Podle nových informací od Edwarda Snowdena infikoval malware vytvořený americkou službou NSA po celém světě více než 50000 počítačových sítí. Mezi městy, kde se tento malware vyskytoval, je zmíněna i Praha.
Zjistilo se, že chytré televize LG posílají „domů“ (na servery LG) seznam programů, na které se divák koukal, a názvy souborů z externích médií. Toto se děje, i když se sbírání dat vypne v menu. Odesílaná data nejsou nijak šifrovaná.
Mobilní telefon Motorola Droid X2 posílá domů (Motorole) různé zajímavé informace - hesla k Facebooku a Twitteru, data o přátelích, e-mailové adresy, nahrávané fotografie a další.
Minulý týden jsme vás informovali o backdooru v routerech D-Link a v sobotu o backdooru v routerech Tenda. Dnes vás informujeme o backdooru v routerech TP-Link. Útočník pošle HTTP požadavek, router se připojí na jeho počítač, stáhne si přes TFTP soubor a spustí ho jako root.
Nedávno jsme informovali o backdooru v routerech D-Link. Nyní byl objeven backdoor v routerech Tenda. Na UDP portu 7329 v LAN/WLAN je po zaslání magic sekvence "w302r_mfg\0" dostupný rootshell.
Když si nastavíte user agenta na "xmlset_roodkcableoj28840ybtide" (čteno pozpátku "edit by 04882 joel backdoor") a vlezete na webovou administraci některých SOHO routerů D-Link, zjistíte, že se nemusíte přihlašovat. Ve firmwaru, který D-Link musí podle GPL zveřejnit, někdo dokonce našel konfigurační volby BACKDOOR_SIGNATURE a XMLSET_BACKDOOR_USER_AGENT (nastavenou na zmíněný useragent).
Snowden leaknul a Bruce Schneier komentuje: NSA nutí výrobce softwaru přidávat backdoory, které lze potom vysvětlit jako chyba (1, 2, 3… netvrdím, že jde o konkrétní případy podstrčeného backdooru, jen pro ilustraci) a taky
V rámci „boje proti terorismu“ pokračuje EU v omezování svobod místních obyvatel. V únoru se Evropská komise chystá představit konkrétní návrhy – jde mj. o předplacené SIM a platební karty. Podle českého ministra financí Andreje Babiše prý „Česká republika podobná opatření podporuje“.
Bylo objeveno, že SSH server ve firewallech se systémem FortiOS obsahoval v letech 2012-2014 hardcodované heslo. Chyba byla před rokem a půl tiše opravena, ovšem protože na opravu nebylo upozorněno jako na bezpečnostní, spousta lidí neaktualizovala.
Bylo zjištěno, že firewally/VPN koncentrátory s Juniper ScreenOS obsahují dva backdoory: tajné SSH heslo "<<< %s(un='%s') = %u" (aby se to při auditu ztratilo mezi formátovacími řetězci pro printf) a PRNG session klíčů, který prozrazuje svůj seed. První umožňuje přihlášení roota, druhé pasivní odposlech.
V Británii začne platit nový autorský zákon, píše BoingBoing. Nově se týká i „designer objects“. Nebude tak možné například bez povolení publikovat fotografie nábytku.
Notebooky Dell mají ve Windows předinstalovanou certifikační autoritu eDellRoot umožňující podepisovat libovolné certifikáty. Zjistilo se, že z počítačů lze extrahovat privátní klíč k tomuto certifikátu, který je na všech strojích stejný. Totéž dělalo dříve Lenovo, u něj navíc BIOS detekoval reinstalaci Windows a software nahrál zpátky. Ars.
Ministři vnitra a spravedlnosti zemí EU v pátek vyzvali Evropskou komisi k většímu omezení nebankovních plateb, jako jsou „virtuální“ měny (krypto-měny typu Bitcoin), zlato a další vzácné kovy a předplacené karty.
Záminkou omezení svobod a větších zásahů do soukromí je tentokrát terorismus.
Kdo ale od teroristů kupuje (nevirtuální) ropu a dodává jim (nevirtuální) zbraně?
Pátý dodatek americké ústavy zaručuje právo nevypovídat (proti sobě a svým blízkým). Spory se vedou o tom, zda se toto právo týká i nevydání hesel nebo neodšifrování dat (Nejvyšší soud v USA o tom zatím nerozhodoval).
Pensylvánský soudce Mark Kearney v jednom aktuálním případu rozhodl, že právo nevypovídat takto uplatnit lze (šlo o dešifrování dat v telefonech obviněných).
Jakkoli tato zpráva může vyznívat pozitivně, právo nevypovídat se v USA netýká obchodních záznamů (obviněné zachránilo tedy jen to, že soudce považoval data v telefonech za jejich osobní).
