Před několika lety se v IT oblasti objevil nový fenomén zvaný ransomware. Jedná se o viry, které zašifrují data na disku a následně vyžadují zaplacení výpalného. Po prvotní vlně publicity to vypadalo, že vlna ustala, ale je to falešná představa. Ransomware se daří dobře a v dohledné budoucnosti se nejspíš nic nezmění. Jenom v posledních týdnech jsem pomáhal několika obětem.
Rubrika Bezpečnost
Společnosti NordVPN, poskytovatele stejnojmenné VPN služby, utekly privátní klíče a neznámý útočník získal plnou kontrolu nad jejich serverem ve Finsku. NordVPN přitom patří mezi ty lepší společnosti, které VPN provozují. Společnost VPNpro u velkého množství různých VPN služeb zjišťovala, komu vlastně patří. Výsledky byly pozoruhodné: 97 služeb ve vlastněno jenom 23 společnostmi, z nichž řada sídlí v zemích, které neslynou zrovna nejlepší pověstí, pokud jde o dodržování soukromí internetových uživatelů - například v Číně nebo Pákistánu.
Webové stránky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a vládního CERT byly v úterý nedostupné. Vypršel jim totiž certifikát pro HTTPS. Podle zprávy na oficiálním Twitteru organizace šlo o chybu "dnes již bývalého zaměstnance". Alespoň že se nejednalo o tradiční "stážistku". I tak má ale NÚKIB z ostudy kabát.
V médiích se to hemží zprávami o tom, jak dvě ostravské firmy "prolomily EET". Reálných informací o případu je minimum, ale ze zveřejněných fragmentů lze docela dobře usuzovat na to, o co šlo. O případu nevím víc, než kolik bylo zveřejněno, a tento článek je tedy čirou spekulací, ovšem založenou na odborných znalostech a zkušenostech.
Možná jste ho dostali také: e-mail, který vyhrožuje zveřejněním masturbačního videa, pokud nezaplatíte výkupné v bitcoinech. Nejste sami, vlna spamu zasáhla celou Českou republiku. Připravili jsme pro vás odpovědi na otázky, co se děje a jak reagovat.
Včera jsem v živém streamu napsal validátor hesel, který využívá databázi z HaveIBeenPwned.com. K dispozici je záznam streamu, mírně aktualizovaný kód a NuGet balíček.
Rozhodl jsem se napsat vlastní validátor síly hesel pro ASP.NET Core Identity. A říkám si, že to bude zajímavější, když to budu živě přenášet na YouTube. Založím nový projekt na GitHubu, napíšu validátor a vypublikuji ho jako NuGet balíček. Alespoň tedy takový je plán, ale v živém přenosu se to může rychle změnit...
Solitaire, známý též jako Pontifex, je zvláštní šifrovací algoritmus, který vyhoví moderním požadavkům na bezpečnost, ale přitom jej můžete používat i ručně. Jediné co potřebujete je papír, tužka a balíček karet. Je jednoduchý a elegantní a může tak sloužit jako dobrá ukázka fungování symetrických proudových šifer. Proto jsem se rozhodl se svolením autora přeložit jeho popis do češtiny.
Počítače najdete všude. A kdekoliv je počítač, tam je příležitost k bezpečnostním problémům. Například ve fotoaparátech. Bezpečnostní výzkumníci z Check Point Research objevili utěšenou sbírku bezpečnostních chyb v celé řadě digitálních fotoaparátů společnosti Canon - od kompaktu PowerShot SX740 HS až po svou vlajkovou loď, profesionální EOS-1D X Mark II. Chyby se týkají implementace protokolu PTP (Picture Transfer Protocol) přes USB, Bluetooth nebo wi-fi.
Nedalo mi to a ještě jednou jsem se podíval na podepisování URL, které bylo tématem včerejšího článku. Přidal jsem (částečnou) ochranu proti replay útokům a vše vyčlenil do samostatné knihovny a NuGet balíčku.