Operační systém Windows obsahuje přímo v jádře knihovnu HTTP.SYS, která se stará o zpracování příchozích HTTP spojení (pokud počítač funguje jako web server). A ta knihovna ve verzích 20H2 a 2004 (jak pro Windows 10, tak Windows Server) obsahuje velice nepříjemnou chybu. Nemá žádné sexy jméno jako Heartbleed nebo Shellshock. „CVE 2021-31166 HTTP Protocol Stack Remote Code Execution Vulnerability“ nevypadá na první pohled nijak zvlášť zajímavě, ale zdání klame.
Rubrika Bezpečnost
Společnost Dell vydala opravu ovladače DBUtil, který dvanáct let obsahoval sbírku chyb umožňujících elevation of privilege a DoS útoky. Zranitelný ovladač se nachází na stovkách miliónů prodaných počítačů, od levných notebooků Vostro přes profesionální Latitude až po pracovní stanice Precision.
Hospodářská komora v pátek představila návrh aplikace, která by měla pomoci s otevíráním provozoven obchodů a služeb. Předpokládá, že stát pro otevření provozoven stanoví nějaké podmínky pro podnikatele i zákazníky, a chce živnostníkům a firmám usnadnit plnění těchto podmínek. Snaha je to dobrá a jistě chvályhodná, ale naráží na nedostatek ochoty státu konat – nebo alespoň o budoucnosti podnikání pod vlivem covidu jednat.
Hospodářská komora plánuje - pokud bude stát spolupracovat - vytvořit mobilní aplikaci, která by měla pomoci s otevřením provozoven a kontrolou testů a očkování. To ale není jednoduché a nese to s sebou potenciální rizika. ČT 24 na toto téma odvysílala rozhovor s viceprezidentem HK Zdeňkem Zajíčkem a mnou jako nezávislým IT expertem.
Začalo to všechno vlastně zcela nenápadně. Psal se rok 1949 a jistý Neumann János Lajos na universitě v Illionis držel přednášku s komplikovaným názvem "Teorie a organizace složitých automatů". Tak se zrodil koncept počítačového viru. A ty klasické mají hodně společného s těmi organickými, jako momentálně populární koronavirus SARS-CoV-2.
Jenom pár dnů po zveřejnění údajů o více než půl miliardě uživatelů Facebooku je tady další půlmiliarda: tentokrát jsou postižení uživatelé služby LinkedIn. Nejde o následek klasického narušení bezpečnosti interních systémů, ale o takzvaný scraping – automatizované stažení veřejně dostupných údajů.
Záznam live streamu o nedávném úniku dat z Facebooku. K čemu došlo? Jaké si z toho máme vzít ponaučení? Co s tím můžeme dělat a jak se bránit?
Údaje o zhruba 20 % uživatelů FB jsou volně ke stažení. Nejde o žádnou bezprostřední katastrofu, ale povede to nejspíš ke zvýšení počtu phishingových útoků. Pokud vám dojdou nějaké divné SMS nebo jiné zprávu, NEREAGUJTE NA NĚ!
Potvrzení registrace nebo změna e-mailové adresy a reset hesla vyžadují zaslání potvrzovacího tokenu e-mailem, nejčastěji v podobě odkazu. Standardní implementace v ASP.NET Identity využívá kódování Base64, což s sebou nese jisté problémy. Ukážu vám, jak místo toho použít kódování ZBase32 a k čemu je to vlastně dobré.
Do sbírky divných médií, v nichž jsem zanechal stopu, se po bok Archivního časopisu ministerstva vnitra a Světa motorů zařadil podcast Modrák & Friends, který se zabývá počítačovými hrami. O čem jsem moudře hovořil, když o počítačových hrách nic nevím a systematicky se jim vyhýbám? O hacku společnosti CD Projekt, což je údajně slavný herní producent (já se o její existenci dozvěděl až z toho hacku). Protože o hacku samotném není známo prakticky nic, bylo z toho povídání o bezpečnosti a ransomware. Pokud vám nestačí mne číst, ale chcete mě i poslouchat, zde máte možnost.