Ukládat hesla a další důvěrné věci do Trello může být dost velký omyl.

Jak ukazuje How I used a simple Google query to mine passwords from dozens of public Trello boards tak existuje dostatek hlupáků, kteří do veřejně přístupných nástěnek v Trello dávají věci, které tam rozhodně nepatří. Hesla k e-mailům, FTP, SSH, API klíče. A dokonce veřejné nástěnky, kde firmy udržují informace o nevyřešených bezpečnostních chybách v jejich produktech. Až začnete prověřovat zrovna to vaše Trello, tak pokračujte v Google Docs, Dropboxu, OneDrive a v zásadě v čemkoliv, co může být (nějak) zpřístupněno. Google vám v tom dost pomůže. PS: V Česku nezapomeňte na Ulož.to a jiné úschovny.

1_6PO4cITaemxEBISjKuRimg.png

Fortinet další společnosti s natvrdo zapsaným heslem pro přístup do zařízení.

Fortinet další společnosti s natvrdo zapsaným heslem pro přístup do zařízení. Byť teď říkají, že vše bylo napraveno v červenci 2014. Kolik zařízení zneužitelných je asi online? A proč se Fortiner brání tomu říkat backdoor? Viz Et tu, Fortinet? Hard-coded password raises new backdoor eavesdropping fears

fortios-exploit-code

Raspberry Pi generuje předvídatelné SSH klíče

Raspberry Pi generuje předvídatelné SSH klíče. Viz Raspberry Pi generates predictable SSH keys a Predictable SSH host keys kde se dočtete, že hardwarový generátor není povolen jako výchozí a po prvním startu dojde ke generování předvídatelných klíčů. A případné řešení je podle všeho v regenerate_ssh_host_keys doesn’t generate Ed25519 key. Pokud v generování „náhody“ v počítačích tápete, tak zkuste Jak se generují náhodná čísla?

Pi2ModB1GB_-comp