Stav SSL/TLS na českém Internetu u HTTPS

Rok 2014 příliš nepřeje SSL/TLS knihovnám, v nichž bylo objeveno několik závažných chyb. Nejznámější z nich jsou asi Heartbleed, goto fail a CCS útok. Zmíněné zranitelnosti byly objeveny manuálním auditem kódu nebo automatickým „dokazovačem“. Tyto chyby nejsou chybami SSL/TLS protokolu, nýbrž chybami implementací.

My jsme se již před časem zaměřili na scanování chyb konfigurací, které jsou lépe odhalitelné a odstranitelné.

Celý článek

Aplikace MDM oslavila třetí narozeniny sto tisíci „vyčištěnými“ URL

Když jsme v polovině roku 2011 uvedli do testovacího provozu naši aplikaci Malicious Domain Manager (MDM), nikoho z nás nejspíš nenapadlo, že o tři roky později bude mít tato aplikace podíl na nápravě více než 100 000 URL v doméně .CZ. Dovolte mi tedy u příležitosti „narozenin“ této aplikace ve zkratce přiblížit její úspěchy.

Celý článek

Čo prinieslo skenovanie Heartbleed bugu

Po vlne správ o Heartbleed bugu prinášame v tomto krátkom blogu čerešničku na torte v podobe výsledkov zo scanov CZ.NICu na túto zraniteľnosť, ktorá sa nachádzala v OpenSSL a po jej zverejnení 7. apríla nechala zraniteľnených tisíce webových serverov nielen v Českej republike.

Prvé scany sme uskutočnili približne desať dní po zverejnení a to prevažne 17. až 18. apríla, pričom sme sa zamerali na český IPv4 priestor. Za českú IP sme považovali adresu, ktorá sa nachádza na území Českej republiky a ako vodítko na geolokáciu sme použili databázu z maxmind.com.

Celý článek

Co je nového v Tablexii?

Je to už nějaký čas, co jsme Vás naposledy informovali o naší Tablexii. A protože se nám sešlo několik novinek najednou, rádi Vás s nimi seznámíme.

Tou největší je vydání aktualizované verze Tablexie. Kromě malých technických a grafických úprav přináší několik herních změn. Velkou proměnou prošla hra Bankovní loupež, které nezůstal ani její původní název. Hra – nyní pojmenovaná Lupiči – je mnohem náročnější, zábavnější a atraktivnější. Na první pohled si lze všimnout nové grafiky, která se nyní odehrává ve třech různých prostředích podle zvolené úrovně: v trafice, ve zlatnictví a v bance.

Tablexia_Lupici_menu

Celý článek

Pro Čechy nejsou nové domény příliš .sexy

Již více než čtvrt roku mají zájemci z České republiky možnost si registrovat nové generické domény (new gTLD). Celkově je možné vybírat z nabídky již téměř 300 domén – od poměrně zajímavé .club či .guru, přes .kiwi a .sexy až po .shiksha či .voting. Na celém světě zatím bylo zaregistrováno celkem 839 980 domén což je stále méně, než má např. naše česká národní doména. Zatím tak počty nové gTLD nahrávají spíše těm, kteří k celému procesu byli spíše skeptičtí.

Celý článek

Kritická zranitelnost mnoha domácích routerů

V poslední době se objevily zprávy o útocích na malé domácí routery. Jedním z rozebíraných útoků bylo napadení routeru TP-LINK TD-W8901GB, které objevil pan Jakub Bouček. Tento napadený router byl poskytnut k analýze týmu CSIRT.CZ. Router měl několik známých bezpečnostních chyb a zjistili jsme, že jejich zneužití je poměrně jednoduché a umožňuje kompletní ovládnutí routeru a následné ovlivňování provozu, který přes něj prochází. Alarmující je především fakt, že podle našich předběžných měření je jen v českém internetu na 5000 podobných routerů s identickou chybou. CSIRT.CZ se proto rozhodl vydat následující návod na zabezpečení routeru.

router

Router TP-LINK TD-W8901GB

 

Celý článek

Tak teď už jen Afrika

Dnešním dnem se i region Latinské Ameriky připojí ke trojici Regionálních internetových registrů (RIR), které deklarovaly fázi vyčerpání IPv4 adres. Jen pro připomenutí, silné regiony Asie-Pacifik, Evropa a Severní Amerika, vyhlásily tento stav ve chvíli, kdy jejich zásoba adres poklesla pod /8, tedy 16 miliónů adres. Latinská Amerika si stanovila tuto hranici na /9, tedy polovinu tohoto množství. I kvůli tomu má tento tento slabší region nejméně adres ze všech. Opět platí, že téměř každý region přistoupil k tomuto stavu různě. LACNIC bude přidělovat i větší porce dat, pouze zpřísní kontrolu nad jednotlivými žádostmi, takže lze očekávat i mírné zpomalení čerpání. K další změně v alokační politice dojde v případě, až zůstane pouze /10, tedy polovina současného množství. Pak již bude možné provádět pouze alokace velikosti /24 až /22, tedy obdobně jako u nás v Evropě. A poslední rezerva /11 zůstane vyhrazena pouze novým členům.

Celý článek

Validace DNSSEC pomocí Dnsmasq

Dnsmasq je jednoduchá implementace základních síťových služeb — vše v jednom: DNS, DHCP, router advertisement a bootování ze sítě. Pro svou velikost (maličkost) a nenáročnost na systémové prostředky si našel místo na mnoha domácích routerech. Dnsmasq také spravuje virtuální sítě v sadě nástrojů libvirtd. A v neposlední řadě je k nalezení i na některých smartphonech (včetně Androidu), kde se používá pro tethering.

9. dubna 2014 vyšel Dnsmasq verze 2.69, který do vínku dostal podporu validace DNSSEC. To určitě stojí za vyzkoušení.

Celý článek

Chyba v OAuth a OpenID? Ale kdepak…

O víkendu rozvlnila mediální rybník zpráva o zranitelnosti protokolů OAuth 2.0 a OpenID. Alespoň takto většina médií interpretovala nález studenta Singapurské univerzity Wang Jinga. Bohužel se tato interpretace objevila i v  článku na domácím serveru Lupa.cz a tak by stálo za to uvést ji na pravou míru. Faktu, že v protokolech samotných problém není, se obšírněji věnuje například John Bradley, jeden z architektů těchto protokolů. Ve svém blogu Bradley trochu ironicky komentuje touhu médií získat stejnou pozornost, jako v případě nedávno objevené skutečné bezpečnostní hrozby Heartbleed, o které jsme psali i na našem blogu.

Celý článek

Bezpečnostné týmy testovali svoje schopnosti

Podobne ako vojaci, ktorí v čase mieru cvičia a pripravujú sa na možné reálne situácie, cvičili aj bezpečnostné týmy po celej Európe. Viac ako 200 týmov sa zapojilo do prvej, technickej fázy cvičenia Cyber Europe 2014, ktoré pripravila Európska agentúra pre sieťovú a informačnú bezpečnosť (ENISA). Príprava na cvičení trvala viac ako rok, čo odpovedá aj jeho komplexnosti. Práve prvá, technická fáza cvičenia odštartovala celé trojfázové cvičenie Cyber Europe 2014. V druhej polovici roka na vyriešené úlohy z týchto dvoch dní nadviaže operačná a strategická fáza, ktorá už bude vyžadovať aj priame angažovanie nielen technikov, ale aj bezpečnostných manažérov.

Celý článek