Přihlášení | Registrace

napište » Zprávičky

V repozitáři AUR (Arch User Repository) nalezeny a odstraněny tři balíčky s malwarem

dnes 00:33 | Bezpečnostní upozornění

V repozitáři AUR (Arch User Repository) linuxové distribuce Arch Linux byly nalezeny a odstraněny tři balíčky s malwarem. Jedná se o librewolf-fix-bin, firefox-patch-bin a zen-browser-patched-bin.

Ladislav Hagara | Komentářů: 1

Debian 13 Trixie by měl vyjít v sobotu 9. srpna

dnes 00:22 | Komunita

Dle plánu by Debian 13 s kódovým názvem Trixie měl vyjít v sobotu 9. srpna.

Ladislav Hagara | Komentářů: 0

Vývoj Clear Linuxu byl oficiálně ukončen

včera 13:22 | Komunita

Vývoj linuxové distribuce Clear Linux (Wikipedie) vyvíjené společností Intel a optimalizováné pro jejich procesory byl oficiálně ukončen.

Ladislav Hagara | Komentářů: 1

Vývoj renderovacího jádra Servo (07/2025)

18.7. 14:00 | Zajímavý článek

Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).

Ladislav Hagara | Komentářů: 0

Forgejo 12.0

18.7. 12:00 | Nová verze

V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.

Ladislav Hagara | Komentářů: 1

Raspberry Pi Official Magazine 155 a Hello World 27

17.7. 18:44 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

Ladislav Hagara | Komentářů: 1

Hyprland 0.50.0

17.7. 16:11 | Nová verze

Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 4

Slackware Linux slaví 32 let

17.7. 15:55 | Komunita

Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

Ladislav Hagara | Komentářů: 5

MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech

16.7. 21:22 | IT novinky

Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

Ladislav Hagara | Komentářů: 19

Česko představilo nový jednotný vizuální styl státu

16.7. 16:22 | IT novinky

Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

Ladislav Hagara | Komentářů: 26

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (24%)

5-15 (18%)

16-30 (6%)

31-50 (0%)

51-70 (0%)

71-100 (6%)

101-130 (0%)

>131 (47%)

Celkem 17 hlasů

Komentářů: 3, poslední včera 17:26

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Čína ukradla podpisové klíče MS Azure AD

Štítky: audio, databáze, Debian, distribuce, malware, Microsoft, multimédia, problém, rusko, tom

Čína ukradla podpisové klíče MS Azure AD

Podpisové klíče MS Azure AD byly ukradeny a následně byly využity k nabourání se do amerických vládních emailových schránek v MS Azure pomocí falešných ověřovacích tokenů. První problém byl, že MS neměl klíče dobře zabezpečeny (nechával je v exportovatelném formátu v nějakém programu), dalším problémem bylo, že MS Azure akceptoval vypršené klíče. MS zároveň neposkytl podrobnosti o tom, co se stalo (problém bude asi závažnější). Je velmi pravděpodobné, že Čína má k dispozici zdrojové kódy jak MS produktů, tak i MS Azure. Údajně je získala kvůli malware, který Rusko zaneslo do aktualizace produktu SolarWinds. Tuto aktualizaci si údajně stáhlo kolem 14 000 klientů a je velmi pravděpodobné, že infrastruktury těchto klientů (včetně MS) byly napadeny / vykradeny ještě před tím, než se na malware přišlo a byl odstraněn. Podrobnější informace v Microsoft Signing Key Stolen by Chinese.

7.8.2023 13:33 | Max | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

7.8.2023 15:21 Slavko
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Odpovědět | Sbalit | Link | Blokovat | Admin

No, zjavne sa ešte máme veľa čo učiť ohľadom počítačovej bezpečnosti od tohoto giganta ;-)

7.8.2023 16:32 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Pokud je to všechno pravda, tak je to hustý a jsou tam vidět ty následky. Pokud jsou odhady správné, tak v tom roce 2021, nebo kdy to bylo, infikovali SolarWinds, což jsou produkty na správu a patchování a další věci. Prostě security nástroj. Takže big fail pro SolarWinds. On totiž myslím také funguje na bázi agentů, prostě musí mít admin přístup na koncové stanice/servery atd. Stačí tedy infikovat jeden tento bod a je to celé v řiti. Nicméně i tak by měly zafungovat doprovodné nástroje (IDS, AV apod.)
Zdar Max

Měl jsem sen ... :(

7.8.2023 17:16 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Ids a AV nezafunguji protoze tyhle utorky prichazeji z duveryhodnych zdroju. Typicky si korporat whitelistuje cely azure protoze je to min srani se security, whitelistuje se cokoliv podepsane microsoftem (a typicky se nehledi na nejaky smysluplny certifikat ale treba na vydavatele do ktereho si muzu napsat co chci a nejaky trusted root toho certifikatu nikdo neoveruje), typicky ta security v korporatech je spatne i kdyz do toho lejou miliony $$$. Jedna z mych firem dela penetracni testovani a ziskat domain admina v korporatech jde docela snadno.

7.8.2023 18:32 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Tak upřímně, u nás se už také podařilo získat penetrační firmě domain admina, z toho jednou opravdu hustě. Každopádně pokaždé naše sondy něco v síti odhalí, takže i když se penetrátor snaží neinvazivně něco lusknout, tak o něm většinou víme třeba do 30 min, vždy se nějak prozradí. A jakmile zkusí být invazivnější, tak to víme hned. A nejsou to jen hlášky různých honeypotů, analyzátorů logů atd., ale zafunguje i ADS. Neříkám, že zabezpečení je dokonalé, ale také jsme do toho nenarvali žádné velké finance a naučili jsme se částečně z ADS, vlastního penetračního testování a z externího testování. Od firmy typu MS bych ale čekal něco víc. A také bych očekával, že něco jako whitelist v podobných firmách neexistuje. My také snad nic newhitelistujeme a jde to.
Zdar Max

Měl jsem sen ... :(

7.8.2023 17:17 _
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

https://unlimitedhangout.com/2021/01/investigative-reports/another-mega-group-spy-scandal-samanage-sabotage-and-the-solarwinds-hack/

7.8.2023 20:22 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Stačí tedy infikovat jeden tento bod a je to celé v řiti.

Což je ten problém – chybný návrh. Další problém je proprietární software.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

7.8.2023 20:44 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Ale prd. Takovych security expertu kteri navrhno totalne bezpecne ale nepouzitelne reseni jsem jiz videl. Typicky potrebujes zarizeni v siti nejak spravovat, coz znamena mit nejake certifikaty nebo ucty kterym ty zarizeni budou duverovat. Kdyz ti nekdo ukradne tvuj ssh klic i s heslem tak se dostane vsude kam mas pristup. To same solarwinds, sccm, intune a desitky dalsich podobnych reseni.

7.8.2023 22:15 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Správa systémů, úrovně oprávnění, bezpečnost

Např. zálohování lze řešit tak, že:

zálohovaný stroj může vytvářet nové zálohy na zálohovacím serveru, ale nemůže číst natož mazat ty staré (takže jeho kompromitace ty zálohy neohrozí)
zálohovací server nemá přístup na zálohované stroje (takže jeho kompromitace je neohrozí), maximálně kontroluje, zda záloha v definovaném intervalu proběhla a případně pošle upozornění správci
zálohy můžou být asymetricky šifrované, soukromý klíč je uložen offline a použije se jen v nutných případech (takže ani kompromitace zálohovacího serveru nezpůsobí únik dat)

Přesto se na to často kašle.

U té vzdálené správy jde ta práva omezit aspoň částečně - nemusí to být plný přístup, kdy je ten spravovaný server vydán zcela napospas – ty příkazy můžou procházet přes nějaký filtr/agenta, který propustí jen něco. Pravidelně prováděné akce se můžou vykonat plně automaticky, zatímco ty nestandardní budou vyžadovat další potvrzení. Příkazy můžou být podepsané klíčem správce na jeho počítači (třeba i kartou/tokenem s explicitním potvrzením). Tzn. rozlišit různé úrovně – např. na AbcLinuxu se taky přihlašuješ jednodušším způsobem, než když zadáváš platební příkaz v bance. Hlavně jde ale o minimalizaci množství kritického kódu, ve kterém může být chyba nebo zadní vrátka + samozřejmě otevřenost (svobodný software).

Systém složený z autonomních podsystémů, které mezi sebou spolupracují, je odolnější vůči útokům než nějaké SPoF řešení. Byť uznávám, že ta správa a návrh jsou náročnější. Celkově mi to ale vychází líp, než navrhnout z principu nebezpečný systém a následně se ho snažit zabezpečit. A nejsmutnější je, když si někdo koupí proprietární řešení, které má zvýšit bezpečnost, ale ve reálně ji naopak snižuje.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

8.8.2023 00:25 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Správa systémů, úrovně oprávnění, bezpečnost

Zalohovani se da udelat bezpecne ale tu spravu stroju neudelas bezpecne nijak. Vzdy to bude mit nejake omezeni co se tyce bezpecnosti. A ne, opravdu nechces aby v noci nekde sedelo par lidi kvuli patchovani treba 100tis desktopu.

7.8.2023 23:09 luky
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Kdyz ti nekdo ukradne tvuj ssh klic i s heslem tak se dostane vsude kam mas pristup. To same solarwinds, sccm, intune a desitky dalsich podobnych reseni.

Klic muze byt v HW, pak nejde ukrast aniz by se fyzicky ukradl ten HW, coz je mnohem tezsi udelat nepozorovane.

8.8.2023 00:26 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Samozrejme, ale pak jsou tady ruzne servisni ucty treba pro sccm nebo nejakou jinou picovinu a tomu klic v hw nebo hsm nepodstrcis.

7.8.2023 20:27 Hacker :-)
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

ne neni ale ty tomu veris a ani nevis kdo za tim tvym zdrojem stoji

8.8.2023 08:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Co není pravda? Resp. na co reaguješ? Je tam totiž spousta otazníků:
Je nebo není hacker z Ruska zodpovědný za infikování SolarWinds?
Ukradla Čína ty klíče, nebo někdo jiný?
Jak přesně je ukradli?
Skutečně vytěžili zdrojové kódy některých MS produktů?

Otázek je spousta, ale všichni tak nějak mlčí. To, zda je za to zodpovědný ruský, čínský, či jiný hacker je asi šumák. Spíše je důležité, zda to, o čem se mluví, nastalo, nebo ne. Tj. krádež klíčů, bezproblémové použití vypršených klíčů, zda byly některé zdrojové kódy vytěženy atd.
Zdar Max

Měl jsem sen ... :(

9.8.2023 16:52 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Microsoft podporuje open-source, tak postupně zveřejňují zdrojové kódy svých produktů. Akorát to nevzali postupně podle produktů, ale geograficky.

Quando omni flunkus moritati

7.8.2023 18:36 hm
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Odpovědět | Sbalit | Link | Blokovat | Admin

nemylte jse microsoft neni tak hloupy asi nejaka cinska propaganda....

8.8.2023 06:02 cbrpnk | skóre: 8 | blog: bl0gium
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

8.8.2023 06:00 cbrpnk | skóre: 8 | blog: bl0gium
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Odpovědět | Sbalit | Link | Blokovat | Admin

malo kto vie že Čína vďaka chýbajúcim reguláciám už dávno na útoky používa AI a kvantové počítače ... to len my sa hráme na korektných a chrumkavých...

8.8.2023 13:15 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Ja bych jenom doplnil, ze ty cinske kvantove pocitace jsou ukradeny dle navrhu kvantovych pocitacu ktere tajne vyrabi v Detve bacove z okoli. Maskuji to jako vyrobu zincice.

8.8.2023 09:56 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Odpovědět | Sbalit | Link | Blokovat | Admin

Rozhodli se mit data na cizich pocitacich (buzzword "v cloudu") tak co se divi, ze jsou na cizich pocitacich?

8.8.2023 10:35 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

By mě zajímalo, zda tím podvrženým auth tokenem šlo obejít i MFA.
Zdar Max

Měl jsem sen ... :(

8.8.2023 10:54 plostenka | blog: plstnk
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Jestli to byl token pro API, tak zadne MFA ani neni.

8.8.2023 15:00 ..... Izak ..... | skóre: 14
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Ma to i sve vyhody, pokud chcete obnovi svoje data, pozadejte Cinskou vladu nebo NSA/CIA ;-)

)

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje