Názory k článku Postřehy z bezpečnosti: pozor na zubní kartáček
-
Nejgeniálnější poslední phishing je když se lidi pokusí instalovat Chrome z nových Windows:
https://www.howtogeek.com/fyi/bing-is-pushing-malware-when-you-search-for-chrome/
Bing a) najde sponsored link na phishing doménu b) ve výsledcích se ukazuje jako google.com (místo skutečné phishing domény).
Alespoň musím uznat, že někdo u tohoto phishingu fakt přemýšlel.
-
Petr M (neregistrovaný)
Akorát je potřeba rozlišovat mezi výsledkem vyhledávání a reklamou. Ono když to dočteš celý, tak vyjde najevo, že nad tím vyhledaným odkazem je placená reklama, kterou nikdo nekontroloval. No a pokud na tu reklamu lidi klikají, stránka dostává ve vyhledávači body...
Že maskuje pravou URL je asi nejhorší.
-
dizzy (neregistrovaný)
chyba mi tu sprava o zranitelnosti network managera v systemd https://www.theregister.co.uk/2018/10/26/systemd_dhcpv6_rce/
(a priznam sa, ze som trocha sklamany, lebo uz som cakal opat plno diskutujucich chrliacich ohen a siru na adresu systemd a Lenarta Poetteringa ;-)) -
Petr M (neregistrovaný)
Ono obecně platí, že pokud není komunikační rozhraní vyžadováno funkcí zařízení, nebo nemá jasný benefit pro zákazníka, nemělo by na zařízení vůbec být. Jenom zvyšuje cenu a snižuje bezpečnost.
Vysvětli to ale frikulínům a "vývojářům", kteří ještě pomalu ani nedostudovali a jejichž veškerý přehled o světě vývoje je jeden zbastlený low cost IoT demo kit z PRC se slepenýma děravýma (kni)hovnama, popřípadě ESP32 nebo Arduino s nějakým komunikačním shieldem... :(
-
DannyStříbrný podporovatelVixie se mel asi zacit zlobit mozna ponekud driv. Fenomen oznacitelny jako "everything over HTTP(s)" je tu s nami uz pomerne dlouho a pomoci HTTP se v dlouhodobem pohledu nahrazuji a snazi nahrazovat i jine protokoly, nez jen zminene DNS.
Ochrana soukromi je samozrejme diskutabilni - pokud se data ve vychozim nastaveni posilaji jedne vybrane soukrome firme, tak to neni v poradku tak nejak v principu - bez ohledu na ruzne deklarace, jak o nic nejde. O usnadneni prace vladnim agenturam nemluve, tam i vydani dat Cloudflare explicitne pripousti :-) -
Ondřej CaletkaZlatý podporovatelOn se možná zlobí především proto, že jeho hlavní business dnes spočívá v prodeji DNS firewallů a vytěžování DNS dat. Takže reálně hrozí, že si bude muset kvůli DoH přeorientovat na jiný produkt. Už dnes může malware komunikovat HTTPS tunelem skrz některou z CDN sítí, takže při implementaci DoH se taková činnost jen usnadní, není to tak, že doteď malwary vždycky potřebovaly DNS a teď jim bude stačit šifrovaný provoz na portu 443.
-
DannyStříbrný podporovatel
V prostredi, kam podobne produkty cili je beztak MITM v TLS naprosto beznou zalezitosti uz dnes, takze tam neuchranis nic...
A o malware rec vubec neni, rec je o soukromi a o tom, ze data DNS provozu se namisto soucasneho v zasade jeste stale silne distribuovaneho pojeti snadno dostanou do rukou nekolika malo firem... protoze samozrejme prohlizece budou mit nejake vychozi nastaveni, ktere mene pokrocili uzivatele rozhodne menit nebudou.
-
Petr M (neregistrovaný)
No právě. On třeba ideální svět podle Cukrouška je:
1) Všichni lidi u mě mají účet.
2) Všechny webovky a služby na světě mají na sobě můj skript.
3) FB bude výchozí web server pro celý internet, nikdo se bez něj nikam nedostane
4) Strčím reklamu kdykoliv komukoliv kamkoliv, klidně i doprostřed diplomky (a na shodu s tištěnou verzí kaká Alík)Stačí se podívat do Afriky na to, jak se pokoušel zavádět "internet zdarma" s přístupem jenom na FB. Strategie "All over HTTPS" mu, a jemu podobným, dává hodně mocnou zbraň. Úplně stačí, jak to pos... s CA a HTTPS.
Co bude příště? ICMP over HTTPS? ARP over HTTPS? Souhlasím s tím, že autoři DoH by potřebovali dostat přes držku.
-
peter (neregistrovaný)
No, jak tam zminujete o skryvani autora spionazniho sw. A co kdyz to byl zamer? Mohl nechat koupit domenu treti stranou a vytvorit si ucet s jeho jmenem a tim pak celou praci publikovat. A nejlepe pres nejakou zemi, kde nemaji jeste prilisnou kontrolu nad informacemi. / Samozrejme, sikovni lide jsou vsude, klidne muze byt domaci. Ale take ne. Jen mne fascinuje, jak presvedcive tvrdite, ze on je autor :) / A samozrejme, jestli je to mladik, 18 let, tak si jeste mozna neuvedomuje dusledky a klidne radi i o moznostech zneuzivani.
-
Dalsi slatanina od FireEye je skutecne jen k pobaveni. Rusky inzenyr, prodal svuj testovaci modul pro komunikaci s controllery na darkwebu, tupe to pouzil nasledny kupec z oblasti Perskeho zalivu, a hned je z chudaka inzenyra kyberneticka jednotka ruske tajne sluzby. Jeste ze podobnymi Sherlocky nedisponuje Policie nebo tajna sluzba.
Objev ENISA ohledne IoT je dalsi uzasna perlicka. Zitra vydaji prohlaseni, ze voda tece a usporadaji kolem toho konferenci, ktera jim tento predpoklad potvrdi skrze 50 pozvanych specialistu. Kdybych to jejich blaboleni nasledne neplatil ze svych dani, tak by mi to bylo i jedno.
-
FireEye predlozilo jen fabulace. Co drzi FireEye v ruce je evidentne prebaleny blob, vcetne diletantsky skrytych rezidui. Takovych veci je plny darknet a dodavaji je tam nejruznejsi inzenyri (nejenom rusove), pricemz vychazeji z jejich testovacich prostredi. Po puvodnim autorovi zustava "jeho stopa", zbytek je prebalen novym vlastnikem. Tady je jen otazka, kdo to koupil a komu to ten dalsi prodal k pouziti. Chvili se tim zivte, sledujte cvrkot na druhe strane palebne linie a date mi za pravdu. Pravdepodobnost, ze nekdo vytvori malware pro atypickou technologii a pak utoci tak, ze zanecha IP adresy sve vlastni organizce je absurdni i v amaterskem prostredi. To by neudelala ani ceska BIS nebo VZ, kdyby to vubec kdy delaly...
-
Myslím že vámi zvolená interpretace fungování státních organizací a tajných služeb je velice nebezpečná. Předpokládáte, že jakékoliv chyby které se dopustí - se vždy dopustí schválně, protože přece takovou chyby by profesionálové neudělali ...
S podobnou logikou můžete odmítat jakékoliv důkazy. Stejnou argumentaci můžeme slyšet v případu Skripal - všechny důkaz musí být falešné, protože tak hloupě amatérky by si agenti nemohli počínat ... -
null null (neregistrovaný)
@bez přezdívky
Ukázková manipulace. V kauze Skripal nejde o popírání pravosti důkazů, ale o jejich takovou chabost, že jsou vůbec možné pouze pokud se přistoupí na to že si obvinění počínali jako naprostí amatéři. A to se spoustě lidí nezdá. A toto je velký rozdíl oproti tomu co píšeš.
-
Jirka1 (neregistrovaný)
Důkazy jsou tak slabé, že nejdřív Rusové tvrdili, že žádní takoví občané Ruska neexistují. Pak to byli dokonce najatí britští herci, aby se z nich vyklubali ruští občané, kteří se jeli podívat na katedrálu v Salisbury (aspoň že ta existuje) a jen zabloudili a dorazili ke Skripalovu domu. Rádio Jerevan by to nezvládlo líp :-)
-
null null (neregistrovaný)
@Jirka1
Možností je spousta. I kdyby to byli největší pitomci všech dob a jeli do anglie jenom zakopnout o patník, tak to pořád nedokazuje že někoho otrávili a už vůbec ne na čí to bylo pokyn. To že si to britové myslí na to mají právo, ovšem já abych někoho odsoudil, budu potřebovat alespoň minimální důkazíček krom toho že dva rusové byli ve městě. I spousta lidí od fochu o tom že to bylo na příkaz ruské vlády silně pochybuje, ovšem jsou hned označování za pitomce stejně hbitě jako @bez přezdívky prohlásil pochybnosti o důkazech za pochybnou logiku.
Např. dovedu si klidně představit že si 10 let takto jezdili rusové od Skripala kupovat informace a když zjistili co se děje tak se radši chvíli "potloukali okolo", pak radši okamžitě mazali zpět a teď mlží protože nechtějí aby se to profláklo. Já samozřejmě nevím kdo to udělal a proč, ale na základě toho co bylo představeno nemohu souhlasit že to byli rusové. Pravdou je že takové věci se prokazují těžko,obzvláště veřejně, tím spíš bych byl opatrný na to co se tam dělo. Jak už bylo řečeno "nikdo neví pořádně co Skripal dělal posledních 10 let na svobodě" a já k tomu dodávám že si prací na směny ve fabrice určitě nevydělával ...
-
"nikdo neví pořádně co Skripal dělal posledních 10 let na svobodě"
Jen si dovodím toto tvrzení trochu poopravit, je známo že cestoval po Evropě a spolupracoval se západními tajnými službami, kterým jako bývalý personalista GRU měl co říci. Ví se třeba o tom že ve Španělku pomáhal s nějakým vyšetřování, či že sešel s lidmi z BIS.
Právě tato jeho aktivita je považována za hlavní motiv, v minulosti byli vyměnění agenti už profesně pasivní a toto je tedy precedent.
-
null null (neregistrovaný)
@bez přezdívky
Hmmm, tak to se toho moc neví ... Každopádně "v minulosti byli vyměnění agenti už profesně pasivní" je tak relativní tvrzení, že nevím jestli jsi jen naivní, hloupý nebo je to cílená dezinformace.
Představa že je agent vyměn a protistrana nic nevyzvídá je tak směšná, že bych to tu musel vytapetovat smajlíky. Ostatně kolik toho mohl Skripal vědět o aktuální práci GRU třeba po pěti letech aby byl zajímavý cíl bych taky pouze přenechal výsměchu. Tyto románové dýchánky mě fakt vždycky pobaví ...Ta představa že infomace které má vyměněný agent jsou nebezpečné až když veřejně roky jezdí po světě :-D :-D :-D v momentě kdy agenta měníš tak je všechno co ví prostě v rukou nepřítele. A pokud byl dvojitý, tak už stejně hromadu nepřítel věděl. Když už o tom víš kulové, tak si aspoň poslechni nějaké odborníky a když se i na to hezky poevropsku vys..., tak aspoň používej hlavu nebo minimálně nešiř hlouposti.
-
Mily Jirko1, muzete uvest odkazy na konkretni odkazy z ruskych zdroju, kde se neco takoveho oficialne tvrdilo? Ja jsem v originalnich zdrojich pouze cetl, ze chteji oficialni informace k tomu, aby je mohli najit. Pak je sami vyzvali, aby verejne vystoupili. Jestli tito dva panove lhali nebo ne je samozrejme otazka, ale vy byste nemel take lhat. Takhle se pravda nehleda.
-
Mily Jirko1, a umite vubec azbuku? Ja dane zdroje cetl, neco jsem samozrejme mohl minout, ale nic z toho co naznacujete, jsem se tam nikdy nevidel. Proste jste si to vylhal z informaci sirenych zapadnimi zdroji. Takovym vlivovym trikum se slaba osobnost tezko ubrani, takze vasi situaci v podstate chapu a nijak se kvuli tomu na vas nezlobim.
-
xsc2 (neregistrovaný)
Že ty vládneš ruštinou, to je jistota, nějak ti ty úkoly zadávat musej :-) S prasklou cévkou si opět použil tupý trollí zvyk uhýbat od tématu k osobním útokům.
Jestli nevíš, co je lež, tak se to douč. Projdi si ruské reakce, výroky té tiskové mluvky ruského zamini a propagandu následně vrženou do světa ruskými trolly. To ty ale moc dobře víš, ale přesto plácáš, že to tak nebylo. -
Logika hodna praveho ceskeho Pepika: a kdo umi anglicky zarucene pracuje v zoldu CIA nebo MI6. Nedelate s touhle genialni logikou sefa nejakeho odboru v BIS? Ruske reakce znam, ale vy i v poctu dvou "expertu" stale nedokaze dodat prislusne odkazy, prestoze upenlive tvrdite, ze existuji. Ja bych je rad videl, ale vasim postojem me jen vic a vic presvedcujete, ze pouze lzete.
-
Lol Phirae (neregistrovaný)
Že ty vládneš ruštinou, to je jistota, nějak ti ty úkoly zadávat musej :-)
To mi připomnělo: Zeman leze po kolenou na nádvoří Pražského hradu, sbírá kamínky a píská u toho.
Nikdo neví co se stalo, tak Ovčáček volá Putinovi: "Vladimíre Vladimiroviči, máme nějaký problém s Milošem, nevíte co se děje?" Putin to ověřuje a za chvíli volá zpátky: "To nic, už je to OK, my jsme mu omylem poslali instrukce pro Lunochod". -
Co ma moje ryze technicko-prakticke stanovisko spoleceho s Kremlem? Radsi vyndejte ruku z nocniku a pokud nesouhlasite a neco vite, tak argumentujte, pokud nic nevite a jste slaboch, tak aspon anonymne hlasujte, a pokud psychicky nezvladate, ze maji jini lide jine nazory, tak navstivte prislusneho odbornehe lekare. Nedokazete-li ani jedno, pak radeji ctete ahaonline.cz nebo blesk.cz, kde se jiste uspokojite spolu se zbytkem davu.
-
@pepik: Skoda, ze pak prave vy hovorite jak kolovratek stale o jednom terminu, ktery nesouvisi ani se clankem ani s obsahem diskuze, a sam jste ho sem navic vsadil. Jste-li bot, tak jste dal svym autorum asi dost prace. Jste-li zivy clovek, tak nejste dobrou reklamou na zakladni skolstvi prislusne zeme.
-
@Nick: Ja se je ale nesnazim ani tak presvedcit, jako spise pochopit podstatu jejich bludnych predstav a z ceho prameni. Jestli to u nich vzniklo z neznalosti problematiky prumysloveho hackingu a utoku na kritickou infrastrukturu, neznalosti darknetu, neznalosti hacking komunity, predpojatosti vuci Rusku, ...az po mozne zmanipulovani masovymi sdelovacimi prostredky.
ČLÁNKY DO MAILU