Byl spuštěn Humble Down Under Bundle. Za vlastní cenu lze koupit multiplatformní hry The Warlock of Firetop Mountain, Screencheat, Hand of Fate a Satellite Reign. Při nadprůměrné platbě (aktuálně 3,63 $) také Hacknet, Hacknet Labyrinths, Crawl a Hurtworld. Při platbě 12 $ a více lze získat navíc Armello.
Google Chrome 62 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 62.0.3202.62 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 35 bezpečnostních chyb.
Článek (en) na Mozilla.cz je věnován vykreslování stránek ve Firefoxu. V průběhu roku 2018 by se ve Firefoxu měl objevit WebRender, jenž by měl vykreslování stránek urychlit díky využití GPU.
NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) informuje o zranitelnosti ROCA v procesu generování RSA klíčů, který se odehrává v softwarové knihovně implementované například v kryptografických čipových kartách, bezpečnostních tokenech a dalších hardwarových čipech vyrobených společností Infineon Technologies AG. Zranitelnost umožňuje praktický faktorizační útok, při kterém útočník dokáže vypočítat
… více »Příspěvek na blogu otevřené certifikační autority Let's Encrypt informuje o začlenění podpory protokolu ACME (Automatic Certificate Management Environment) přímo do webového serveru Apache. Klienty ACME lze nahradit novým modulem Apache mod_md. Na vývoj tohoto modulu bylo uvolněno 70 tisíc dolarů z programu Mozilla Open Source Support (MOSS). K rozchození HTTPS na Apache stačí nově přidat do konfiguračního souboru řádek s ManagedDomain. Minutový videonávod na YouTube [reddit].
Daniel Stenberg, autor nástroje curl, na svém blogu oznámil, že obdržel letošní Polhemovu cenu, kterou uděluje Švédská inženýrská asociace za „technologickou inovaci nebo důvtipné řešení technického problému“.
Cílem Social Good Hackathonu, který se uskuteční 21. a 22. října v Brně, je vymyslet a zrealizovat projekty, které pomůžou zlepšit svět kolem nás. Je to unikátní příležitost, jak představit nejrůznější sociální projekty a zrealizovat je, propojit aktivní lidi, zástupce a zástupkyně nevládních organizací a lidi z prostředí IT a designu. Hackathon pořádá brněnská neziskovka Nesehnutí.
… více »V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.
… více »V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).
Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).
nonssl-mitm. Nový. Lepší. Nyní ještě krémovější. Navržený gynekoložkou. Bez odklikávání certifikátů.
Útok jsem pracovně nazval nonssl-mitm, protože se v podstatě jedná o (dočasné?) vyřazení SSL. Pokud jsem pouze znovuobjevil Ameriku, omlouvám se 
. Pokud je to něco úplně nového, nazývám zde popsané skutečnosti Jendovým útokem (něco jako je Kaminského útok).
Zde popsané principy, otvory, perforace a deflorace jsou vymeditovány pouze teoreticky a zkoušel jsem je pouze doma. Není mým údělem vykrádat přihlašovací údaje k účtům, nýbrž pouze ukázat, zda a jak to jde. Nenesu zodpovědnost za využití, použití, zneužití, vyvezení, dovezení či provezení zde popsaných praktik. Zkoušíte na vlastní risiko.
Mnoho bankovních i nebankovních (freemaily, komunitní portály :-P, datové tamty, no, jak se to jmenuje...) institucí používá nějaký způsob šifrovaného spojení, řekněme, že HTTPS. Mnohé z nich (freemaily, komunitní portály :-P) ho používají z výkonnostních důvodů pouze pro přihlášení. Podívejme se, jak vypadá takový přihlašovací formulář na jednom takovém náhodně vybraném portále.
<form action="https://www.abclinuxu.cz/Profile;jsessionid=gztm0pfw2jpa" method="POST"> <input type="text" name="LOGIN"> <input type="password" name="PASSWORD"> <input type="submit" name="finish" value="Přihlásit"> </form>
(redakčně kráceno)
Tento formulář ke klientovi doputoval po nezabezpečeném HTTP. A teď si představte, že mezi klientem a Stickfishím serverem sedím útočník, který odpověď serveru modifikuji. Asi takto:
<form action="http://www.abclinuxu.cz/Profile;jsessionid=gztm0pfw2jpa" method="POST"> <input type="text" name="LOGIN"> <input type="password" name="PASSWORD"> <input type="submit" name="finish" value="Přihlásit"> </form>
Data z tohoto formuláře budou odeslána nezabezpečeným spojením. Přejete si pokračovat? [Ano] [Ne] [ ] Zobrazit příště toto varování
Na rovinu - když se vám toto zobrazilo poprvé, třeba před dvěma lety, na libovolné stránce, určitě jste to odklikli. A určitě jste poprosili prohlížeč, aby vás už příště neotravoval. Nebo toto varování snad máte zapnuté? Hlasujte v anketě.
Takže uživatel vyplní heslo a nic zlého netuše odešle a vy ve svém Wiresharkovi paket zachytíte.
Banky obvykle pošlou dopis končící
V prvním případě se posílá HTTP 302 nebo HTTP 200 s metou refresh v hlavičce na https variantu. Ano, i tyto požadavky můžeme cestou modifikovat.
Například tolik oblíbené datové schránky, o kterých ještě bude řeč dále, (sken dopisu) mají na http://datoveschranky.info/ odkaz na https://www.mojedatovaschranka.cz/. Tož, z odkazu na stránce datoveschranky.info se omylem cestou ztratí "s"...
Většina webů (asi všechny kromě některých freemailů a AbcLinuxu :-P) nemá HTTP variantu. Každý požadavek oběti na port 80 serveru tedy musíme vždy chytit, zašifrovat, poslat na server přes HTTPS, odpověď rozšifrovat a poslat zpátky oběti přes HTTP. Oběť si tedy prostě normálně kliká po rozhraní své schránky a v adrese vidí http://. Ale kolik BFU se dívá do adressbaru.
Technickou realizaci tohoto jsem neřešil (jsem teoretik!), ale osobně bych si spustil lighttpd a pomocí modulu rewrite nasměroval všechny požadavky na jeden bashový skript. Ten by si mohl vypreparovat požadavek, pomocí wgetu ho poslat přes https serveru a staženou odpověď by vrátil webserveru k odeslání zpátky klientovi. Ale to už se blížíme k technickému zpracování...
Zase na druhou stranu, ve většině případů nám stačí podvrhnout přihlašovací stránku, takže si u nás na serveru vytvoříme prostě její kopii a action toho formuláře necháme směřovat na původní adresu.
Příklad útoku popíšu na datových schránkách. Ano, už zase rýpu. Víte, díky datovým schránkám jsem začal tuto bezpečnostní problematiku studovat. Alespoň k něčemu jsou dobré
Jak si sednete mezi klienta a server neřeším. Buď máte router po cestě, nebo použijete třeba arpspoof.
Vždycky jsem si myslel, že se to jmenuje transparentní proxy, ale dokumentace Privoxy mě přesvědčila o opaku. Jo, takže budeme používat Privoxy, protože s ní prostě umím.
Prvně nařídíme Privoxy, aby reagovala s požadavky, které vedou skrz ni.
accept-intercepted-requests 1
Potom budeme chtít, aby poslouchala na všech rozhraních na portu 80
listen-address :80
Dále vložíme potřebné filter a action soubory. Já jsem je nechal pojmenované user.*, protože v Debianu je to tak default. Ale jak se rozhodnete, to je na vás.
filterfile user.filter actionsfile user.action
Nyní nadefinujeme potřebný filtr. Můžete si o tom přečíst článek tady na ABC. Svůj filtr jsem pojmenoval nonssl-mitm. Přiznám se, že jsem dost prasil - místo, abych podrobně sledoval cestu "skutečného" požadavku (jsou tam asi tři různá přesměrování), jsem to rovnou natvrdo nasměroval na login.mojedatovaschranka.cz.
FILTER: nonssl-mitm s/href="https:\/\/www.mojedatovaschranka.cz\/portal\/ISDS\/"/href="http:\/\/login.mojedatovaschranka.cz\/"/ig
Zapneme filtr pro doménu datoveschranky.info
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
{+filter{nonssl-mitm}}
datoveschranky.info
A nakonec nastavíme forward subdomén mojedatovaschranka.cz na náš servřík. Já používám LigHTTPd a poslouchá mi na localhostu na portu 8111.
forward .mojedatovaschranka.cz localhost:8111
Do documentrootu svého webservříku jsem umístil věrnou kopii přihlašovacího formuláře k datové schránce. Action jsem mu nechal na skutečnou adresu https://login.mojedatovaschranka.cz/nidp/idff/sso?sid=4 a zkusil jsem se "přihlásit". Povedlo se.
Co si případný útočník umístí do této falešné přihlašovací stránky, to nechám na něm. Znovu připomínám, že zneužití cizí datové schránky je trestné.
Příprava takovéhoto útoku je složitější, ale na rozdíl od "obyčejného" podvrhování certifikátu se uživateli nezobrazí ani upozornění o špatném certifikátu. Nepomůže mu ani, když si nainstaluje a ověří certifikát PostSigna.
Řešení? Nebuďte líní a zadávejte do svého prohlížeče celou adresu, včetně https://. Nevěřte tomu, že když zadáte jenom mojedatovaschranka.cz a prohlížeč vám před to doplní http://, přesměruje vás to na https:// variantu. A když už, tak si alespoň zkontrolujte, jestli vás to přesměrovalo a zobrazte si detaily certifikátu.
Pokud jsem někde udělal chybu či jsem něco napsal nejasně, neváhejte využít komentářů.
Před domem teď zastavilo několik aut s černými skly a vylézají z nich nějací zakuklenci.
Tiskni
Sdílej:
22.8.2009 22:16
hikikomori82 | skóre: 18
| blog: foobar
| Košice
22.8.2009 22:23
Jendа | skóre: 74
| blog: Výlevníček
| JO70FB
.
22.8.2009 23:56
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
1.8.2010 06:32
Jendа | skóre: 74
| blog: Výlevníček
| JO70FB
. Nejlepší by bylo, kdyby prohlížeč kromě „už nikdy nevarovat“ měl ještě možnost „už nikdy nevarovat pro tuto doménu“.
22.8.2009 22:25
Jendа | skóre: 74
| blog: Výlevníček
| JO70FB
22.8.2009 23:56
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
V tomhle si nedělej žádné iluze, např. náš studijní systém trpí podobnou chybou – přijdeš na úvodní stránku, ta je nešifrovaná, klikneš na „Přihlásit se“ a to tě hodí na stránku s HTTPS basic autentizací (tzn. generické okno webového prohlížeče) a tam už zadáváš heslo – obávám se, že většina uživatelů by jméno a heslo vyplnila, i kdyby útočník-uprostřed upravil titulní stránku, aby odkaz vedl na nešifrovanou podvodnou stránku. Když jsem upozorňoval autory toho systému, že by bylo lepší, kdyby se šifrování započalo o stránku dříve, než uživatel posílá heslo, případně se použila formulářová autentizace (místo basic), přišlo jim to moc práce.
23.8.2009 10:14
xkucf03 | skóre: 46
| blog: xkucf03
Ona ta integrita bez identifikace druhé strany nemá moc smysl – pak máš jen jistotu, že s někým komunikuješ a nikdo není mezi vámi, kdo by tu komunikaci narušoval, ale už nevíš, jestli ten někdo je skutečný server, kam se chceš připojit nebo útočník.
Něco mezi HTTP a HTTPS může být, když hesla hashuješ na straně klienta. Ovšem je to jen ochrana proti odposlechnutí (např. po nechráněném wifi), ale ne proti pozměnění (MIM), protože když může někdo pozměňit ty stránky, tak vypne hashování, uživatel nic nepozná (za HTML zdroják se nedívá) a heslo se odešle v čistém tvaru. Případně to jde zkombinovat s HTTPS a mít to jako druhou úroveň zabezpečení (někdo např. podvrhne certifikáty, odposlouchává a nakonec zjistí, že odposlechl jen náhodné hashe hesel).
23.8.2009 11:48
Jendа | skóre: 74
| blog: Výlevníček
| JO70FB
Příprava takovéhoto útoku je složitější
Kdybys tam vrazil jako proxy třeba takový nginx, tak je to přepisování snadné (https → http).
it's very beautiful and encouraging song!
Down with Exxon Mobil,Total,Chevron,BP and
Royal Dutch Shell!!!
Russia i Gazprom,ypa!
Je to podobné sslsniff-u. Jenom sslsniff navíc umí podvrhovat falešné SSL certifikáty, které ale projdou ověřením SSL certificate chain. Má na to několik metod:
23.8.2009 13:46
