Pravidelný občasník originálního humoru

Tag: Bezpečnost RSS

Z důvodu bezpečnosti jsme všechny naše karty zaheslovali heslem 123! To nevymyslíš

A kdybyste snad pochybovali, tak tohle visí přímo na webu www.ticketstream.cz. A rovnou to můžete brát jako skvělý návod, jak se přihlásit na něčí kartu a pattičně toho využít.

U Ticketstreamu vaše hesla rozhodně nejsou v bezpečí. Pozor!

Je to tak, dřív se to takhle běžně dělalo. Když jste zapomněli heslo, systém vám ho poslal. Pozůstatky minulosti ale dodnes někde zůstávají. A jak @365tipu vysvětluje v Jak je to s hesly na Internetu? Je možné aby mi někdo poslal zapomenuté heslo?, je to hodně nebezpečné. Ne proto, že by si snad někdo mohl "nechat poslat heslo", ale proto, že někdo cizí ví vaše heslo. A kdokoliv se k němu může dostat. To kdokoliv zahrnuje nejenom lidi z firmy provozující daný web,  ale také hackery. Pro které je něco takového skvělý zdroj informací. Získají klidně i miliony použitelných přihlašovacích údajů.

Ticketstream na nějakou tu aféru s masivním únikem přihlašovacích údajů zjevně čeká. Jarda Ráb se jich na Facebooku ptá, jestli to opravdu s tím ukládáním hesel v původní podobě myslí vážně. Jsem docela zvědavý, co mu tam odpoví. Tedy pokud vůbec odpoví.

Vy si pamatujte, že v Ticketstreamu zodpovědní rozhodně nejsou a pokud tam máte stejné heslo jako někde jinde, takž už ho rovnou považujte za prozrazené a zneužitelné. Poradím, že Správce hesel vám pomůže si hesla pamatovat a také vytvářet, takže bude snadné mít pro každý web jiné heslo. A také je dobré vědět, že tam kde o něco pravdu jde, byste měli používat dvoufaktorové ověření.

Proč mít odhadnutelná hesla je cesta do pekel aneb jedno heslo a k tomu první písmeno z názvu stránky rozhodně NE!

Dnes jsem na @365tipů sdílel dřívější tip o správcích hesel (TIP #033: Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí) a na Twitteru se objevila reakce, že jsou vlastně zbytečné. Konkrétně: "není těžké si zapamatovat různá hesla pro různé služby;-) stačí mít jedno heslo a k tomu přidat třeba první písmeno z názvu stránky". Pokoušel jsem se na Twitteru oponovat, ale dotyčný vůbec netušil a argumentoval, že přece weby nedovolí "brute-force" a pro případ hacknutí databází jsou tam přece hesla hashované (k tomu patří mimochodem TIP#076).

Použít metodu "mám jedno univerzální heslo a k němu přidám něco z názvu služby" je samozřejmě (zdánlivě) fajn. Ale můžete to  udělat jenom tam, kde nejde o žádnou podstatnou službu. Je to skoro totéž, jako když prostě použijete to jedno univerzální heslo všude.

Proč? Je to jednoduché, pokud totiž to jedno vaše použité kombinované heslo (třeba "sez12345" byste použili pro Seznam) někdo získá, tak mu dost rychle dojde, že jste prostě použili první tři písmena a připojili univerzální heslo. Jediné kdy by tohle nezabralo by vyžadovalo to "sez" použít jinak, tak aby to nebylo vidět na první pohled.

Můžete tomu zkusit pomoci mnoha různými způsoby - jednou to dát na začátek, podruhé nakonec, použít různé velikosti písmen, přidávat podtržítka, pro půlku abecedy to psát normálně, pro druhou pozpátku. Jasně. Tohle všechno je možné. ale pak je pořád jednodušší používat správce hesel a mít hesla skutečně zcela unikátní a zcela nesmyslná.

Cesta k tomu jak získat onu "univerzální část" vašeho hesla je přitom tak snadná. Lidé jsou tak nepozorní, že heslo k Facebooku, Twitteru či čemukoliv dalšímu ochotně zadají tam kam nemají. Útočníci s výhodou mohou použít MITM, můžete si pořídit notebook kde je nainstalované cosi co zrušilo i větší bezpečí https komunikace (viz kauza Lenovo). Přidejte keylogger. Nebo nezodpovědné tvůrce webů, kteří hesla nejenom nehashují, ale také mají děravé systémy. Nemluvě o tom,  že se můžete stát terčem cíleného útoku - tam už přestává veškerá legrace.

Pro tohle všechno je velmi nebezpečné radit lidem, že "stačí mít jedno heslo a k tomu přidat třeba první písmeno z názvu stránky". Jasně, správci hesel jsou potenciální riziko - pokud se kdokoliv dokáže dostat k obsahu vaší databáze hesel, je to hodně zlé. Ale i tady platí, že musíte umět rozlišovat. Správce hesel nemůžete použít pro kritická hesla, ty nepatří nikam jinam, než do vaší hlavy. Včetně toho, že u kritických zásadních aplikací prostě musíte používat něco bezpečnějšího, než prostě login+heslo - tj. minimálně zejména dvoufaktorové ověření.

Problém řady "bezpečných řešení" prostě je, že nabízejí falešný pocit bezpečí. A jak ukazují masivní úniky hesel z minulosti, je příliš snadné se k oněm univerzálním heslům dostat.

Heslo pro komunikaci mailem? A zákaznická podpora ještě nechápe jak nebezpečné to je?

Ach ach. Pavel Moravec na Twitteru upozornil na "virtuála" Bonerix,co patří pod O2, který v e-mailu píšem zákazníkům, že pro zrušení zasílání obchodních sdělení mají poslat nejenom jejich telefonní číslo, ale také heslo pro komunikaci. A protože jsme jeho tweet  retweetnul, tak se ozval @O2GuruCZ.

Co na tohle vlastně říci? Že zákaznické podpoře nedochází, že právě to heslo pro komukaci prostě do e-mailu nepatří? Protože je prostě snadno zneužitelné? A kam se asi tohle vlákno bude dál vyvíjet?

Lenovo lituje a říká, že to podělali. Otázka je, jak vážně to myslí. Já bych řekl, že moc ne

"We're sorry. We messed up. We're owning it. And we're making sure it never happens again. Fully uninstall Superfish" a odkaz na SUPERFISH UNINSTALL INSTRUCTIONS. Tohle přesně můžete najít na americkém účtu Lenova na Twitteru. To české Lenovo ještě včera vypouštělo kouřové clony v podobě nesmyslných tiskových zpráv: Vyjádření společnosti Lenovo k technologii Superfish. Po přečtení které prostě tak dost mrazí, protože PR mašinerie vůbec nepochopila jak závažný problém v Lenovo vyrobili.

Ten problém je přitom prostý. Lenovo instalovalo na nové počítače nebezpečný adware a MITM nástroj, který šel tak daleko, že do počítače vložil falešné certifikační autority a nabourával se do šifrovaného spojení. Samozřejmě byl děravý a zneužitelný útočníky. A pro PR od Lenova to bylo důvodem k nesmyslům o tom, jak to Lenovo dělalo pro dobro zákazníků. A jak jsou vlastně všichni blázni a vůbec Lenovo nepochopili.

Obrovská "omlouva" na Twitteru je samozřejmě hezká, ale zákazníky neuspokojí. Je to pod ní ostatně vidět - "zapomněli jste na Firefox a Thunderbird," upozorňuje jedna reakce. "Zákazníci se postarají, abyste se to již nikdy nestalo," říká další. "Žádná zodpovědnost, KDO to podepsal, kdo z šéfů je zodpovědný?" ptá se jiný. "Že jste to podělali? Tím to nezakryjete, chceme vědět jaká data jste získali a kam šla," ptá se velmi správně další člověk ("experiment" Lenova běžel dlouhé měsíce). A nechybí ani oprávněné "fuck off".

Máte notebook od Lenovo? Tak si třeba zde otestujte, jestli v něm nemáte přibalenou superfish. A pokud zjistíte že ano? Instrukce na odstranění od Lenovo jsou linknutéí nahoře, ale možná spíš zkuste tyto instrukce. V těch například nechybí odstranění z Firefoxu.

Čas to znovu připomenout: Nikdy nedávejte Linkedin heslo (ani přístup) k vašemu mailu

Čas znovu připomenout jedno z nejzásadnějších bezpečnostních pravidel. Nikdy nedávajte Linkedin (Facebooku, Twitter, čemukoliv dalšímu) heslo (ani přístup) k vaší poštovní schránce. Právě Linkedin se o to  bude usilovně v desítkách masivních kampaní snažit rok co rok. A měli byste vědět, že pokud to uděláte, tak zcela bez jakýchkoliv zábran stáhne z vašeho e-mailového účtu všechno co stáhnout může. A ještě několik let poté se budete divit, že za vás oslovuje lidi, o kterých už ani nevíte, že jste s nimi kdy byli v kontaktu.

DODATEK: Ráno v rychlosti jsem vynechatl podstatné, tedy nedávat PŘÍSTUP - ono to totiž dnes nemusí znamenat už jenom nutnost dát hesla, ale práva k účtu. Ve výsledku je to "skoro" stejný malér, byť dát přímo heslo k účtu je ještě horší nápad. Takže má omluva, aktualizováno

Ne, Facebook neumožní bez boje pozůstalým zrušit účty zemřelého. Virtuální pomníčky Zuckerberga se neruší

V US médiích (třeba New Facebook policy allows social media immortality) se objevily informace, že Facebook vám nově umožní nastavit určenou osobu, která se postará o účet po vašem úmrtí. Ale pozor, vypadá to, že pouze tak, že bude moci na účet dát zprávu o vašem skonu. Plus se to samozřejmě týká pouze USA.

Z "Starting today, Facebook users in the United States can choose a "legacy contact" to make one last post on your behalf when you die. That contact can respond to new friend requests, update the cover photo and profile, and archive your Facebook posts and photos." dost jasně plyne, že tato osoba nebude moci váš účet smazat a ulevit tak pozůstalým - Facebook tedy nejspíš, bohužel, stále trvá na absurdnosti vytvářet virtuální pomníčky.

Nezapomeňte tedy, že TIP #040: Do poslední vůle přidejte přístupy k účtům na Internetu stále platí. Jedině tak bude možné zajistit, aby se někdo vámi určený dostal k vašemu účtu na Facebooku (a dalších sociálních sítích a internetových službách) a mohl účet případně smazat, zachránit obsah, odhlásit ze záplavy služeb,atd.

Čerstvý phishing na Servis24 s kopií webu Spořitelny na brazilské doméně

Vynalézavost žádná, e-mail poslaný z hostingové brazislké služby, odkaz nejprve na peterle-fundacija.eu, zjevně využívající buď hacku nebo možnosti dostat tam vlastní obsah, následuje redirekt na brazilskou doménu a tam, klasicky, kopie webu České spořitelny s formuláři, které nachytavší se mají vyplnit a předat tak přihlašovací údaje. Kaspersky Internet Security to rovnou blokuje, záslužná to činnost.

Skutečně Google uvolnil požadavky a nevyžaduje skutečná jména?

 Je to s těmi reálnými jmény na Facebooku i jinde takové zábavné.  Facebook je dříve vyžadoval, pak po několik letech kritiky svolil že tedy jako ne, aby čerstvě ještě více utáhl kohoutky a začal masově čistit falešná jména. Viz ostatně Facebooku je jedno, proč nepoužíváte skutečné jméno. Musíte se přizpůsobit.

Google+ na tom byl podobně, na samém počátku striktně žádali skutečné jméno, pak prý zmoudřeli a nyní by mělo být možné na Google používat cokoliv se vám zlíbí. Tedy, ne uplně cokoliv, ale nemělo by být v požadavcích, že použijete své skutečné jméno.

Problém je, že málokdo čte ty desítky dokumentů, které u Google tvoří podmínky užívání. A tak například nedorazí na Create or change your Google+ profile name a nepřečte si tu zábavnou část, kde je napsáno:

First and last name recommended: You need to add both a first and last name to your Google+ profile. Tip: You can use an initial for one of the names on your profile, but not both. For example, “Larry P.” but not “L.P.”

To vypadá jako taková ta klasická Chytrá horákyně. Co? Prostě jen tak napůl. Podle tohodle bych totiž musel v Google+ profilu být buď "Daniel D." nebo "D. Dočekal". Tedy kdybych nechtěl použít celé (skutčné) jméno (což já používám, Daniel "Bradbury" Dočekal, kde to prostřední aspoň Google povoluje mít jako přezdívku).

A samozřejmě, těch háčků je tam ještě pár. Třeba v Google+ options for your channel se dočtete, že na YouTube můžete použít pouze vaše jméno z Google (Gmailu). Nebo, pokud chcete použít nějaký "nick", tak prozměnu zase nesmíte mít profil v Google+. Anebo, pokud chcete používat oboje, tak nemůžete propojit účet v Google(+) a YouTube kanál, musíte YouTube napojit na Stránku v Google+. Dost neuvěřitelný zmatek, co říkáte?

Jedno je ale na Google+ dobré. V nahlašovacím meníčku nemá možnost nahlásit, že někdo má falešné jméno. Takže aspoň něco. Jinak samozřejmě můžeme doufat, že v tom výše uvedeném dokumentu to pouze Google "zapomněl". Byť tedy ono je to už víc jak půl roku, co měl teoreticky zrušit požadavek na skutečná jména. 

V Kasa.cz na bezpečnost zákazníků zvysoka .... kašlou

Výborný kousek, opravdu zcela výborný kousek. Na začátku je tweet Michala Špačka, ve kterém se ptá Kasa.cz, jak to myslí s přihlašovacím formulářem, který není zabezpečený. Dost hodně let už víme, že zrovna takovéhle kousky by rozhodně měly probíhat přes https. Samozřejmě by bylo vhodnější aby i více věcí na internetovém obchodu probíhalo přes https, ale tohle může být zrovna jeden dost vhodný kousek. Přeci jenom získání přístupu k účtu na e-shopu může znamenat přístup k řadě informací.

Nejlepší na tom všem ale je odpověď Kasa.cz. Z té je dost jasné, že na bezpečnost zákazníků zvysoka kašlou. Je ale samozřejmě možné, že správce jejich účtu na Twitteru prostě neví která bije a Michala Špačka se prostě rozhodl zbavit. Nekompromisně.

Nový phishing se vydává za zprávu z Volksbank

 Klasické schéma - zpráva z banky, stažení archivu, ve kterém najdete EXE tvářící se jako PDF. Samozřejmě jde o virus. Málokdo si všimne adresy kam vlastně vede odkaz, stejně jako nebude řešit podivnou adresu odesílatele.

Nový phishing se vydává za zprávu z Volksbank

VirusTotal už tento vzorek zná

Online obchod Sony PlayStation sestřelen hackery

Jo, nemá to to Sony vůbec jednoduché. Hackeři se podívali na online obchod pro Sony PlayStation a ještě se k tomu přiznávají na Twitteru. A nedá se říci, že by za to získali nějak velký obdiv.  Hack by navíc měl mít i vliv na funkčnost PlayStation Network. Stejní útočníci  podle BBC jsou i za nedávným DDoS na Microsoft Xbox a řadou útoku v minulosti. Lizard Squad je na Twitteru jako @LizardPatrol.

Prezentace na téma Nebojte se sociálních sítí z KyberPSYCHO 2014

Vystoupení na konferenci "KYBERPSYCHO V HLEDÁČKU POLICIE" - konference.ncbi.cz - na téma děti, mládež, sociální sítě, bezpečnost, soukromí. A jako bonus, tipy na užitečné a zajímavé mobilní aplikace a aktivity, které jste možná ani netušili, že je dětem můžete doporučit. Samozřejmě klasicky spousta čísel,  hodně nových snímků ukazujících jak hodně mobily a tablety ovlivňují děti a co na nich dělají.

Městská Policie Brno má nejspíš hacknutý web, ale v prohlížeči to asi neuvidíte

Karel Figlar na Facebooku POOH.CZ upozornil na velmi zvláštní chování sdílení z webu www.mpb.cz , tedy webu Městské Policie Brno. Když budete chtít sdílet, tak se v popisku objeví dost podivná věc (viz obrázek).

Zajímavé na tom všem je, že když si onu adresu otevřete v prohlížeči, tak tam ten text není. Ale když si to otevřete třeba v Debuggeru Facebooku tak ho tam najdete. Takže buď se někdo rafinovaně pomstil Městské Policii Brno, nebo je ten web hacknutý.

Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

"Hesla jsou v databází uložena šifrovaně. Šifrujeme je vlastním algoritmem a tudíž je dokážeme i dešifrovat. Heslo si můžete kdykoli změnit přes zákaznickou administraci, která běží na httsp". Tohle dostal Tomáš Dvořák od zákaznické podpory u FORPSI jako odpověď na dotaz, týkající se ukládání hesel v plaintextu.

Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

Neexistuje žádná lepší ukázka do učebnice, než je tato. Technická podpora informuje zákazníka, že jeho heslo mohou kdykoliv přečíst nejenom oni, ale také kdokoliv jiný, kdo FORPSI hackne systémy. A aby se cítil bezpečně, přidají uklidňující větu o "vlastním algoritmu".

Prosím pěkně, hesla zákazníků, uživatelů, se nikdy neukládají v čitelné podobě ani dekodovatelné/dešifrovatelné podobě. Hesla uživatelů se musí zašifrovat odpovídajícím způsobem tak, aby to bylo jednosměrné. Tak aby nikdo nemohl heslo získat. A už vůbec ne kdokoliv ze zaměstnanců společnosti.  

Na Facebooku jedou nová podvodná videa. A hezky masově spamují a zavirují počítač

Bohužel lidská hloupost je nesmírná, protože tady klasicky naletí na výzvu ke stažení ovladače pro Flash. A pak už si dobrovolně zavirují počítač.

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Těžko říct, co si myslet o někom, kdo naletí na phishing (rhybaření) ukázané na následujícím obrázku. Něco takového samozřejmě už roky chodí v angličtině, tohle je jeden z mnoha pokusů, kdy útočníci prostě vzali anglický text a prohnali skrz Google Translate (něbo nějakou jinou službu co rozhodně nedokáže přeložit nic do srozumitelné podoby).  

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Všimněte si, že zde ani není žádný odkaz a útočníci nejspíš předpokládají, že jim obět prostě odpoví mailem (samozřejmě je možné, že prostě soudruzi z NDR udělali chybu a na odkaz zapomněli).

Čas to opět připomenout: Na Facebooku neexistuje soukromí

Zní to pro některé jako jasná a zřejmá věc. Na Facebooku neexistuje soukromí. Bohužel se stále setkávám s dětmi, mládeží (a kupodivu) i dospělými lidmi, kteří si myslí, že nálepkou "pouze pro přátele" zajistí svým příspěvkům a fotografiím soukromí. Nezajistí. Internet je veřejný prostor. A Facebook žádné soukromí neumožňuje.

Čas to opět připomenout: Na Facebooku neexistuje soukromí

Je libo se podívat do útrob Mediatel.cz? Není to tak těžké, nechali to trochu otevřené

Kdo by to byl řekl, že www.mediatel.cz jede na Wordpressu. Tedy samozřejmě, asi se to dá zjistit snadno, když člověk napíše třeba www.mediatel.cz/wp-admin nebo se podívá do zdrojáků, nebo mu to dojde z použivaných stylů adres. Kupodivu daleko nejjednoduší je (teď už doufejme že bylo) podívat se prostě na www.mediatel.cz. A místo obsahu webu se objevil výpis souborů a složek. Pokud to už nefunguje, tak to snad konečně napravili. A díky za upozornění patří @martinurx 

DODATEK 9:00 den příští  --- Web už neukazuje root, ale podsložky ještě ano. Na mail odpověď nemám, takže jsem dal poznámku na stránku na Facebooku. A musím dát palec nahoru za milou a vtipnou reakci. Díky!

DODATEK 9:10 den příští --- Takže i to dlouho přístupné /wp-includes už není přístupné. Vypadá to, že na tom začali makat :)

   

Kampak asi Šlouf přesměruje SPOZ.CZ jen co se projeví změna u domény?

Včerejší náhle přestěhování SPOZu na Spoz2013.cz sice strana zdůvodňuje napadením hackery a kompromitací webu i e-mailů, ale důvod bude daleko jednodušší. Už když jsem psal o tom, že doménu spoz.cz vlastní Šlouf, bylo jasné na jak velký problém mají ve SPOZu zaděláno. A potvrzuje to včerejšek - včera večer totiž došlo ke změně registrátora u domény SPOZ.CZ - ta byla od roku 2009 vedená u IGNUM, nově se ocitla u Zonerů. Není divu, že SPOZ musel rychle použít novou doménu. A není vlastně ani divu, že tak pěkně mlží a lžou. (Jinak samozřejmě to že VLASTNÍK domény jim tímto skvěle kompromituje všechny maily, o tom samozřejmě žádná)

Otázka je, co bude, až se doména spoz.cz skutečně ve jmenných serverech u Zoneru objeví - ty ji totiž (taky tak trochu zábavné) dnes ráno ještě vůbec neznají. Kampak asi  Šlouf doménu namíří až zmizí poslední zbytky informací o spoz.cz z cache jmenných serverů?

SPOZ se stěhuje ze SPOZ.cz na SPOZ2013.cz jako následek hacku. Možná, jeden nikdy neví

Už jenom když se podíváte na adresu http://www.spoz2013.cz/news/-------------pozor-dulezite-upozorneni.htm tak musíte mít pochyby o tom, jestli tohle není náhodou další hack. A oznámení o stěhování z SPOZ.CZ na SPOZ2013.CZ vlastně není jenom další vtip hackerů. Jedno je na doméně SPOZ2013.cz dobré, narozdíl od té předchozí je konečně vlastníkem strana, tedy přesněji něco co se zove "Strana Prav Obcanu ZEMANOVCI" a jméno "Vladimir Krulis", adresou vlada@krulis.eu a adresou Loretanska 179/13, 11800, Praha, CZ (ano, žádné háčky a čárky).

Pochybnosti samozřejmě trvají, protože pokud přejdete na www.krulis.eu, tak tam moc dlouho nezůstanete, tahle stránka se během pár sekund přesměruje na www.zachrankazlin.cz (může za to <meta HTTP-EQUIV="REFRESH" content="3; url=http://www.zachrankazlin.cz"> v hlavičce).

Připomenu, že zábava kolo SPOZ.cz začala zpřístupněním složky se spoustou souborů. Samotnou doménu spoz.cz přitom vlastní Miroslav Šlouf, což jistě není uplně nejlepší stav vzhledem k poněkud nepříznívému vývoji vztahu Šloufa právě se SPOZ. O chvíli později se většina obsahu serveru kde hostuje Spoz.cz objevila veřejně přístupná, včetně /etc/, SQL záloh a řady dalších věcí. A jako zlatý hřeb se na Spoz.cz objevilo tvrdé porno

A teď babo raď.

PS: Všimněte si toho, že píší i o "hrubém narušení e-mailového serveru".

PPS: www.spoz.cz = shs.web4ce.cz, 93.180.48.205. A www.spoz2013.cz = shs.web4ce.cz, 93.180.48.205

A aby toho nebylo málo, na SPOZ.cz už objevuje porno a jiné radosti

No, řekněme že to volně dostupné /etc/ asi nebyl nejlepší nápad (viz SPOZ opět nabízí na webu věci co by nabízet neměl) a asi tam přeci jenom bylo něco zneu(pou)žitelného. A nejspíš to SPOZ moc zabezpečené nemá, protože nejdřív se objevila verze s vyměněnými obrázky (NSFW). O chvíli později se na hlavní stránce objevilo vložené video, samozřejmě také NSFW. Omlouvám se předem, ale velký a čitelný screenshot nehodlám zveřejňovat.

DODATEK 15:28 (aneb asi tak 3 minuty po dopsání) - Tak už jenom 403 Forbidden. A o minutu později prozměnu 404 Not Found.

DODATEK 15:57 - Další vývoj? Shrnutelný do hlášky co na webu dostanete: "DB CONNECT: Access denied for user 'u12016'@'shs.web4ce.cz' (using password: YES)"

SPOZ opět nabízí na webu věci co by nabízet neměl, včetně třeba /etc/passwd

Je to tu opět, SPOZ opět na SPOZ.cz nabízí leccos, co by nabízet neměl. Podívat se můžete na http://www.home.spoz.cz kde při minimálním snažení nakonec narazíte třeba i na zálohy SQL serveru, logovací soubory. Obsah http://www.etc.spoz.cz  se vám jistě také bude líbit (ano, jak etc napovídá, je to etc složka Linuxového stroje). Můžete si příjit třeba k typickém /etc/passwd (shadow je nedostupné) a řadě dalších zajímavostí. A do třetice ještě třeba http://www.tmp.spoz.cz. Za upozrnění díky @davidkarban

DODATEK: Už tam najdete jenom 404, ale má to ještě mezihru - viz A aby toho nebylo málo, na SPOZ.cz už objevuje porno a jiné radosti

DODATEK: Vhodné připomenout, že takhle už řešili minulý bezpečnostní problém - zakázali výpis složky/adresáře, ale pokud jste věděli, tak soubory zůstaly dostupné. Což zůstává třeba právě to http://etc.spoz.cz/passwd

 

 

SPOZ toho na serveru nabízí trochu víc, ale třeba to je ukázka budoucí otevřenosti [DOPLNĚNO]

Inu, těžko říci, jestli http://files.spoz.cz/upload/ je veřejně přístupné záměrně. Dotaz poslaný na tiskový kontakt SPOZ prozatím bez odezvy, takže můžeme pouze hádat. Každopádně tam najdete zhruba 360 MB souborů. Nějaké MP3, záplava fotografií, různé kandidátní listiny (včetně rodného čísla i bydliště kandidátů), nějaké k uzoufání nevkusné plakáty s Milošem. A také nějaké e-maily, paradoxně uložené jako PDF, ve kterých se řeší stranická krize.

DODATEK 8. října 2013 8:30 - Pozdě v noci dorazila odpověď ze SPOZ:

Dobrý den,
záměr to není, ale jedná se o úložiště fotografií a PDF krajů, tyto soubory jsou linkované ze stránek, tedy nic tajného.
Děkuji za upozornění.

Pěkný den,
Vladimír Kruliš

Mgr. Vladimír Kruliš
místopředseda strany

 

Hodně zvláštní příklad phishingu. Kolik hloupých na tohle může naletět?

Dorazil spam, celý ho můžete vidět v screenshotu. Na první pohled vypadá jako obchodní e-mail a nějaká ta poptávka. Samozřejme to smysl nedává, protože já nic takové co poptávají nemám, nemám ani žádný web, který by s tím měl něco společného. Ve skutečnosti je to povedený phishing:  

"To view the samples kindly login with your email and password because our company has added your email address to our own company email data base for security reasons."

Hodně zvláštní příklad phishingu. Kolik hloupých na tohle může naletět?

Přemýšlím nad tím, kolik lidí na něco takového naletí a na uvedené adrese skutečně zadá svůj e-mail a k němu platné heslo. Po zadání se mimochodem dostane na www.aliexpress.com/activities/promotional-products/index.html a mezitím samozřejmě došlo k uložení zadaných informací (zajímavé je, že to dělají pomocí www.formbuddy.com).

Milenka premiéra nasadila na manželku premiéra zpravodajce? Lepší důvod proč se bát o soukromí neexistuje

Když už se tak už zhruba týden bavíme o tom, že americká vláda v rámci PRISMu šmíruje všechno možné i nemožné, tak se nemohlo stát nic lepšího, než vývoj vládní krize. Odhlédňeme od faktu, že je prakticky nepochopitelné, jak může premiér země připustit, aby jeho milenka využila zpravodajské služby k sledování manželky. Nechme to být, protože to svědčí o tom, o jak hloupé lidi jde. Sice je nutné přemýšlet nad tím, jak je možné, že zemi může někdo takový vládnout, ale to tak nějak patří k české politice.

Rozumějte tomu správně. V téhle (a jakékoliv jiné zemi) zemi je nejspíš možné, aby se šéfka kabinetu premiéra rozhodla nechat šmírovat jednoho konkrétního člověka. Navíc ta šéfka kabinetu má poněkud bližší stav ke svému šéfovi a tím sledovaným člověkem je žena šéfa. Samozřejmě nepodstatný detaily, ale svědčící o tom, že vládne absurdní nedostatek kontroly toho, co lidé na nejvyšších místech dělají.

Z dění okolo PRISMu a posledního vývoje okolo vládní krize velmi jasně plyne to, že máme jasný důvod bát se o soukromí. Ne, vůbec tady neplatí to, že nic špatného neděláme (a tím pádem se nemáme čeho bát). Platí tady to, že kdykoliv je možné, že se někdo bude prohrabávat tím kam chodíme, s kým mluvíme, co kupujeme, kam chodíme na internetu, s kým si píšeme. A pokud si Policie nevymýšlí, tak toto bezprecedentní šmírování (pro zcela soukromé účely) si může objednat kdokoliv přímo od státu.

Nepochopitelné.

Pozvánka: V pátek na viděnou na Světě knihy na téma bezpečnost dětí na Internetu a blogy

Pokud máte zájem, tak v pátek 17. května můžete navštívit Svět Knihy a tam besedu Bezpečnost děti na Internetu (14:30 - 15:30, stánek P 208, pravé křídlo Průmyslového paláce). Jak obrázek napovídá, jde o besedu o bezpečnosti dětí na Internetu a týká se knížky, kterou jsem spáchal společně s Lenkou Eckertovou před pár měsíci. Odkaz vede případně na Událost na Facebooku, pokud je používáte.

Od 16:00 do 16:50 můžete pr ozměnu navštívit Literární sál (také pravé křídlo), kde se bude řešit téma Bloggeři spisovateli, spisovatelé bloggery. Budu tam coby kmet blogger protiváhou několika mladým literárním bloggerkám. Po akci se podělím i s adresami jejich blogů, je to zajímavé počtení i podívání.

Je vaše heslo na Twitteru bezpečné? Kolik lidí se nechá nachytat, co myslíte?

Na www.ismytwitterpasswordsecure.com si můžete vyzkoušet, jestli vaše heslo na Twitteru je bezpečné. Předem tam samozřejmě prozrazují, že není.

Mimochodem, Twitter ze zcela nepochopitelných důvodů už roky odolává čemukoliv, co by tamní účty alespoň trochu umožnilo mít bezpečnější. Přihlašovací jméno je veřejně známé, takže zbývá už jenom znalost hesla. Žádné dvoufaktorové zabezpečení se nekoná, informaci o tom, že se někdo přihlásil na váš účet "odjinud" (jako to má třeba Facebook i Google) se taky nedozvíte.

Největší útok v historii zpomalil Internet. Nebo spíš nezpomalil (aktualizováno)

DDoS útok na DNS servery měl dnes Internet v doslova celosvětovém měřítku. Označení za "největší útok v historii" zní dostatečně zajímavě, ale opět vlastně nic nevíme. A ještě je to celé pochybné.

Twitteru se znelíbilo Jdem.cz, nejde použít pro vkládání tweetů s odkazy

Sice jsem nikdy moc nepochopil, proč zrovna Tweet tlačítko na Lupě musí používat jdem.cz, ale doposud to nijak zvlášť nevadilo. Bohužel teď se Jdem.cz znelíbilo Twitteru a odmítá vkládat příspěvky s těmito odkazy. Samozřejmě stačí zbytečně zkrácený odkaz v příspěvků nahradit plným odkazem na článek a vše se vloží.

Je možná vhodné připomenout, že Twitteru už delší dobu všechny odkazy natvrdo zkracuje pomocí svého vlastního zkracovače t.co - dává mu to samozřejmě možnost blokovat případné škodlivé odkazy, ale také to zajišťuje, že připojený odkaz ma stále stejnou "délku". Při zobrazování příspěvků Twitteru odkazy nezobrazuje v t.co podobě, ale zobrazí kam vlastně odkaz vede.


( page 1 of 12 ) Older articles >>> ( number of articles: 337)