Mozilla řeší problémy IoT pomocí routeru Turris Omnia

IoT

Internet věcí nebo-li IoT je dnes hojně diskutované téma a nejen to, jako by se s těmito důmyslnými přístroji roztrhl pytel. Hlavně společnosti vyrábějící různá elektronická zařízení, jako jsou žárovky, elektrické vypínače, teploměry, váhy, kamerové systémy a tak podobně, se je snaží udělat chytřejší. Vždyť cokoli může být chytré – dokonce i záchod. Jediné, co je potřeba udělat, je něco změřit, nebo nahradit manuální vypínač za elektronický, a potom ho připojit k Bluetooth, ZigBee, ZWave nebo dokonce Wi-Fi a máte chytré zařízení, za které lidi zaplatí nemalý peníz. Má to ale pár háčků (kromě toho, že ne všechna tato zařízení dávají smysl).

Projekt STOPonline.cz: analýza druhého čtvrtletí 2019

Ve druhém čtvrtletí letošního roku jsme na lince STOPonline.cz přijali 874 hlášení nebo lépe řečeno incidentů. U každého incidentu nejprve posuzujeme jeho závažnost a podle toho s ním pak nadále pracujeme. Incidenty se dají rozdělit na několik různých typů.

Jak odolat internetovým výzvám?

Vylít na sebe kýbl ledové vody, sníst co nejvíce skořice, tančit v otevřených dveřích jedoucího auta nebo spolknout tabletu do myčky na nádobí. To jsou jen příklady některých výzev (tzv. challanges), které se pravidelně objevují na sociálních sítích. Některé z nich jsou pozitivní, jiné mohou být vtipné, mnoho z nich je však nebezpečných a to až smrtelně.

Chyba v implementaci DNSSEC v BIG-IP load-balancerech od F5

Při vývoji DNS resolveru Knot Resolver se Laboratořím CZ.NIC podařilo odhalit bezpečnostní chybu, která umožňuje obejít zabezpečení DNSSEC na load-balancerech výrobce F5 a způsobit tak nedostupnost služby. Tyto výrobky jsou nasazeny například na některých internetových bankovních aplikacích i českých bank a úřadů. Z pohledu uživatele se úspěšný útok pomocí této chyby projeví např. tak, že prohlížeč při práci s internetovým bankovnictvím náhle zahlásí chybu „adresu nelze nalézt“ a služba přestane být dostupná.

Na zlínském festivalu pro děti a mládež jsme představili Maturanta a náš projekt Bezpečně na netu

S projektem Bezpečně na netu, který si dává za cíl zlepšení internetového prostředí, jsme se představili v rámci doprovodného programu na 59. Mezinárodním festivalu filmů pro děti a mládež ve Zlíně.

Bezpečnostní školení, které dává smysl

Kyberbezpečnost, bezpečnost IoT a další bezpečnostní termíny jsou skloňované čím dál tím častěji. Souvisí s nimi také školení, která mají internetové profesionály na problémy a problematické situace s internetovou bezpečností připravit. Jedním takovým je školení od společnosti SANS, které patří celosvětově mezi nejprestižnější a nejvyhledávanější. Společnost SANS nabízí celou řadu těchto školení. Konkrétně jedno z nich nese název SEC542: Web App Penetration Testing and Ethical Hacking.

Nebojíme se být spolu offline

Sdružení CZ.NIC se zapojilo do kampaně – Týden rodiny offline s podtitulem „Nebojíme se být spolu offline“, která se letos koná v termínu od 11. do 19. května 2019. Účelem již 4. ročníku kampaně je nejen oslavit Mezinárodní den rodiny, který připadá na 15. května, ale především se zamyslet nad nadměrným užíváním digitálních technologií. Přílišné používání mobilních telefonů, tabletů a počítačů způsobuje nejen zdravotní problémy, ale bohužel zhoršuje i mezilidské vztahy. Děti si již od útlého věku hrají s tablety a mobily, čímž mnohdy ztrácí sociální kontakt se svými vrstevníky.

Češi jsou při povolování přístupu mobilních aplikací ke svým údajům nejnezodpovědnější v Evropě

Podle průzkumu Eurostatu více jak dvě třetiny Čechů nikdy neomezily mobilní aplikaci v tom, k jakým datům v telefonu může přistupovat. S 67 % nezodpovědných uživatelů tak České republice patří nelichotivé prvenství. S poměrně velkým odstupem skončilo na druhém místě Bulharsko. Naopak mezi nejzodpovědnější při instalaci aplikací a povolování přístupu patří Francouzi. Alarmující také je, že možnost zablokovat přístup aplikací k datům v telefonu nezná podle průzkumu jen 5 % Čechů, v tomto ohledu se v Evropě řadíme naopak mezi ty nejpoučenější.

Co nám ukázal sken 10 000 domén?

V rámci našeho působení provozujeme aplikaci Malicious Domain Manager. S její pomocí se snažíme informovat držitele domén v zóně .CZ o úspěšné kompromitaci jimi provozované webové prezentace. Nejčastějším scénářem, který se v rámci napadení webových aplikací pravidelně opakuje, je situace, kdy si útočníci pronajmou web či IP adresu a provozují na ní nějaký exploit kit, který útočí na známé zranitelnosti komponent, jež uživatelé obvykle využívají při procházení webových stránek (tedy prohlížečů, Javy, Flash playeru apod.). Tuto adresu, kde je exploit kit provozován, pak například pomocí tagu iframe vkládají do napadených webových stránek jako jejich součást. Již delší dobu si klademe otázku, zda nemůže ve skutečnosti v zóně .CZ být více napadených domén, než o kterých jsme schopni se dozvědět s pomocí naší aplikace. Zkusili jsme proto reverzní postup: Vzali jsme množinu náhodných domén a sledovali, z jakých dalších domén si tyto stránky stahují své komponenty. Potom jsme v kupce agregovaných výsledků pátrali po jehlách a červech… Co myslíte, povedlo se nám v malém českém rybníce identifikovat nakažené stránky, na které ještě nepřišel Google Safebrowsing? A případně kolik?