Video sérii naleznete na tomto odkazu

Jednotlivé díly:

The post Videosérie Digitální Sebeobrany appeared first on DIGITAL SELF-DEFENSE.

While WhatsApp is end-to-end encrypted, an attacker could access messages by infecting an end device (phone) on which messages are normally visible.

In addition, an attacker did not have to rely on a faulty user step (such as clicking a link or opening an attachment), the software installation took place after an attacker start WhatsApp call. The user did not even have to accept the call, the malicious code already contained that call.
The call record could then be erased so that the user would not normally be able to determine whether he / she had been the victim of such an attack.
As mentioned above, the bug is already fixed, so it is highly recommended to upgrade to the latest version of WhatsApp.
Or just go to a safer Signal Messenger

Vulnerable Versions:

Android: v2.19.134 and lower, WhatsApp Bussines v2.19.44 and lower
iOS: v2.19.51 and lower, WhatsApp Business v2.19.51 and lower
Windows Phone: v2.18.348 and lower
Tizen: v2.18.15 and lower

How to update WhatsApp?

Android:

• Open Google PlayOpen the menu in the upper left menu
• Open My Apps and Games
• If WhatsApp was not automatically updated, the “Update” button is available. Otherwise, the update menu is missing, only the button to open is used instead.

iOS:

• Open the App Store
• Click “Update” at the bottom of the display
• If WhatsApp was not automatically updated, the “Update” button is available. Otherwise, the update menu is missing, only the button to open is used instead

The post 0-day vulnerability in WhatsApp appeared first on DIGITAL SELF-DEFENSE.

An attacker can exploit this feature and force the browser to hide the original address bar and instead display its own, falsified.

So, for example, if you click a link in an email that looks like a message from your bank, you can access the modified page of the attacker, which looks like a bank’s website, and the address bar will match (see James Fisher’s video below) ). If you enter your login information on the page, you send it directly to the attacker.

How to defend yourself? This is the use of the Chrome feature and there is no (yet) released update to change this behavior. Therefore, be aware of the links you open from email.

Good practice is not to click on links that are supposed to lead to sites where you have to enter your data. For example, if you have a message that needs to be resolved in your Internet banking, open the browser and simply enter the address manually, or use the saved (and verified) bookmarks.

The post Be careful with Chrome on your Android phone appeared first on DIGITAL SELF-DEFENSE.

Simon Scannell on the RIPS Technologies GmbH blog described a vulnerability that allows an attacker to gain administrator access by inserting malicious code into a comment and trick an administrator to visit a website set up by the attacker to take complete control of your presentation (comments are enabled in WordPress for posts by default).

The post WordPress – admin account for an attacker! appeared first on DIGITAL SELF-DEFENSE.

The Pandora and Viper products were tested by Pen Test Partners and found that with these alarms the car is even more vulnerable than without them.

For example, they allow an attacker to

• gain control of an online account
• track the location of a car
• stop the engine (yes, even while driving!)
• unlock the two-button immobilizer
• listen to the driver via the built-in microphone

Short video with demonstration of attack:

The post Unhackable car alarm appeared first on DIGITAL SELF-DEFENSE.

Vitor Ventura zveřejnil na blogu výsledky studie Cisco Talos, která se zaměřila na tři aplikace pro posílání zpráv – Signal, Whatsapp a Telegram.

U všech tří výzkumníci popsali možné útoky na desktopové verze (verze pro běžné počítače), u Telegramu i na aplikaci v mobilním telefonu. U všech tří se podařilo použít kopii session na jiném zařízení, útočník tak může číst jak aktuální, tak uložené zprávy.

Jak útok poznáte?

Nejsložitější je to u Telegramu – zjistíte to pouze v nastavení, kde si zobrazíte aktivní instance:

Navíc může být napadena i aplikace v mobilním telefonu. Jiná (škodlivá) aplikace může získat přístup ke zprávám.

U Signalu může být varováním chybová hláška, kterou se uživateli zobrazí na počítači (nikoliv v telefonu). Jak vaše, tak ukradená session totiž “soupeří” o vaše zprávy. Pokud se chybová hláška objeví, zkontrolujte v nastavení aplikace v telefonu připojená zařízení. Pokud vidíte jiné zařízení, než které znáte, je velmi pravděpodobné, že ste se stali obětí útoku. I když útočníka odpojíte, mohl si již přečíst všechny vaše zprávy a kontakty.

Whatsapp je jediná ze tří aplikací, která vás upozorní na spuštění desktopové aplikace. Ta je ovšem již spuštěna (do doby, než jí zakážete) a útočník se tak opět mohl dostat k vašim zprávám a kontaktům.

Co s tím?

Prvním krokem by mělo být odinstalace dotčených programů z počítače a používání pouze aplikací v mobilním telefonu. Nespoléhejte se ale na absolutní bezpečnost aplikací. I když je Signal obecně odborníky považován za aktuálně nejbezpečnější způsob online komunikace a zprávy nejsou při přenosu rozluštitelné žádnou známou metodou, mohou být vaše zprávy kompromitovány přímo ve vašem zařízení.
Navíc Telegram není odbornou veřejností považován za bezpečný messenger, neměli byste ho používat pro posílání citlivějších informací (např. soukromých fotografií apod.).

The post Studie odhalila možné útoky na “bezpečné” messengery appeared first on DIGITAL SELF-DEFENSE.

Pokud například administrátor přiřadí neprivilegovanému uživateli UID vyšší než 2147483647 (vyšší než INT_MAX), může tento uživatel spouštět jakýkoliv příkaz systemctl. Což pravděpodobně administrátor nezamýšlel

Rich Mirch zveřejnil proof-of-concept (PoC) exploit pro uživatele s UID 4000000000

Chyba dostala přiřazeno CVE-2018-19788.

The post Uživatel Linuxu s vysokým UID může získat vyšší oprávnění appeared first on DIGITAL SELF-DEFENSE.

Zranitelnost v programu Flash Player společnosti Adobe umožnila útočníkům spustit škodlivý kód a případně tak získat plnou kontrolu nad napadeným systémem.
Exploit (programy sloužící pro využívání bezpečnostních zranitelností), který byl objeven v dokumentech Microsoft Office, obsahoval prvek Flash Active X, využíval právě onu zranitelnost ve Flash Player.
Dokumenty se šíří v komprimovaném souboru a po rozbalení a otevření spustí škodlivý kód, který může monitorovat chování uživatele (např. zachytává vše, co uživatel píše na klávesnici a může se tak dostt k heslům nebo zprávám), sbírat informace o počítači, spouštět další programy, stahovat cokoliv z internetu nebo smazat všechna data na disku.
Adobe vydalo opravu, proto pokud máte Flash Player nainstalován, aktualizujte ho.
Pokud Flash nepotřebujete k práci, je bezpečnější ho odinstalovat úplně. Chyby v něm jsou zneužívány poměrně často.

Podrobnosti o chybě (anglicky) zde: https://threatpost.com/adobe-flash-zero-day-leveraged-via-office-docs-in-campaign/139635/

The post 0-day zranitelnost ve Flash Player appeared first on DIGITAL SELF-DEFENSE.

BIS vydala výroční zprávu za rok 2018, ve které zveřejnila informace o útocích ruských hackerů na emailové schránky Ministerstva zahraničních věcí ČR. Šlo o dva (podle BIS) na sobě nezávislé útoky. V prvním případě šlo o kompromitaci 150 emailových schránek MZ, ze kterých útočníci opakovaně kopírovali zprávy i s přílohami. Způsob útoku zpráva nezmiňuje.

Druhý útok byl proveden technikou brute force* (hrubá síla) a ze zprávy není zřejmé, zda byl úspěšný.

Dále zpráva zmiňuje kompromitace několika soukromých emailových účtů patřících osobám spojeným s Ministerstvem obrany (MO) a Armádou ČR (AČR) a kompromitace IP adresy patřící
MO ČR/AČR malwarem známým pod názvem X-Agent**.

Na začátku roku 2017 BIS získala informaci o nedostatečném zabezpečení webového portálu jiného z českých ministerstev. Na subdoméně portálu ministerstva bylo možné pomocí manipulace URL odkazů získat informace o konfiguraci serveru i některé přihlašovací údaje. Webový portál byl také zranitelný útoky typu SQL injection***, kterými by mohl případný útočník neoprávněně zasahovat do databáze a kompromitovat nebo poškodit uložená data.

Celá zpráva BIS je ke stažení zde, část o kybernetické bezpečnosti je citována níže.

*Brute force útok je jediný známý způsob, jak prolomit jakékoliv heslo nebo šifru. Funguje tak, že se vyzkoušejí veškeré možné kombinace znaků nebo slov. Je to však proces velmi náročný na výpočetní výkon, při delších heslech je prakticky nepoužitelný (prolomení dlouhého hesla může teoreticky trvat i několik milionů let). Jako obrana proti němu je dostatečně dlouhé a unikátní heslo.

**X-Agent je program pro sběr a odesílání souborů na napadaném zařízení útočníkům. Funguje na zařízeních s operačním systémem Windows, Linux, iOS, nebo Android. Kvalitní a aktualizovaný antivirový program by ho měl odhalit.

***SQL injection je útok, který využívá nedostatečného zabezpečení internetových stránek a pomocí kterého je útočník schopen vložit do stránek kód, který umí číst, měnit nebo mazat údaje v databázích. Aktualizovaný a dobře ošetřený server by mu měl zabránit (chyby v software se mohou objevit, proto je důležité je včas opravovat a aktualizovat).

Výňatek ze zprávy BIS:

2.6.Kybernetická bezpečnost
Kybernetická špionáž
Rok 2017 se v oblasti kybernetické bezpečnosti nesl především ve znamení kybernetické špionáže vůči ČR, přičemž nejvýznamnějším případem co do rozsahu i konečných důsledků byla kompromitace informačního systému Ministerstva zahraničních věcí (MZV), která byla odhalena počátkem roku 2017, avšak probíhala již minimálně od počátku roku předešlého.
Ke kompromitaci systému elektronické pošty MZV docházelo nejméně od počátku roku 2016, kdy útočníci přistupovali do více než 150 emailových schránek zaměstnanců a kopírovali emaily včetně jejich příloh. Získali tak údaje využitelné pro budoucí útoky i seznam dalších možných cílů, a to v rozsahu průřezově prakticky všemi významnými státními institucemi. Pozornost útočníků se soustředila především na emailové schránky nejvyšších představitelů ministerstva, k jejich schránkám útočníci přistupovali opakovaně, dlouhodobě a nepravidelně.
Případ kompromitace emailových schránek se v mnoha podstatných rysech shoduje s podobnými případy kyberšpionáže, které probíhaly ve stejném období i v jiných evropských státech.
Paralelně s tímto kyberšpionážním útokem probíhal od prosince 2016 útok proti emailovým schránkám téhož ministerstva, při kterém se útočníci snažili o uhádnutí přístupových údajů do emailových schránek hrubou silou (tzv. brute force attack), a pokusili se tak o kompromitaci několika set emailových schránek.
S největší pravděpodobností šlo o dva navzájem nesouvisející incidenty. Z veškerých učiněných zjištění je zřejmé, že se jednalo o kyberšpionážní kampaně Turla pocházející od ruské zpravodajské služby FSB a APT28/Sofacy, která se připisuje ruské vojenské zpravodajské službě GRU.
Mezi nejaktivnější kyberšpionážní kampaně patřila ruská kampaň APT28/Sofacy. Ta necílí jen na data samotná, ale se stále větší intenzitou se zaměřuje na krádeže osobních údajů a přihlašovacích údajů do informačních a komunikačních systémů, které mohou být dále využity k pozdějším sofistikovaným spearphishingovým útokům.
Stejně jako v roce 2016 šlo zřejmě o nejaktivnější a nejviditelnější ruskou kyberšpionážní kampaň. APT28/Sofacy využívala k útokům proti českým cílům zahraniční počítačovou infrastrukturu. V souvislosti s touto kampaní odhalila BIS několik útoků proti českým vojenským cílům, z nichž k nejzávažnějším patřily kompromitace několika soukromých emailových účtů patřících osobám spojeným s Ministerstvem obrany (MO) a Armádou ČR (AČR) a kompromitace IP adresy patřící MO ČR/AČR malwarem známým pod názvem X-Agent. Ačkoliv útočníci tímto útokem s nejvyšší pravděpodobností nezískali žádné informace utajované podle zákona č. 412/2005 Sb., získali řadu osobních informací a citlivých údajů, které mohou být dále zneužity pro další útoky či nelegitimní aktivity.
Vlna spearphishingových emailů cílila především na osoby z oblasti vojenské diplomacie působící v Evropě. Vektor i cíle tohoto útoku plně odpovídaly způsobu útoku i oblasti, na které primárně cílí ruská kyberšpionážní kampaň APT28/Sofacy. Obdobný spearphishingový útok směřoval také na evropské zbrojařské společnosti a pohraniční stráž jednoho evropského státu. Mimo případy kybernetické špionáže odhalila BIS rozsahy IP adres, na kterých se nachází servery a domény využívané k páchání trestné činnosti nebo ke kyberšpionážním účelům.
Na začátku roku 2017 BIS získala informaci o nedostatečném zabezpečení webového portálu jiného z českých ministerstev. Na subdoméně portálu ministerstva bylo možné pomocí manipulace URL odkazů získat informace o konfiguraci serveru i některé přihlašovací údaje. Webový portál byl také zranitelný útoky typu SQL injection, kterými by mohl případný útočník neoprávněně zasahovat do databáze a kompromitovat nebo poškodit uložená data. BIS neprodleně informovala příslušného ministra a ředitele NBÚ jako tehdejšího garanta kybernetické bezpečnosti v ČR.

Visapoint
BIS se nadále věnovala přetrvávajícím problémům informačního systému Visapoint, který zprostředkovatelé víz zneužívali k neoprávněnému finančnímu prospěchu. Přestože se MZV ve spolupráci s dodavatelem systému snažilo v minulosti nedostatky odstranit a jeho zneužívání alespoň omezit, řada problémů přetrvávala. Funkčnost systému byla dlouhodobě omezena, což umožňovalo zprostředkovatelům víz blokovat a následně prodávat volné termíny pro pohovory na českých zastupitelských úřadech. To v důsledku vedlo k poškozování dobrého jména ČR v mezinárodním kontextu. I kvůli přetrvávajícím problémům byl provoz systému v říjnu 2017 ukončen.

The post Hackeři se dostali ke 150 emailovým schránkám MZ ČR appeared first on DIGITAL SELF-DEFENSE.

Někdy vaši bezpečnost mohou ohrozit i obyčejná sluchátka od renomovaného výrobce. Přesněji – jejich instalace. Program HeadSetup společnosti Sennheiser umožnil útočníkům podvrhnout bezpečnostní certifikáty pro internetové stránky (např. banky nebo provozovatele emailu) a díky tomu by mohli číst či měnit data, která si se stránkou vyměňujete.
Sennheiser vydal opravu (v odkazu na stránce dole), proto pokud používáte software HeadSetup, aktualizujte co nejdříve.

Podrobnější informace (v angličtině) na webu bleepingcomputer.com

The post Děravá sluchátka appeared first on DIGITAL SELF-DEFENSE.