Úvodní stránka » Týden v bezpečnosti » Týden v bezpečnosti - Nový TIME útok opět cílí na cookies

Týden v bezpečnosti - 12. týden

(18. 3. 2013) Vítejte v souhrnu událostí v internetové bezpečnosti za uplynulý týden.

Konference Black hat 

V Amsterdamu proběhla 12-15.3. konference Black Hat Europe 2013 zaměřená na bezpečnost. Výběr zajímavých prezentací z této konference přináší článek Black Hat Europe: 10 intriguing security briefings. Mezi nejzajímavější prezentace patří představení TIME útoku, který vychází z útoku CRIME na kompresi SSL. 

Nový útok TIME vychází ze známého CRIME

Šifrované cookies jsou velkým bezpečnostním problémem současného internetu a jsou často terčem útoků. V současnosti na ně cílí známé útoky BEAST, CRIME, a nejnovější Lucky 13.

Jak informuje článek Researchers resurrect and improve CRIME attack against SSL, nový útok vychází z útoku CRIME a dokonce ho zjednodušuje. Při tomto útoku nemusí útočník komunikaci odposlouchávat a být na stejné síti. Útočník však musí na server poslat více požadavků, jejichž odpověď vyhodnocuje. Podobně jako útok Lucky 13 vychází z rychlejší odpovědi serveru, pokud dojde ke komprimaci "správného" údaje. Při útoku CRIME útočník hádá správný údaj v šifrované informaci, a pokud ho uhádne, odpověď je menší (což způsobuje komprese).

Nově popsaným útokům se též věnuje článek Two new attacks on SSL decrypt authentication cookies.

Rusové odposlouchávají hovory přes Skype

Logo SkypeRuská ministerstva a FSB (Vnitřní bezpečnostní služba) údajně již několik let odposlouchávají hovory přes Skype. Tvrdí to článek Russische Behörden hören Skype-Gespräche ab. Podle uvedených zdrojů mělo být odposlouchávání umožněno po akvizici Skypu Microsoftem v roce 2011, který s tajnými službami spolupracuje.

Obavy ze spolupráce největším provozovatelů komunikačních programů s represivními orgány potvrzuje i článek Blue Coat, Skype and QQ named despots' best friends, který reprodukuje závěry Reportérů bez hranic. Podle něj jsou největším problémem pro uživatele Skype a čínský QQ, které špehují "nepřátelé internetu", mezi které se řadí Čína, Bahrain, Irán, Sýrie a Vietnam.

Google radí a pomáhá vlastníkům hacknutých webů

Možná se vám již stalo, že byl váš web hacknut a museli jste řešit tuto nepříjemnou situaci. Google nyní přichází se seznamem rad a doporučení, které je vhodné v takové situaci provést. Na stránce Help for hacked sites se dozvíte, jaké kroky po kompromitaci vašeho webu provést a jak situaci rychle vyřešit. Součástí textu jsou i praktické příklady, jak ověřit nejčastější kompromitace, jako SQL a code injection.

Přehled aktualizací Microsoftu a komentář

Logo MicrosoftMinulý týden vydal Microsoft celkem 20 aktualizací, které opravují i několik kritických chyb. Více o jejich obsahu a opravených chybách najdete v článku Black Tuesday patchfest: A lot of digits plug security dykes.

Grafický přehled včetně detailů jednotlivých aktualizací najdete v článku Microsoft March 2013 Black Tuesday Overview.

Přejeme vám krásný týden.

Další aktuality z oblasti bezpečnosti naleznete na našem blogu opět v pátek.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market