Německé ministerstvo vnitra publikovalo studii , která se zabývá digitální suverenitou. Doporučuje přechod na svobodný software za účelem omezení závislosti na jediném dodavateli a sběru dat třetími stranami. Komentář v angličtině zde.
Zabezpečení (hardening) webového prohlížeče – pokračování
V předchozí části popisu zabezpečení webových prohlížečů jsem psal o základech zabezpečení webových prohlížečů. V aktuálním dílu se budeme zabývat rozšířeními webových prohlížečů potřebných pro zvýšení vaší bezpečnosti.
Rozšíření webových prohlížečů
Pro ochranu doporučuji nainstalovat a nastavit následující rozšíření webových prohlížečů
Pokračovat ve čtení „Zabezpečení (hardening) webového prohlížeče – pokračování“Zabezpečení (hardening) webového prohlížeče
Velice pěkný popis základů zabezpečení webových prohlížečů napsal kolega, pan Vymazal na stránce https://www.linuxservices.cz/hardening, v sekci Hardening www prohlížeče. Nemá smysl tyto informace přepisovat. Tento článek je základem, na který po stručném shrnutí základů navážu.
Proč zabezpečujeme webový prohlížeč?
Mnoho webů se snaží z našeho prohlížeče a z celého operačního systému získávat data, která ke své činnosti nepotřebují. Tímto způsobem může dojít k úniku i našich osobních dat.
Další velice nepříjemnou možností jsou části kódu, který se usídlí přímo v prohlížeči, který pak může útočník přímo ovládat.
Pokračovat ve čtení „Zabezpečení (hardening) webového prohlížeče“Generujte bezpečnostní klíče pro WordPress opravdu bezpečně
Při instalaci WordPressu se setkáte s požadavkem na definici osmi náhodných řetězců, 64 znaků dlouhých, v souboru wp-config.php. Generování těchto klíčů na stránce https://api.wordpress.org/secret-key/1.1/salt/ je prezentováno jako bezpečné. V tomto článku popisuji zásadní bezpečnostní slabinu tohoto postupu. A z odkazu v tomto článku získáte opravdu bezpečný generátor klíčů.
Klíče a iniciační řetězce
Těchto osm řetězců je obvykle nazýváno klíče, anglicky keys. Jsou to ale čtyři klíče (KEYS) a čtyři iniciační řetězce (SALT). Klíč a iniciační řetězec vždy tvoří dvojici, která je používána pro specifický úkol. Detaily o úkolech, které páry klíč + iniciační řetězec plní, najdete v článku (v angličtině) zde.
Pokračovat ve čtení „Generujte bezpečnostní klíče pro WordPress opravdu bezpečně“
Rušičky pro optiku vážně i nevážně
Vždy jsem si myslel, že pro optiku existují jen dvě rušičky: Buldozer a cikán s krumpáčem. Minulý týden jsem ale objevil ještě další rušičku, se kterou jsem opravdu nepočítal. Článek je jako novoroční trochu nevážný. Popisované okolnosti mě ale přiměly k zcela serioznímu zamyšlení nad vylepšením dostupnosti našich serverů.
Začnu tím, že optické spoje mám rád. Zkušenost mi jednoznačně ukázala, že se jedná o velmi spolehlivý prostředek spojení. Na rozdíl od bezdrátových spojů. Ty může ovlivňovat a rušit mnoho vlivů. Optický spoj, jak jsem vždy rád říkal, má jen dvě možné rušičky, výše uvedené. 🙂
Přirozeně, snažím se mít vlastní i zákaznickou infrastrukturu umístěnou tam, kde připojení využívá výhradně optické spoje. Jen výjimečně, jednou za několik roků dojde k selhání nějaké komponenty. Ta bývá v krátkém čase vyměněna, protože se s takovýmto selháním počítá.
Tentokrát byl však výpadek delší než jeden den. Trochu mě to zaskočilo. Pokračovat ve čtení „Rušičky pro optiku vážně i nevážně“
Nová verze ebooku „Zabezpečte Linux server v 10 krocích!“
Připravil jsem pro vás novou verzi ebooku Zabezpečte Linux server v 10 krocích
V této nové verzi najdete navíc rozšířenou kapitolu o záznamových serverech jako cloudové službě, a také bonusovou kapitolu o správě serveru více administrátory
[otw_is sidebar=otw-sidebar-1]
Pokud se vám ebook bude líbit, sdílejte jej, prosím, na Facebooku, Google Plus, LinkedIn a dalších sociálních sítí. Za pomoc při šíření informace o eBooku předem děkuji.
V případě, že zvažujete zabezpečení nad rámec těchto deseti kroků, nás kontaktujte.
Jak ovlivnil výpadek služeb společnosti Google z 22.11.2016 naše zákazníky?
Na otázku, na ovlivnil výpadek služeb společnosti Google z 22.11.2016 naše zákazníky, je velice jednoduchá odpověď. Nijak. Pokud poskytujeme službu, je to služba reálná.Nikoli odvozenina od služby cizí.
Vím přirozeně, že stavba IT služeb pro podniky má aktuálně tento trend. Postavit podnikové řešení poštovního serveru na Gmailu je vcelku fajn. Pokud ovšem vše funguje.
Je s tím za normálních okolností málo práce. A proč si práci neulehčit také načítáním fontů pro weby z fondu Google? Funguje to přece hezky. Do chvíle, než vznikne problém, a váš web to vezme s sebou.
Již jsem si vcelku zvykl, že zákazníci svoji bezpečnost příliš neřeší. Mnozí tvrdí, že jim nevadí ani neskrývané čmuchání v jejich datech. To je jejich volba.
Samotného mě ale překvapilo, kolik třeba webů je na službách Google závislých. Tolik nářku od známých ajťáků nad problémy, jako včera (23.11.2016) a předevčírem (22.11.2016) jsem už dost dlouho neslyšel. 😛
Doplnění z 1.12.2016
Dnes jsem se dozvěděl, že nefungovaly ani datové schránky. Projekt za 2 miliardy Kč využívá Google Captcha … Co dodat?
Proč si politici najímají na správu serverů naprosté idioty?
V poslední době vidím podobná zpravodajství jako v níže odkázaném videu nějak často. A pokaždé mi otázka duševní způsobilosti správců serverů přichází na mysl. Nemohu se tomu nějak ubránit. Ale věc je, samozřejmě, složitější.
Bret Baier: Sources say Clinton server hacked by foreign intelligence agencies
Pokračovat ve čtení „Proč si politici najímají na správu serverů naprosté idioty?“
Stažení a instalace DDoS Blockeru
Po uvedení naší služby Ochrana DDoS Blocker pro Linux server jsme se s příliš velkým zájmem o nákup naší služby nesetkali. Ale odpovídal jsem na více jak deset dotazů, jestli je možné DDoS Blocker stáhnout a nainstalovat ve vlastní režii. A protože to možné je, připravil jsem pro všechny zájemce o DDoS Blocker tento článek.
Pokud máte zájem o instalaci DDoS Blockeru ve vlastní režii, není to obtížné realizovat. Vše jsme se snažili maximálně zjednodušit.
Sociální sítě a jejich bezpečnost z pohledu běžného občana
Článek se zaměřuje na bezpečnost sociálních sítí z pohledu běžného občana. Jaká bezpečnostní rizika mu při jejich použití hrozí? Jsou tato nebezpečí podceňována? Jaká doporučujeme opatření?
Bezpečnost uživatelů sociálních sítí
Soukromé osoby bezpečnostní problematiku v oblasti výpočetní techniky obvykle téměř neřeší. Maximem je instalovaný antivirový systém, personální firewall na počítači a firewall na routeru užívaný k přístupu na internet.
Kdo si ale myslí, že tyto uživatele za tento přístup budu kárat, se velice mýlí. Pro soukromé použití je takovéto zajištění prozatím dostatečné.
Co však tito uživatelé standardně podceňují, je sdílení privátních informací na sociálních sítích. Takto sdílené informace opravdu není dobré podceňovat. Zejména děti prozradí prakticky všechno. Minimálně do 15 let doporučuji dohled rodiče nad jejich aktivitami v této oblasti. Chápu, že u věkové kategorie 11 až 15 roků (puberťáci) bude toto doporučení velice nepopulární, ale oni prostě ještě nedokáží posoudit, co je citlivá informace a co není. (Někdy to tedy nedokáží posoudit ani jejich rodiče. Sorry.)
Pokračovat ve čtení „Sociální sítě a jejich bezpečnost z pohledu běžného občana“
Certifikáty bezpečné a nebezpečné
Certifikáty bezpečné a nebezpečné.Na první pohled je vše jasné; Náš webový prohlížeč nám přece nahlásí, když certifikát navštíveného serveru z nějakého důvodu není bezpečný. Ale jak je to s bezpečností certifikátu doopravdy? To se dozvíte v tomto článku.
Jak je to s bezpečností certifikátů?
Připojujete se k internetovému bankovnictví. V adresním řádku webového prohlížeče se objeví zeleně podbarvený název vaší banky. Kliknete na něj a dozvíte se podrobnosti o vlastníkovi webu, ke kterému se připojujete, a která certifikační autorita ověřila jeho identitu. Je to pro vás velice užitečná informace. Víte (téměř) určitě, že nejste na podvodné stránce. Že jste opravdu na stránce vaší banky.
Stáhněte si eBook „Zabezpečte Linux server v 10 krocích!“
K sepsání eBooku Zabezpečte Linux server v 10 krocích mě vedla zejména vysoká četnost bezpečnostních incidentů, které jsme v poslední době řešili. Za první čtyři měsíce roku 2015 jsme s kolegou získali čtyři zakázky na řešení bezpečnostních problémů související s linuxovými servery.
[otw_is sidebar=otw-sidebar-1]
Pokračovat ve čtení „Stáhněte si eBook „Zabezpečte Linux server v 10 krocích!““
Proč vyžadujeme písemné zadání poptávky od našich zákazníků?
Článek popisuje důvody pro přípravu písemné formy poptávek. Je určen všem, kteří chtějí po nás nějakou v podstatě maličkost. Třeba jen webové stránky. A když po nich chceme písemné zadání úkolu, argumentují například způsobem: „Já nevím, jaké stránky chci, vy jste na to odborníci, to máte přece vědět vy.“ V takévém případě jako alternativu nabízíme přípravu vstupní analýzy projektu. Její součástí je i návrh poptávaného řešení.
Nad tématem tohoto příspěvku jsem docela dlouho váhal. Je to přeci jen trochu „off-topic“ téma pro technický blog. Nakonec jsem jej zde publikoval. Techničtí nerdi jej přece číst nemusí. 🙂 A já budu moci místo vysvětlování již jen posílat odkazy.
Pokračovat ve čtení „Proč vyžadujeme písemné zadání poptávky od našich zákazníků?“
Principy fungování operace Windigo
Tento úvodní článek seriálu o operaci Windigo popisuje způsob jakým útok funguje. Upozorňuje na nebezpečnost jeho tvůrců, kteří na odhalení budou prakticky určitě reagovat. Většina informací zde uvedených vychází z dokumentu v anglickém jazyce na webu welivesecurity.com, Operation Windigo. Můžete se ale také těšit na mé vlastní závěry z publikovaných faktů. A to zejména v dalších dílech, které se budou zabývat technickými podrobnostmi. Seriál navazuje volně na můj článek Kontrolní skript na operaci Windigo 1.0.2 a Další vývoj operace Windigo.
Samotná operace Windigo je velice propracovaný a velice dobře navržený i provedený útok. Jeho rozsah, schopnost zůstat skrytý ve své komplexnosti po mnoho měsíců i roků, široká přenositelnost kódu, i profesionalita provedení je zcela bezprecedentní.
Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?
Způsobů detekce útoku na OpenSSL je k dispozici, samozřejmě, daleko více. Tento je ale velice jednoduše realizovatelný i na běžném serveru s operačním systémem Linux. Nepotřebujete žádné IPS/IDS. Jestli se tedy chcete trochu morbidně pobavit, čtěte dále. 🙂
Pokračovat ve čtení „Kdo na mě útočí a využívá chybu v OpenSSL známou jako Heartbleed?“
Používáme OpenSSL – příprava a odvolávání certifikátů
Článek popisuje postup práce s OpenSSL při přípravě požadavku na certifikát, práci s certifikační autoritou a postup při odvolávání kompromitovaného certifikátu. Napadlo mě, že po odhalení bezpečnostní chyby v OpenSSL se návod na generování a revokaci certifikátů mnohým z vás může hodit. Pokud ještě nemáte připravenu certifikační autoritu, přečtěte si nejprve článek Používáme OpenSSL – příprava certifikační autority.
Pokračovat ve čtení „Používáme OpenSSL – příprava a odvolávání certifikátů“
Používáme OpenSSL – příprava certifikační autority
V tomto článku je podrobně popsán postup zprovoznění certifikační autority s využitím OpenSSL.V článku bezprosstředně následujícím popíšu postup přípravy požadavku na certifikát, vytvoření certifikátu certifikační autoritou a postup jeho odvolání. Pokud již máte funkční certifikační autoritu a pořebujete návod na nahrazení a odvolání certifikátu, čtěte článek Používáme OpenSSL – příprava a odvolávání certifikátů.
Pokračovat ve čtení „Používáme OpenSSL – příprava certifikační autority“
Jaké certifikáty OpenSSL musíme odvolat?
Aktuálním problémem mnoha administrátorů Linuxu se stala bezpečnostní chyba v OpenSSL známá jako Chyba krvácejícího srdce. Provedli aktualizace software, nahradili a případně i odvolali certifikáty na webových serverech. Postup ve složitějších případech, jako použití certifikátů v OpenVPN, již není tak jasný. Pokusím se v tomto článku tuto problematiku trochu přiblížit.
Vycházím ze stavu, kdy máte OpenSSL již aktualizováno na verzi, která není zranitelná. V tuto chvíli je pro mnohé administrátory Linuxu otázkou, jak přesně postupovat dále.
Pokračovat ve čtení „Jaké certifikáty OpenSSL musíme odvolat?“
Závažná bezpečnostní chyba v OpenSSL
Postižené jsou verze OpenSSL 1.0.1 až po verzi 1.0.1f a 1.0.2beta. Bezpečnostní incident teoreticky umožňuje získání privátních klíčů při použití certifikátů užívaných na systémech se zranitelnými verzemi OpenSSL.
Bezpečnostní chybou je zasažen mimo jiné i RHEL 6 (samozřejmě i CentOS 6). Měl jsem díky tomu poměrně rušný den.
Kontrolní skript na operaci Windigo verze 1.0.2
Připravil jsem pro vás novou verzi skriptu pro kontrolu napadení serveru operací Windigo.
Jeho způsob použití se nezměnil od verze 1.0.1. Je popsán v článku Kontrolní skript na operaci Windigo.
Byla vylepšena zejména kontrola knihoven libkeyutils. Dále byly přidány nové signatury napadených verzí webového serveru komponentou Linux/Cdorked. Změny v testování Parl/Calfbor a Linux/Onimiki jsou pouze kosmetické.
Pokračovat ve čtení „Kontrolní skript na operaci Windigo verze 1.0.2“