St4nd3l blog

Podivné zápisky
Příspěvky z kategorie security

DNSSEC podepisování domén snadno s BIND inline signing

2020-08-27

Technologie DNSSEC je tady s námi už nějakou řádku let. Jak snadno ji lze uvést v život na Vašem DNS serveru si ukážeme níže. Jelikož CZ.NIC umi automaticky vytvářet key sety podle záznamu CDNSKEY. Stačí jen vygenerovat klíče a přiřadit je k doménam. Vše ostatní se již stane automaticky.

Číst dál »

VENOM - velky průser ve virtualizaci

2015-05-15

VENOM je název nové chyby nalezené ve virtualizačních platformách XEN, KVM a QUEMU. Jde o možnost uniku z hostovaného OS na hostitele. Zde se pak samozřejmě hrozí ovládnutí ostatních VM strojů. I když už Redhat vydal záplaty pro KVM je tato chyba velice nepříjemná. Bohužel to i vypadá, že do budoucna se nám může objevit obdobná chyba na jiném kusu virtuálního HW než na řadiči disketové mechaniky.

Superfish aneb super blbost

2015-02-22

Výrobci HW většinou do předinstalovaných windows naplácají spoustu bloodware. Ale, to co předvedlo Lenovo s aplikací Superfish asi nemá obdoby. Vytvořit CA pro podvrhování certifikátu a její instalací na stanice ještě pochopím u nějakých velkých korporací ve své síti. Kdy se toto řešení využívá pro DLP aplikace (prostě šmírují SSL spojení). Ale jako základní instalace na stanice zákazníku jen proto aby se mohly do HTTPS stránek vkládat reklamy. A ještě mít jednotný klič k CA to už je šílenost. Takže pokud máte Superfish na svém stroji zde je návod na odinstalaci.

Použití SmartCard

2012-02-15

Pokud používáte pro přihlašováni/podpisování nějaký certifikát nebo klič. Jistě Vás již napadlo že je to vlastně jen soubor chráněny heslem a že tedy může byt klidně odcizen a zneužit. A když například ztratíte notebook s takovým souborem nemůžete si byt jisti že se nedostal někam kam neměl. V horši variantě muže byt počítač napaden a útočník má jak Váš certfikat tak heslo k němu. A že by bylo tedy fajn oddělit tyto citlivé přihlašovací od počítače a nosit je sebou nebo je mít zamknuté třeba v šuplíku. A přesně tuto možnost nám dávají eTokeny nebo SmartCard. Do těchto zařízení lze nahrát certifikát. V zařízeni je pak chráněn tento certifikát PINem. A co je hlavní certifikát (tedy jeho privátní část) již ze zařízení nedostanete. A crypto operace (podpisování, přihlašování) se provádí přímo v tokenu.

Číst dál »