pondělí 30. září 2013

Webové stránky jordánského předsedy vlády pozměněny hacktivisty z Anonymous

Hacktivisté z řad Anonymous se nabourali do oficiálních internetových stránek jordánského ministerského předsedy na protest proti zvyšování daní a cen.
Crackeři zanechali na webu vzkaz v arabštině, ve kterém se ironicky omlouvají za útok na stránky a přesvědčují předsedu vlády o tom, že naštvání z tohoto útoku není nic proti tomu, do jakých potíží se zvyšováním cen dostává místní obyvatelstvo.
Stránka byla nedostupná po několik hodin a podle oficiálních vyjádření byli útočníci vystopováni.

úterý 17. září 2013

Příliš dlouhá hesla mohou způsobit DoS

Nově objevená zranitelnost v populárním webovém frameworku Django poukazuje na to, že používání příliš dlouhých hesel nemusí být vždy tou nejlepší volbou. Jak vysvětluje webový vývojář James Bennett, Django používá pro hashování hesel algoritmus PBKDF2, který sice velice znesnadňuje uhádnutí hesla brute-force technikou, ale může také způsobit DoS. Při použití tohoto algoritmu totiž zabere porovnání hesla o velikosti 1 megabyte s hashem přibližně minutu, a tudíž je jasné, co opakované zasílání takovéhoto řetězce může způsobit. Všem uživatelům používajícím framework Django je doporučeno upgradovat na nejnovější verze.

Hashování hesel pomocí PHP 5.5 Password Hashing API

Tento článek je překladem originálu "Hashing Passwords with the PHP 5.5 Password Hashing API" od Sandeepa Pandy, který vyšel na webu www.sitepoint.com.
V současné době je používání bcryptu nejpřijatelnější způsob pro hashování hesel, ale velké množství vývojářů stále používá starší a slabší algoritmy jako MD5 nebo SHA1. Někteří vývojáři dokonce stále při hashování nepoužívají salt. Nové Hashing API v PHP 5.5 si klade za cíl upozornit na bcrypt a přitom příliš neukazovat jeho složitosti. V tomto článku se pokusím pokrýt základy používání nového hashovací API v PHP.
Nové Password Hashing API představuje čtyři jednoduché funkce:

čtvrtek 12. září 2013

PhoneBloks - poskládejte si smartphone sami

Holandský designér Dave Hakkens před nedávnem vypustil do světa projekt, lépe řečeno jen návrh projektu, který by měl vyřešit problém vlastně permanentní zastaralosti chytrých telefonů a také problém hromadění obrovského množství elektroodpadu. Celý telefon by měl být poskládaný z různých bloků, které by se daly vyměňovat a tím by se upgradovaly nebo upravovaly funkce zařízení podle potřeby. Rozbité součástky by se tedy daly velice jednoduše vyměnit a ty staré nebo nepotřebné bychom díky kompatibilitě všech zařízení mohli prodat nebo někomu věnovat. Více v propagačním videu nebo na webových stránkách projektu.

Sdružení CZ.NIC představilo projekt Turris. Chtějí nás opravdu jen chránit?

Sdružení CZ.NIC, správce české národní domény, dnes oficiálně představilo projekt Turris. Turris, dříve známý jako CZ.NIC router, je služba, která pomáhá uživatelům s ochranou domácí sítě. Vše funguje na jednoduchém principu, totiž uživatel si zakoupí router, ten bude hlídat síťový provoz a při zjištění podezřelých toků upozorní centrální servery. Ty data prozkoumají a vyhodnotí. Pokud systém rozhodne, že se jedná o útok na síť nebo nebezpečný provoz, začne do sítě routerů distribuovat záplaty.
https://www.turris.cz/static/img/infographics.png
Zdroj: http://turris.cz
Na stránkách projektu se lze dočíst, že název projektu je odvozen od latinského označení pro věž. Už toto přirovnání nahání hrůzu. Pokud je mi známo, tak věže sloužili nejen k ochraně před nepřáteli zvenčí, ale také měli kontrolovat lidi uvnitř. A to je právě kamenem úrazu celého projektu. Autoři se sice na svém webu zaříkají, že určitě žádná citlivá data shromažďovat nebudou a že veškeré sebrané informace budou spojena pouze s konkrétním zařízením a nikoliv s uživatelem, ale komu a čemu může dnes člověk opravdu věřit? Zvláště v kontextu s nedávnými kauzami okolo NSA a dalších tajných služeb. Co když někdy v budoucnu přijde nařízení shora?
Bohužel se nejedná o jedinou výtku, kterou může k projektu člověk mít. Pokud by se chtěl někdo do projektu zapojit, obsahují podmínky také klausuli o nezasahování do provozovaného sběru dat. Router, jak už z povahy zařízení vyplývá, bude též umět filtrovat provoz a routovací tabulka bude lehce upravitelná nějakým centralizovaným mozkem.
Ke cti autorům slouží to, že v softwarové části routeru vycházejí z OpenWRT a chystají se do projektu také přispívat a že všechny softwarové a hardwarové části budou volně dostupné pod svobodnou licencí.

úterý 10. září 2013

FBI označila Syrian Electronic Army za teroristickou organizaci

Americká FBI označila Syrian Electronic Army za teroristickou organizaci. Podle oficiálního prohlášení bylo důvodem to, že "SEA byla v posledních několika měsících velice úspěšná v ohrožování rozličných mediálních gigantů". Federální úřad pro vyšetřování také vyzývá občany, aby se starali o svůj síťový provoz, přijali opatření k udržení bezpečnosti a v případě neobvyklého nebo nebezpečného provozu či chování sítě kontaktovali lokální pobočku FBI.
https://lh3.ggpht.com/-GV4o0RAICkc/Uh44dcIAkKI/AAAAAAAAXYQ/53o8uy0nMnw/s640/New+York+Times,+Twitter+and+Huffington+Post+Domains+hijacked+by+Syrian+Electronic+Army.jpg
Připomeňme si, že Syrian Electronic Army je prorežimní skupina jíž vyjádřil své sympatie i prezidenta Bashar al-Assad, když jí nazval "opravdovou armádou ve virtuálním světě". Mezi poslední oběti skupiny patří například webová stránka Amerického námořního sboru nebo Twitterový účet NYTimes.