Vyberte stránku
Výpadek Google v Česku a na Slovensku

Výpadek Google v Česku a na Slovensku

“Komplikace, které včera postihly některé naše služby na území České a Slovenské republiky, trvaly přibližně dvě hodiny, zhruba od 19:30. Kolem čtvrt na deset naši inženýři problémy, které vznikly v důsledku údržby části sítě, úspěšně odstranili a naše služby jsou opět plně funkční. Omlouváme se všem za vzniklé potíže.”#zdroj

Na Darknetu v privátním darkroomu se píše o tom, že útok byl veden na celkem 3 bezpečnostní zero-day chyby v síťových prvcích CISCO, využití ARP cache zranitelnosti sítě Level3 na hardwarových prvcích staršího data. Severovýchod USA, backbone na Frankfurt, bývalá infrastruktura KPNQwest. Nejvíce výpadek postihl ČR a Slovensko, v USA potom Maryland a New York. Společným jmenovatelem jsou starší CISCO směrovače původního KPNQwest. A těch je v ČR a na SK požehnaně. Nejvíce to odnesly DNS brány Google, které jedou na L3.

Technický ředitel národního propojovacího uzlu NIX.CZ Adam Golecký řekl, že hackerský útok je velmi nepravděpodobný. K tomuto názoru se přikláním i já. Už jen proto, že se k danému útoku přihlásilo hned několik hackerských skupin v čele s #phantomsquad, kteří své vyjádření pod náporem výsměchu uživatelů smazali (tak jak to mají ve zvyku). Klasickým DDOS útokem by mělo být nemožné zatížit tak velké servery až na úroveň kolapsu.

“S potěšením potvrzujeme, že komplikace byly vyřešeny. Příčina byla technického rázu, její detaily nyní prošetřujeme.” #zdroj

Web pěkně zdegeneroval a stal se docela silně závislým na jednom hráči. Je to smutné. Naprosto vzdálené původním myšlenkám svobodné sítě. 🙁

Nefunkční captcha od Google  znemožnila odesílání formulářů na webech české státní správy a přístup k údajům z EET.

V důsledku výpadku nefungovala ani služba @cloudflare, která tím vyblokovala přístup k hromadě důležitých webů, které využívají jejích služeb právě kvůli ochraně proti takovýmto útokům.

Velmi pomalu se načítali i ostatní, méně důležité weby. Hlavně proto, že využívají Google fonty či načítají hromadu informací o uživatelích do Google Analytics.
Děje se tak proto, že stránka se bude snažit natáhnout jejich JavaScripty (fonty, apod.), a do timeoutu pokusu o jejich načtení se nemusí celá správně načíst a indikovat kódu, že je připravena.
Tento problém by vůbec nenastal, kdyby dané weby tento vzdálený obsah cachovali, ale tím by přišli o určitou část sběru informací o uživatelích.

Krásně se projevilo také to, jak někteří naši ISP kradou DNS dotazy tím, že mají nastavené přesměrování všeho na portu 53 z vnitřní sítě na Google DNS, což se ukázalo při výpadku DNS resolveru. Absolutně nechápu jak může komerční firma použít veřejné DNS servery – šmírování je přednější než svoboda uživatelů.

I ten kdo si uměl sjednat nápravu volbou odlišného DNS byl bez šance, protože resolver ISP dotazy forwardoval právě na Google.

Protože se výpadek týkal prý výhradně evropského regionu, pomoci mohlo třeba přemostění spojení skrze VPN, ale tu nám v rámci plánované cenzury internetu (kvůli zákonu o hazardu z dílny ministerstva financí) také brzy zakážou.

Uživatelům tedy nezbylo nic jiného než zkusit si “vyseznamovat” co se vlastně stalo. Seznam ale tak velký a hlavně nečekaný nárust popularity jednoduše neustál.

Ten kdo měl napevno nastavené Google DNS nefungoval vůbec, ten kdo měl DNS od dobrého ISP fungoval bez google služeb, ten kdo měl velkého poskytovatele internetu (T-Mobile, O2 i UPC opravili chybu v routingu ručně) po chvíli také fungoval, a ten kdo navíc jako primární email a vyhledávač používá něco jiného než Seznam a Google (např. duckduckgo.com) + má prohlížeč vybaven blokovačem reklam (aby odfiltroval Google AdSense) problém ani nezaznamenal.

Je pravda, že k YouTube jste se nedostali až do cca desáté hodiny, telefony s androidem hlásily problém s Google Play Services (vykřičník u wifi signálu) a můj Chromecast byl úplně mrtvý… to ale nejsou služby životně důležité. 🙂

Šifrování

Šifrování

Po nedávných útocích se znovu roztočila diskuze okolo šifrování. Na jednu stranu chápu, že by se proti zločinu mělo využít pokud možno všech dostupných prostředků, na druhou stranu, ale odmítám odesílat úřadům stále více a více informací o mně a mém chování nejenom v rámci internetu.

Nikdy mi nevadilo to, že online služby shromažďují za účelem bezpečnosti nezbytné informace (ať mají o mně v CIA třeba celý šanon informací a čtou si ho večer před spaním), protože já nemám co skrývat. Otázkou ale zůstává, co naše bezpečnost. Já vždy dbal na to, aby o mně byly dostupné pouze ty informace, které vědomě zveřejním a k mým citlivým datům se v tom nejhorším možném případě dostaly maximálně tajné služby, nikoliv však “Franta od vedle”.

Téma šifrování v souvislosti se sporem Apple vs. FBI nakousl i John Oliver ve své show Last Week Tonight. Toto video doporučuji pustit pro lepší uvedení do problematiky.

S českými titulky jej naleznete zde.

Ve videu zmínil jednu podstatnou informaci a to je ta, že pokud někomu na vlastním soukromí záleží, tak si cestu k vyššímu zabezpečení vždy najde např. použitím specializovaných aplikací a služeb. Některé z těchto služeb a aplikací bych vám chtěl v rychlosti představit.

Email

Klasický email jakožto službu můžete zabezpečit např. a to především použitím dvoufázového ověření a silného hesla. Tím ale službu zabezpečíte před vnikem útočníka (nebo před sebou samotným). Pokud chcete mít jistotu, že email nepůjde odposlechnout během komunikace nebo samotným provozovatelem služby, tak byste se měli poohlédnout po službách nabízejících end-to-end šifrování, které způsobí to, že ani samotný provozovatel neuvidí co má na svých serverech uloženo. Zde je situace jednoduchá, protože z emailu pošlete zprávu komukoliv a kdokoliv může kontaktovat vás, proto bych doporučil dvě nejznámější služby Tutanota (Německo) a ProtonMail (Švýcarsko). Není mezi nimi mnoho rozdílů. Obě nabízí klasický webmail i mobilní aplikace.
/pozn. Tutanota je téměř kompletně lokalizovaná do češtiny.

Chat a IM komunikace

Zde platí více méně to samé jako u emailu, ale situace je o poznání složitější, protože potřebujete komunikovat skrze stejnou službu jako váš protějšek. Většina služeb staví na základech protokolu Jabber/XMPP což byl v minulosti první velmi populární protokol, masivně využívaný ke komunikaci (pamatujeme ICQ?). Nejenom, že lze v případě čistého Jabberu vynutit šifrování, ale díky decentralizaci serverů může být služba i naprosto anonymní. Jenže ji dnes již skoro nikdo nepoužívá ve své čisté formě a vznikají specializované uzavřené protokoly. Např. Google Jabber přetransformoval do podoby Hangouts. Proto se podíváme na ty modernější služby.

Nejrozšířenější a dle mého názoru nejvíce uživatelsky přívětivá služba je WhatsApp, ta sice již od roku 2014 patří Facebooku, který za ni zaplatil 16 miliard dolarů, ale na rozdíl od FB Messangeru využívá šifrování. Kvůli tomu, že se do služby nemohla dostat ani policie byl dokonce v Brazílii zatčen jeden z vysokých managerů Facebooku.

V Brazílii si tak hledí svého soukromí, že když postihl službu WhatsApp masivní výpadek, tak se dostala do popředí další služba, na kterou bych chtěl upozornit a tou je Telegram. Tato služba stejně jako WA využívá jako unikátní identifikátor tel. číslo a přenos i obsah je šifrovaný.

Cloudové (internetové) úložiště

Pokud potřebujete poslat fotku či písničku, dá se k tomu využít emailu či IM komunikátoru i v rámci výše zmíněných služeb. Když však potřebujete poslat či uskladnit objemnější soubor pro jednu nebo více osob, tak byste se měli poohlédnout po nějakém úložišti.

V roce 2012 po fiasku s megauploadem (obdoba našeho ulož.to) spouští Kim Dotcom z Nového Zélandu úložiště Mega. Toto úložiště je šifrované nejenom proto, aby ochránilo vaše soubory, ale hlavně proto, aby provozovatelé služby nevěděli co za obsah se na jejich serverech nachází a tím se vyvázali z případné odpovědnosti za porušování autorských práv.

Samozřejmě i zde je z čeho vybírat, ale ostatní služby jsou (hlavně z důvodu kontroverze Mega) zaměřeny spíše na zálohování a z velké části jsou to služby placené. Jedna z nejpopulárnějších je SpiderOak.

Soubory a složky

Jedno ze základních pravidel bezpečnosti říká, že pokud nechcete, aby se něco dostalo do nesprávných rukou, tak to nikam neposílejte. Pro případy lokálního uskladnění je tu dnes již legendární program TrueCrypt, který umožňuje vytvořit virtuální logickou diskovou jednotku uvnitř souboru a připojit ji jako reálný disk. Dále lze zašifrovat část HDD, FDD, USB paměť atd. Tento program vyvíjel neznámý programátor, který jeho vývoj z neznámých důvodů 28. května 2014 ukončil. Spekuluje se o tom, že se program taktéž nelíbil vládním složkám. Jeho nástupcem je VeraCrypt, který by měl opravovat jeho chyby a disponovat stejnou mírou zabezpečení (které je mimochodem jedno z nejvyšších, kterého lze v daných podmínkách dosáhnout).

Celé lokální úložiště vč. systému

To, že iPhone disponuje šifrováním již víme. Některé z vás to možná překvapí, ale i váš telefon s Androidem disponuje šifrováním. Naleznete ho v “Nastavení – Zabezpečení – Šifrování úložiště” (možnosti se liší v závislosti na konkrétním modelu a verzi androidu). Toto nastavení způsobí zašifrování souborů a složek uložených v telefonu či na paměťové kartě. Bohužel krutou daní za tuto formu zabezpečení je rychlost odezvy zařízení a výdrž baterie při aktivním používání.

U přenosných počítačů si šifrování řeší každý výrobce sám a po svém. Avšak těmito službami vybavuje zpravidla pouze dražší businessové notebooky. Např. u výrobce HP se služba jmenuje Protect Tools a nachází se v sériích ProBook, EliteBook, ZBook.

U stolních počítačů lze využít opět programů True/VeraCrypt, které umí šifrovat celý disk vč. operačního systému. A na závěr musím zmínit, že i samotný Windows se umí zašifrovat.

Ostatní

Pravdou je, že v dnešní době se dá již zaheslovat popř. zašifrovat úplně všechno. Od hovorů až po kompletní zařízení. Je vhodné vybírat si služby bezpečné, ale je naprostá hloupost používat kombinaci všech dostupných prostředků. (např. nástroj Protect Tools vždy vypínám – umí udělat více škody než užitku). Největším bezpečnostním opatřením je ale stále zdravý selský rozum.

 

A tím se opět dostáváme na začátek k diskuzi jestli šifrovat či nikoliv. Je to obousečná zbraň, která na jednu stranu chrání naše soukromí a na druhou stranu může být zneužita k nekalostem. Já osobně v této otázce zaujímám neutrální postoj. Jsem pro to, aby byl co možná nejefektivněji vystopovatelný útočník, dealer či násilník, ale odmítám obrazně řečeno chodit nahý, jen proto abych dokázal, že nejsem ozbrojen.

Avast FREE Anti-Virus

Avast FREE Anti-Virus

Avast Anti-Virus je velmi populární řešení anti-viru zdarma od české společnosti. Pokud chce někdo ode mě doporučení na dobré anti-virové řešení v češtině a zdarma, tak ho taktéž doporučuji. Má to však několik zádrhelů, které se budu snažit postupně vysvětlit.

Jako základní anti-virové řešení se hodí pro jednotlivce a domácnosti. Pokud jste podnik s více stanicemi, serverem a komplikovanější síťovou infrastrukturou, tak bych doporučil spíše placené řešení, ale nikoliv od Avastu (např. ESET).

Nespornou výhodou tohoto řešení je nejenom to, že je zdarma. Avast podporuje všechny operační systémy od Windows XP s nainstalovaným posledním Service Packem a je kompletně v češtině.

 

Pokud instalujete Avast měli by jste si dát pozor hned na několik věcí:

  1. Pokud instalujete Avast, ujistěte se, že na vašem počítači není již nainstalován jiný antivirus. Pokud ano, tak jej odinstalujte!
  2. Neinstalujte nic navíc.
    Při prvním spuštění instalátoru FREE verze vám Avast nabídne (v dolní části okna) volitelnou instalaci Google Chrome, DropBoxu či Google Toolbaru.
    Tyto volby zrušte, protože tyto programy nechcete nebo už je máte.
  3. Neinstalujte nástroje, které nebudete využívat
    V instalátoru nedávejte “Nainstalovat”, ale “Přizpůsobit“. A ponechte pouze první 3 součásti systému. Zbytek jsou pouze doplňkové nástroje, které ve většině případů nefungují vůbec dobře nebo mají lepší alternativy.
    avastPokud již máte nainstalováno (nebo jste jen omylem klikli na “Nainstalovat”), tak tuto úpravu provedete skrze – Start – Ovládací panely – Programy a funkce – Avast Free Antivirus – (odinstalovat) – Změnit.
  4. Po instalaci či změně vždy proveďte restart počítače.

Po instalaci by jste měli věnovat chvilku prvotnímu nastavení:

  1. Klikněte v horní části okna na “Registrovat” a vyplňte libovolnou emailovou adresu. Tímto si zajistíte licenci FREE antiviru na 1. rok zdarma.
  2. Přejděte do Nastavení (ozubené kolo vpravo nahoře) – zde zapněte Tichý/herní režim (aby vás Avast neobtěžoval reklamami) a vypněte funkci vkládání podpisu do emailů (protože je to pouze reklama).
    nastavení

Řešení problémů:

Nyní máte správně nainstalováno i nastaveno, ale dodatečně by vás mohlo potkat několik problémů – některé z nich se pokusím vyřešit:

  1. Nejde nahrávat soubory na internet (Google Play Music chyba 16)
    Je způsobeno scanováním protokolu HTTPS, které provádí webový štít. Tato funkce se dá vypnout skrze Nastavení – Aktivní ochrana – Webový štít (upravit) – zrušit zaškrtnutí u “Povolit testování HTTPS”
  2. Problémy s Windows 10 (mizející ikony a nefunkční nabídka start/zvuk) popř. nefunkční VirtualBox.
    Řešením je přejít do Nastavení – Řešení problémů – zrušit zaškrtnutí u”Povolit hardwarovou virtualizaci”
  3. A neměl bych zapomenout, že hromadu jiných problémů řeší pravidelná aktualizace. Kterou ručně vyvoláte skrze
    Neastavení – Aktualizace – sekce Program – Aktualizovat.

Důležité upozornění:

Za žádných okolností nepoužívejte “bezpečný prohlížeč” SafeZone od Avastu, protože se jedná pouze o upravené Chromium (fork Chrome), které má několik závažných bezpečnostních děr.

Po aktualizaci na nejnovější verzi (2015) Avast FREE automaticky doinstaluje prohlížeč SafeZone a komponentu Hesla, takže Ovládací panely – Programy a Funkce a Změnit.
Odstranit obě výše zmíněné komponenty, protože hlavně prohlížeč SafeZone trpí neustálými problémy.

Pokud máte nějaké další dotazy či problémy, napište mi o nich do komentářů.

Cenu Big Brother Awards získává: panenka Barbie

Cenu Big Brother Awards získává: panenka Barbie

Věděli jste, že po celém světě nikde jinde společnost Mattel neměla takové problémy s kopírováním její slavné hračky, jako v Česku? Rozjela tedy masivní marketingovou kampaň, která trvá již desítky let a známe ji všichni. Zní “Barbie, ta pravá pouze od Matttela” a je vysílána pouze v česku! 😀

Česká republika má téměř 60-ti letou babičku celým jménem Barbie Millicent Robertsovou prostě velmi ráda a proto ji (k mému velkému překvapení) tento rok ocenila prestižní českou cenou Big Brother Award. Tuto cenu každý rok vyhlašuje nezisková organizace iure, zabývající se ochranou lidských práv.

Barbie, která má mimo jiné přes bilion párů bot, 21 psů, 12 koní, tři poníky, šest koček, papouška, šimpanze, pandu, lvíčka, žirafu, zebru, pět mladších sester a mladšího přítele Kena (50 let)… má doma nyní i cenu za největšího slídila roku 2015.

Toto ocenění si vysloužila její nejnovější interaktivní verze, která si umí s dětmi povídat. Být to na mě, tak jí tuhle cenu napařím už v roce 1992, když Barbie kandidovala na post prezidentky USA (podruhé se o to pokusila její další verze ještě v roce 2000).

Problém je v tom, že prostřednictvím interaktivní verze, která se nazývá Hello Barbie získává společnost Mattel hlasové záznamy vašich ratolestí (tedy dětských uživatelů), které pomocí internetového přenosu centrálně analyzuje.  Cílem má být dle Mattela vedení konverzace mezi panenkou a dítětem.

Vedle toho, že jsou záznamy analyzovány je třeba upozornit na vágní bezpečnostní politiku, která umožňuje záznamy použít k dalším (např. marketingovým) účelům a na zranitelnost firmwaru panenky, která může taktéž nahrávat různým způsobům zneužití. V tom nejhorším případě ovládnutí hlasového projevu panenky třetí osobou, která chce dítě zneužít nebo jinak manipulovat.

Vzhledem k tomu, že každou sekundu se na světě prodají 3 panenky Barbie, tak se jedná skutečně o jednu z těch větších globálních špionáží.  Hallo hackable Barbie 

Zranitelnost rom-0 na vlastní kůži

Zranitelnost rom-0 na vlastní kůži

Určitě jste na internetu zachytili zprávu o tom, že až 1,5 milionu routerů v českých domácnostech trpí kritickou závadou rom-0, která umožňuje útočníkovi bez zadání hesla stáhnout kompletní konfigurační soubor vašeho routeru včetně přístupových údajů a hesel. Jeden z těchto kousků se mi právě dostal do ruky!

(Pokračování textu…)