná to konečně vypadá na konec lží o zelenkavém zabezpečení.

"Nejnovější modely skimmovacích zařízení mají stejnou zelenavou barvu jako bezpečnostní nástavec, který je umístěn v bankomatu na vstupu pro kartu, a mohou být na tento nástavec upevněny. Čtečka bývá také často umístěna v liště, která se nachází přes šířku bankomatu přes vstup pro platební kartu a výdej potvrzenek. Kamera pro snímání PIN je pak většinou instalována v liště nad rámem obrazovky," upozorňuje na vynalézavost zlodějů mluvčí banky.

Nezbývá než pogratulovat bankám, jak několik let jejich PR oddělení úspěšně vodila za nos důvěřivý národ - viz například ČS vybavila již 80 % svých bankomatů bezpečnostním zařízením proti kopírování z listopadu 2007, ve kterém se dočtete: "Jde o zařízení, které bankomat účinně chrání proti instalaci nelegálních zařízení a znemožňuje okopírovat data z magnetického proužku. Zelený plastový nástavec se instaluje přímo na vstupní otvor pro kartu a jeho přesný vzhled si klienti mohou ověřit i na obrazovce bankomatu. "

Ale jak už dávno víme, zloději karet to nějak vůbec nepochopili a prostě si vyrobili zelenkavé nástavce vlastní. A totéž to bude s dalším zábavným tvrzením: "Díky softwarové úpravě se karta při vstupu do bankomatu pohybuje trhavě nebo přerušovaně, a právě tento pohyb eliminuje možnost podvodně načíst údaje z magnetického proužku. "

Vyšla knížka, Bezpečnost dětí na Internetu. A já z toho mám radost. Díky Lenko. A díky Radko.

Po usilovném psaní. Po ještě usilovnějším čtení. Po pár týdnech co Lenka asi měla chuť se vším praštit a na všechno se vykašlat. Po několikerém přečtení, kdy jsem tu knížku nenáviděl. Po novém přečíslování všech obrázků. Poté co mě Lenka musela honit abych podepsal smlouv. No prostě po řadě věcí, kde nebýt právě Lenky, tak by takhle knížka nikdy nevyšla. Po té řadě věcí je na světě Bezpečnost dětí na Internetu kde jsem spoluautorem. A mám z toho hodně hodně hodně velkou radost.

Na psaní knížek sice v současné době už asi člověk nezbohatne, ale tahle knížka je hodně užitečná. Až mi dorazí pár autorkých výtisků, tak první půjde k Radce Malečkové do českého Hewlett-Packard. Protože ta mě (teď už skoro před dvěma roky) přivedla k seminářům bezpečnosti pro děti na základních školách. A já našel něco, co mě fantasticky bavilo. A co také vedlo k téhle knížce. Takže díky, Radko. A díky Lenko, protože bez Lenky Eckertové by tahle knížka nikdy nebyla dopsaná.

Václav Klaus líbající se s Lívií v novém hoaxu (co samozřejmě pobíhá po Facebooku)

Po Facebooku pobíhá čerstvý hoax, ve skutečnosti jen varianta již dříve používaného textu, pouze je vyměněn předmět. V některých z předchozích verzích šlo o "spořič obrazovky", nyní jde o Václava Klause líbajícího se s Livíí na Karlově mostě.

NEMAŽTE!!!! PŘEČTĚTE SI A IHNED předávejte dál.!!!!!!!!!!

"Někdo posílá na první pohled velmi roztomilý obrázek (možná fotomontáž) Václav Klaus líbající se s Lívií na Karlově mostě. POZOR!!!!

Pokud si foto stáhnete, přijdete o všechno !!

Pevný disk se uvolní a spadne do kanálu a někdo na internetu (prý Al-Kajdá) dostane vaše přihlašovací údaje.!!!! Zmizí Vám peníze z účtů, budete odhlášeni ze zdravotního pojištění a vaše identita vymazána ze všech serverů státní správy!!!!!!!!!!!!

Nestahujte za žádných okolností.!!!!

Toto je informace od Microsoftu, včera šla do oběhu.

Prosím, pošlete tuto zprávu dál. Podělte se s každým, kdo má přístup k internetu, kdo nemá, pošlete mu to poštou nebo ihned volejte. Můžeme tak zachránit spoustu lidských životů!!

Samozřejmě klasicky platí, že BFU (běžní facebookoví uživatelé) téhle snůšce blábolů věří.

Pozor na WiFi, hackeři vám vidí na obrazovku počítače! Podivnosti od Novinky.cz. Klasika

Ještě není ani Silvestr, tedy doba vydávání mystifikačních článku. A už je tu pravidelná porce IT nesmyslů od Novinky.cz. Tentokrát okořeněná dávkou hlouposti z úst mluvčího policejního prezidia. Otázkou samozřejmě je, zda vůbec něco takového řekl.

„Někdo využije prostředí, kde se dají očekávat bezplatná wi-fi, třeba restaurace. Ten člověk si tam přinese své wi-fi a čeká, až přijdou další lidé, kteří se potřebují napojit na rychlejší připojení než přes mobil. Vyhledají dostupné wi-fi, přičemž nejbližší, a tudíž nejrychlejší je od toho člověka, který chce stahovat jejich data. Pokud si je dotyční nezašifrují, tak jim fakticky vidí na obrazovku počítače,“ přiblížil problém Hulan.

Na článku Pozor na veřejná wi-fi, hackeři vám mohou ukrást adresy i čísla je ale těch podivností víc. Třeba to, že o něco dále v článku je tvrzeno, že přes WiFi je možné se dostat i do internetového bankovnictví. Ale hlavní zásadní podivná věc je, že článek je zdánlivě o veřejných WiFi v restauracích, hotelích, letištích či obchodních centrech. Ale ve skutečnosti je o hlouposti lidí, kteří se nepřipojí na veřejnou WiFi, ale na podstrčenou WiFi někoho zcela cizího. Prostě takové klasické Novinky.cz.

Klasický způsob jak přijít o účet na Facebooku co neměl dlouhého trvání

Tenhle phishing neměl dlouhého trvání, směřoval na adresu best-dating2013.info, která už ovšem neexistuje.  Potkat ale bylo možné ještě další varianta - fresh-dating-2013.info a dokonce i datingcool2012.asia. Na té poslední je zajímavé to, že ještě stále funguje, ale přesměrovává na www.msn.com.

U Facebooku je možná dobré vědět, že pokud vám Facebook zablokuje účet, tak vám o tom žádnou zprávu nepošle. Dozvíte se to až v okamžiku, kdy se budete chtít na Facebook přihlásit. A ve většině případů vás čeká jedna ze tří metod ověření "pravosti" vašeho účtu - podstupně od oveření e-mailu a telefonního čísla až po nutnost poslat až dvě kopie dokladů.

Hacknuté účty na Twitteru? Už to padlo i na Ivo Lukačoviče

"Awesome! I got $175.39 this week so far just filling out a couple of surveys." na něčím účtu na Twitteru je jasný příznak toho, že se mu podařilo nechat si hacknout účet. Před pár dny to byl Pavel Neumann, dneska ráno je to Ivo Lukačovič.  Pokud se vám podařil stejný úlet, nezapomeňte si (1) změnit okamžitě heslo a (2) odstranit z účtu aplikace (viz Kontrolujete si (čas od času) jaké aplikace mají práva k vašemu účtu na Twitteru?). Aktuální vlna "hacků" je podle všeho způsobena právě tím, že dotyční moc nemysleli a dali nějaké aplikací právo ke kompletnímu přístupu účtu.

PS: Je dobře, že Ivo našel nové způsoby výdělku. Vyplňovat po nocích formuláře zjevně přináší ovoce :)

Hack: Škola Kamenice

Podle obsahu www.kameniceskola.cz  je asi dost jasné, že web padnul za oběť nějakému automatizovanému hackování skrz nějakou opomenutou díru. HackeD By Dr. SHA6H a lekce toho, co je to Islám. Za tip díky Jiřímu Šikovi. Jinak se tak trochu titulek ZŠ KAMENICE MÁ DÍKY JOOMLA ŠABLONĚ NOVÝ WEB A TEN ZAČAL ŽÍT POMĚRNĚ AKTIVNÍM ŽIVOTEM (ach ano, takhle OPRAVDU někdo píše titulky) má nový význam. A také trochu napovídá, že Petr Tymeš tam prostě zapomněl Joomlu s některou z hojně rozšířených děr. A pro skript kiddies je tohle oblíbený cíl.

Hoax: Napíšete-li do komentáře na Facebooku své heslo, Facebook ho změní na hvězdičky

Hodně starý a vousatý hoax se vyskytuje nejenom na Facbeooku, ale i na dalších sociálních sítích. Dokonce existuje i ve variantě, která tvrdí, že na hvězdičky se změni číslo vaší platební karty, pokud ho napíšete do příspěvku či do komentářů. Jde samozřejmě o chytře vymyšlený hoax, protože vaše heslo ve skutečnost Facebook vůbec nezná - nemá ho uložené (a nesmí ho mít uložené, jde o zásadní bezpečnostní problém). Proto, pokud si chcete nechat poslat heslo, nestane se tak - místo toho dostanete nově vygenerované náhodné heslo nebo možnost si nastavit vlastní pomocí unikátní adresy poslané mailem.

Láďa Hrbáček mi na Stránce POOH.CZ na Facebooku poslal odkaz na tuto fotografii s komentářem "stojí to za to". Je sice pravděpodobné, že řada těch co tam napsali "heslo" si z toho dělají legraci, ale vždy se najde dostatek těch co tam skutečně napíší pravé heslo. A na hvězdičky? Na hvězdičky se prostě nepromění.

Nová vlna hacků účtu na Twitteru využívá i Facebook

Martin Ehl mě dnes ráno obdařil klasickou phishingovou zprávou. "did you see your pics with her" doplněnou odkazem na facebook - apps.facebook.com/362166963874075  je aplikace na Facebooku, která si od naivního člověka vyžádá přihlašovací údaje ke Twitteru.

Je hodně fascinující, že někoho tímto způsobem dokážei dostat, ale Martin Ehl se zjevně nechal nachytat a jeho účet na Twitteru se tak dostal do rukou útočníků. A všichni jeho sledující od něj dostali stejnou zprávu.

Celé je to samozřejmě velmi podobné "Terrible rumors about you" co se šíří Twitterem (článek na Lupě z včerejška). A platí i to co je v onom článku uvedeno na konci - pokud se vám podařilo naletět, zkuste okamžitě změnit heslo. Nejde-li to, zkuste si zažádat o nové, mělo by vám dorazit na e-mail. Pokud útočník změnil i váš e-mail, tak máte smůlu, s účtem se rozlučte. Získáte-li kontrolu nad účtem zpět, rozhodně nezapoměňte provést kontrolu jaké aplikace vám mohl útočník k účtu přidat. A samozřejmě, nezapomeňte se omluvit svým sledujícím.

 

Zablokovali jste si účet na Faceboku, pokračujte k aktivaci ... a pořiďte si do počítače malware hned v prvním kroku

"You have blocked your Facebook account", "Account blocked", "Your account blocked", "Account activation" a řada podobných předmětů má aktuálně jedno společné. Jde o novou vlnu spamu vedoucího k pořízení malware. Podvodných e-mailů, rozesílaných na zcela náhodné adresy. Vypadají jako maily od Facebooku a vybízejí ke kliknutí a přihlášení k účtu na Facebooku.

Po kliknutí vás ale čeká něco zcela jiného. Něco co vypadá jako stránka od Adobe umožňující stáhnout Flash. A také vám to okamžitě začne stahovat a doufá, že nabízený soubor si spustíte. Samozřejmě, o Flash nejde, o Facebook také ne, pokud jste něco takového spustili, máte v počítači malware, virus, něco co tam rozhodně nechcete mít.

Samotný spam vede na řadu různých adres, které se vždy nacházejí buď na hacknutých webech, nebo na webech, kde útočníci mohli nahrát vlastní obsah. Odtamtud vás samozřejmě přesměrují na další adresy a pokusí se vás přesvědčit ke spuštění aktualizace vašeho Flashe. Nabízený "update_flash_player.exe" přitom například Microsoft Security Essentials vůbec jako malware/virus nepozná. Chrome ano, stejně tak jako vás může varovat, ještě před vstupem na stránku s malware - adresy už jsou známé a některé prohlížeče (Chrome, Firefox například) vás včas zastaví.

Skype se včera samo aktualizovalo. A taky samo spustilo. Novinka, o které jste tradičně nic netušili

Nemusíte mít ve Windows Skype ani spuštěné. Rozumějte, prostě sice ten monstrózní program máte v počítači, ale nepouštíte ho. Ale protože Skype před mnoha měsíci koupil Microsoft, už se vás ten program nebude na nic ptát. Včera se automaticky aktualizoval na novou verzi. A také automaticky spustil.

Oboje je extrémně nebezpečné, to druhé jmenované je ještě nebezpečnější. Protože pokud nějaký program nemáte spuštěný, tak k tomu velmi pravděpodobně máte sakra dobrý důvod. Ale to je Microsoftu (a Skype) jedno. Prostě vám hrábnou do počítače, bez vašeho vědomí stáhnou a nainstalují software. A pak vám ho ještě spustí.

Pokud vás, stejně jako mě, zajímá jak tomuhle zvěrstvu zamezit, tak odpověď zni - nijak. Skype odmítá něco takového umožnit a příslušnou volbu v nastavení v těchto případech prostě ignoruje.  A dělá to tak už řadu měsíců. Jediná čistě teoretická možnost jak něčemu takovému zamezit je zakázat pro System a Administrators přístup k Skype.exe.  Tedy samozřejmě pokud nezvolíte radikálnější a více odpovídající řešení. Poslat Skype kamsi. Do počítače zjevně nepatří.

Tesco to s bezpečností hesel uživatelů opravdu nepobralo. Na Twitteru ukazuje vrcholnou ignoranci

Pokud na nějaké online službě používáte heslo, je hodně nutné, aby bylo uloženo v podobě, ze které to původní nejde vůbec získat. Tedy v nějaké formě "hash" kódu. Což samozřejmě v řadě případů nezajistí, že se nedají získat hesla zpět (viz uníky z poslední doby), ale není až tak jednoduché a okamžitě.

V praxi to znamená, že pokud k nějaké online službě zapomenete heslo, není vám možné to původní poslat. Řeší se to prostě "resetem" hesla, tedy nastavením hesla nového. Ať už vygenerováním nového náhodného, nebo poskytnutím odkazu k nastavení nového hesla. A v praxi to znamená, že pokud vám nějaká online služba umožní nechat si poslat původní heslo, tak je to krajně nebezpečný přístup.

A jak právě můžete v praxi vidět na Twitteru, tak v britském Tesco (@UKTesco) ukazují vrcholnou ignoranci v otázce bezpečnosti. Neuvěřitelně vysokou míru ignorance.

Mobilní aplikace Facebooku nově může šmírovat s kým si voláte a jaké máte telefonní číslo

Nevím co si přesně myslet o rozšíření práv, která mobilní aplikace Facebooku chce na Androidu. Poslední verze si vyžádala "Čtení stavu a identity telefonu" a v praxi to znamená, že Facebook může zjistit vaše telefonní číslo a také získávat informace o tom, s kým si voláte.

Je jasné, že Facebook něco chystá, ale také je jasné, že tenhle druh informací je zneužitelný k dalšímu rozšíření šmírování. Vy co máte iPhone, tušíte zda došlo k nějaké změně i tam?

Mironet.cz a XSS ve vyhledávání. Ale nejspíš to bude ještě vážnější, než jenom tahle "maličkost"

Včerejší estráda okolo pochybné soutěže Mironetu na Facebooku (porušování Pravidel, zjevná nemožnost určit výherce, následné cenzurování komentářů soutěžících, "ban" soutěžících, lži, atd) měla ještě jeden zajímavý vedlejší efekt. Někdo v komentářích k zpackané soutěži opakovaně upozorňoval na klasickou bezpečnostní chybu na webu www.mironet.cz - v tuto chvíli je ještě stále aktivní. Zkusit můžete Aštara Šerana na Mironet.cz nebo si prostě jen tak zadejte nějaké HTML či skripting do políčka pro vyhledávání.

Pohled do zdrojového kódu vám ale připraví podstatnější překvapení. Součástí zdrojového kódu je zakomentovaný SQL kód, kde se zjevně také předává kompletní vyhledávací řetězec, aniž by byl jakkoliv ošetřen. A pokud byste se (čirou náhodou) vydali zkoušet SQL kód do políčka vyhledávání, tak je vcelku jasné, jak vážná tahle bezpečnostní chyba bude. Odpovědí totiž je "Vnitřní chyba serveru". Takže to vypadá na přítomnost jedné z nejvážnějších bezpečnostních chyb, SQL Injection - byť je samozřejmě možné, že vše mají ošetřené na úlovni uložených procedur. Ale s ohledem na úroveň amatérismu bych na to nesázel. 

  • <input type="text" class="SearchInput" style="line-height: 100%;" Id="EXPS" name="EXPS" value="<H1>test</H1>" onfocus="if (this.value == 'Hledaný výraz') { this.value = '';}" />
  • <!-- COMBODY strsql EXEC spGetCommoditySearchFullTextN @pnSearchedWordFullText = '"<H1>TEST</H1>*"',@pnSearchedWord='<H1>test</H1>',@pSearchType='',@nTimeSector=14, @nGroup=40,@nGroupOld=39,@bAlsoNotStored=0,@bCloseout=1,@sSort='',@bAsc = 0,@sAfterWord='',@sAfterWordFT='',@nPriceLow=0,@nPriceHigh= 0 ,@nCatId=0, @nProdId=0 --><br />
  • <br /><a href="javascript:history.go(-1);">jít zpět</a><br /><div class="StringReport">zkuste '<H1>test</H1>' nalézt :<br /><br /><table cellspacing='2' cellpadding='2' border='0' style="margin-left: 200px;">

Dodatek 10:24 - V komentářích pod tímto článkem se objevil jakýsi "Martin Štípek" co tvrdí, že je "programátor v Mironetu" a že "ihned opravil" XSS. To bylo asi tak před půl hodinou až hodinou. Upozornil jsem ho, že neopravil nic, že XSS nechal v dalších dvou místech. Výsledkem je, že svůj původní  příspěvek (a moji odpověď) smazal. A napsal znovu totéž. Opět je to ale špatně, protože stále jedno XSS zůstává.

Ochraňte se před nezodpovědnými přáteli na Facebooku, zamezte jim v předávání vašich informací nenasytným aplikacím

Je až překvapivé, jak málo lidí ma má Facebooku správně nastaveno poměrně zásadní omezení - tedy to, že vaši přátele mohou aplikacím předávat informace o vás samotných. Bez vašeho vědomí. A jde přitom o informace poměrně zásadní, osobní a důvěrné. V praxi to funguje tak, že se někdo z vašich přátel rozhodne používat nějakou aplikaci a ta si vyžádá práva přístupu k informacím o jeho přátelích (a tím tedy o vás). Váš "přítel" samozřejmě nečte, takže takovéto aplikací něco takového povolí.

Pamatujte, protože mezi přáteli bude mít vždy desítky až stovky nezodpovědných lidí, musíte se chránit samí. Jdetě přes Nastavení Soukromí (šipka uplně vpravo v horní liště) -> Reklamy, aplikace a webové stránky (Upravit nastavení) -> Jak uživatelé využívají vaše informace v používaných aplikacích (Upravit nastavení) - tím se se dostanete na něco, co můžete vidět na následujícím obrázku. Zrušte kompletně vše (případně dle uvážení to, co nechcete aby mohlo být bez vašeho vědomí získáváno) a dejte Uložit změny. Tím zajistíte, že vaši nezodpovědní přátele nebudou moci aplikacím poskytnout vaše osobní a důvěrné údaje.


( strana 1 z 20 ) Starší články >>> ( celkem článků: 572)



REKLAMA

POOH.CZ na sociálních sítích





RSS a tak podobně