Hackeři opět útočí na ASUS počítače a instalují malware přes aktualizační software.

Hackeři opět útočí na ASUS počítače a instalují malware přes aktualizační software. Tentokrát to ale vypadá na využití MITM postavené na tom, že ASUS používá nešifrovanou komunikaci a neověřuje co vlastně do počítače dorazilo. Stejně tak ale může jít o kompromitaci ASUS WebStorage serverů. Viz Hackers abuse ASUS cloud service to install backdoor on users’ PCs a ASUS WebStorage Security Incident Update

2019-05-16 18_41_49-ASUS WebStorage Blog – Store everything, Share anything.png

Reklamy

Firefox 65 a některé antivirové programy se nesnesou.

Firefox 65 a některé antivirové programy se nesnesou. Výsledkem je, že uživatele nepustí na web u kterých pak Firefox tvrdí, že tam je špatný certifikát. Celé se to vrací k tomu, že antivirové programy pro kontrolu internetového připojení používají vlastně MITM útok. K tomu potřebují aby Firefox znal jejich „podvržený“ certifikát. Na což se poněkud zapomnělo. Viz Mozilla Halts Firefox 65 Rollout Due to Insecure Certificate Errors

your-connection-is-not-secure.jpg

Za adware na noteboocích zaplatí Lenovo 3.5 milionu dolarů americké FTC

Za adware na noteboocích zaplatí Lenovo 3.5 milionu dolarů americké FTC. Viz Lenovo settles with FTC, will pay $3.5 million for preinstalling adware on laptops a Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj kde najdete o co (v roce 2015) šlo. A ano, pokud si vzpomenete na Superfish, tak to je přesně ono.

lenovo_logo.png

Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů

Špatné implementace OAuth 2.0 rizikem pro miliony uživatelů mobilních aplikací. Právě tam jsou totiž k nalezení mizerné implementované OAuth 2.0 řešení využívaná k přihlašování s pomocí Facebook, Google či Sina Weibo. Útočník přitom nepotřebuje přístup do telefonu oběti, stačí využít Man-in-the-middle. Viz OAUTH 2.0 HACK EXPOSES 1 BILLION MOBILE APPS TO ACCOUNT HIJACKING a Signing into One Billion Mobile App Accounts Effortlessly with OAuth2.0 (PDF)

2016-11-17 13_11_06-eu-16-Yang-Signing-Into-Billion-Mobile-Apps-Effortlessly-With-OAuth20-wp.pdf.png

The sad state of Linux download security je poučné čtení

The sad state of Linux download security je poučné čtení hlavně v tom, že opět zjistíte staré známe, lidé co netuší absolutně nic mívají ten nejpevnější názor a také záhadnou snahu urážet lidi, kteří vědí o čem mluví. Ale jinak je to hlavně užitečný přehled o tom, jak se jednotlivé distribuce Linuxu chovají k zásadním požadavkům na bezpečnost při stažení jejich distribuce.

2016-07-23 09_18_09-The sad state of Linux download security.png

Thajsko se chystá uplatnit MITM na veškerý tamní internetový provoz.

Thajsko se chystá uplatnit MITM na veškerý tamní internetový provoz. Tedy alespoň to plyne z Internet laws a time-bomb a nutno podotknout, že něco takového je technicky možné a je to také nejzásadnější narušení bezpečnosti, soukromí a vůbec všeho. Ale zase to bude dobrá inspirace pro Andreje Babiše, až bude za pár měsíců chtít ještě zpřísnit cenzuru, tak bude moci říkat, že „V Bangkoku jsem to viděl, jak jim to funguje„. Součástí opatření je i snaha svést veškerou komunikace ze země ven a do země skrz jednu jedinou cestu. Děsivé. Obrázek z Extended Validation Certificates: Warning Against MITM Attacks

MITM-attack-diagram-2.jpg