Názory k článku Postřehy z bezpečnosti: KeyStore Androidu má kritickou chybu

> SMS zpráva má text ve tvaru “Dear XYZ, Look The Self-time, http://goog.gl/xyz”. Dnešní antivirové programy jsou pro mobilní platformu Android už nezbytností.

Nevidím tuto implikaci. Na můj linuxový desktop mi určitě také může přijít od infikovaného kamaráda Jabber/mail/IRC zpráva s odkazem na nějaký backdoor. Přesto si nemyslím, že bych měl mít antivir - protože mě neochrání, pokud zrovna nezná tuto signaturu a nebude to heuristický typ a ochránit se snad zvládnu sám nespouštěním takových věcí.

LZO: http://fastcompression.blogspot.fr/2014/06/debunking-lz4-20-years-old-bug-myth.html

> Aktivuje se s instalací aplikace Find My iPhone/iPad/Mac, díky které můžete vzdáleně vaše zařízení smazat, zablokovat, či nalézt jeho aktuální polohu.

A zase blbě, jako obvykle. Není to funkce, kterou bych si rozjel na vlastním serveru, nebo bych alespoň posílal podepsanou zprávu. Je to na libovůli nějakého cizího serveru, jestli mi zablokuje a smaže mobil.

"A zase blbě, jako obvykle." -> Když chci něco kritizovat, tak si napřed zjistím, jak to funguje. Tohle je právě takový případ.

Hlavně, že jsme si zakibicovali, že?

Tak nás pouč. „Enter a four-digit passcode to prevent anyone else from accessing your personal information.“ moc jako asymetrická kryptografie nevypadá.

Takže v otevřeném kódu je 20 let chyba, všichni ji přepisují, a nikdo si nevšimne. Je to pěkný důkaz toho, že mnoho očí nic nevidí.

Co fakt nepotěší je průstřelnost knihoven Libav a FFmpeg. Pokud se to potvrdí, máme zranitelnou spoustu PC, plus chytré TV, set top boxy, a kdo ví co ještě.
http://blog.securitymouse.com/2014/06/raising-lazarus-20-year-old-bug-that.html

IMO ani nie...

http://www.oberhumer.com/opensource/lzo/
http://fastcompression.blogspot.cz/2014/06/debunking-lz4-20-years-old-bug-myth.html

> Je to pěkný důkaz toho, že mnoho očí nic nevidí.

Je to pěkný důkaz toho, že nakonec si někdo všimne.

A konkrétně toto viděl asi kdekdo a něřešil to, protože nad jeho daty k chybě nikdy nedojde.

Podobné jako tady:

http://www.root.cz/zpravicky/v-x-org-byla-nalezena-23-let-stara-chyba/

Bezpečnost uživatelů až na prvním místě. Jen mě fascinuje, že je to letos už druhý kostlivec, který vyskočil ze skříně. Ale hlavní je přece to, že máme ty zdrojáky, které můžeme po večerech studovat a navzdory jejich super otevřenosti se modlit, aby ten kostlivec nevyskočil někde jinde ;-)

A pak je tu samozřejmě Heartbleed bug, který dva měsíce po odhalení podle všeho na polovině serverů nebyl opatchován.
http://blog.erratasec.com/2014/06/300k-vulnerable-to-heartbleed-two.html

A máš nějakou statistiku, kolik je opatchovanejch těch zázraků od Juniperu? :-P

Patch je publikovaný přes Windows Update, takže nejspíš velká většina. Navíc to není bug, který by bylo snadné zneužít.
https://technet.microsoft.com/library/security/2962393#ID0E6F

Dobry den pane Cmeliku

Na uvod bych chtel moc podekovat za postrehy z bezpecnosti na kterych se podilite,doufam ze nazory ruznych "ušakū" vas neodradi od psani techto velice prinosnych clanku.....jeste jednou diky

V clanku pisete,ze chytrejsi IPS-ka si s ledascim muze poradit. Stojime totiz pred otazkou nakupu IPS-ky a chtel jsem se zeptat jestli mate nejaky tip ci doporuceni jakou IPS zvolit. Urcite stim mate Bohate zkusenosti prosim o tip.Fungujem jako ISP z cca 7k users

diky Mijos

Dobry den,

V siti nam bezi webservery, voip + bezny provoz od uzivatelu. Connections mame cca 250-300k, datovy provoz cca 2.5Gb/s

Pred cim se chceme chranit? Dobra otazka, pred tim bordelem co v lita v siti :) Primarne mi jde o to, abych se dozvedel rekneme o nakazenych PC ci serverech v siti.
O celkovy prehled toho co se tam deje a zameril se na situace mimo normal.

- ad ochrana serveru, abych vedel zda na ne probiha utok a dokazal ho zastavit
- ad uzivatele, potrebuju vedet, kteri jsou nakazeni, at je muzu informovat, popripade zariznou (prehodit do jine vlany atd..)

Planujeme nasadit "zbozi" od Inveatechu, flowmon, takze kdyby se to dokazalo spolu bavit bylo by to mozna jednodussi.

Prostredky to je vec diskuze, a zalezi jake vychytavky by to prineslo....

Stava se, ze neco proleti v siti, a nyni ani nevim, jestli to prislo z venku ci zevnitr atd....

diky

Mijo

CheckPoint: http://www.checkpoint.com/products/ips-software-blade/

z opensource, len ako IDS: http://blog.securityonion.net/p/securityonion.html

Ahoj, konkretne s clankem to moc nesouvisi ale chci se zeptat.. Myslíte že je bezpečny mít na androidu aplikaci s internetovym bankovnictvim? (servis24 atd.) mam z toho docela strach tak se raci ptam :)

Ono se to chová podobně jako PC. Bezpečnost bude obdobná. Doporučení stejné: nechte si posílat potvrzovací SMS na jiné zařízení. V případě PC málokoho překvapí posílání SMS na mobil. Ale u mobilu je doporučení nechat si SMS poslat na ještě jiný mobil překvapující. Přesto souhlasím - stav malware je takový, že na bankovní SMS je lepší použít nějaký "ne-smart" telefon.

"Dvacet let stará chyba, byla objevena až nyní v kompresním algoritmu LZO"

Spíš chyba v implementaci.

"UPDATE (Jun. 30, 2014):
The vulnerability affects Android 4.3 only. Thanks for the Android Security Team for correcting our advisory."

Takže se my se starouškama nemusíme bát :)