41 - Techniky a nástroje, kterými po Vás hackeři půjdou

41 - Techniky a nástroje, kterými po Vás hackeři půjdou

před 7 lety

31 min


V druhé části rozhovoru s Pavlem Luptákem z Hacktrophy jsem popustil uzdy fantazii a ptal se Pavla na věci, které mě zajímaly v souvislosti s bezpečností na internetu. Zajímalo mě třebas, jestli se v praxi využívají útoky postranními kanály procesoru (MeltDown, Spectre, TL Bleed). Probírali jsme i možné zranitelnosti Intel ME koprocesoru. Dozvěděl jsem se, že řešením řady zranitelností by mohla být tzv. kompartmentalizace na úrovni HW i SW. Od Pavla padla zajímavá myšlenka – paradoxně nejsložitější aplikací, kterou používají běžní uživatelé je webový prohlížeč. Proto tam bude vždy plno prostoru pro různé zranitelnosti. Položil jsem i svou oblíbenou otázku – zda dochází k nějakému výraznějšímu posunu v OWASP žebříčku zranitelností. Podle všeho je vidět určitý posun směrem k chytrým klientům – vyplácí se třebas útoky na HTML5 funkcionality typu local storage, zpracování videa či SVG obrázků. Zajímalo mě, jestli a jak hackeři přizpůsobují svoje útoky, podle jazyka, ve kterém je aplikace napsána. Což mi Pavel potvrdil – různé platformy mají odlišná slabá místa, kde se vyplatí útočit. Obecně se dá říct, že aplikace napsané v Javě či C# jsou bezpečnější než aplikace napsané v PHP. Je to sice zjednodušující tvrzení, ale statisticky podpořené. Za tímto tvrzením samozřejmě stojí především úroveň programátorů, kteří jazyk používají a v PHP píše celá řada nezkušených vývojářů a to se na statistice zkrátka projevit musí. Vyptával jsem se i na útoky spadající po oblast sociálního inženýrství. Nejsou součástí standardního, ale u Hacktropy je možné si takové útoky přiobjednat. Pavel s nimi má navíc jako člen skupiny Ztohoven dlouholeté zkušenosti. Třeba taková Morální reforma je ukázková aplikace takového sociálního inženýrství. Tento díl je tedy hlavně o věcech, které nosím v hlavě já. Pokud jste na stejné vlně, věřím, že vás tenhle díl bude bavit.

Přihlašte se k newsletteruLadíme české podcasty do dokonalosti. Buďte u toho s námi!
Odesláním souhlasíte, aby vám ČESKÉ PODCASTY zasílaly pravidelné e-mailové newslettery o novinkách. Tento souhlas udělujete na dobu neurčitou s tím, že jej můžete kdykoliv bezplatně odvolat prostřednictvím tlačítka v každém newsletteru.
O tom, jak s vašimi osobními údaji (tj. e-mailem) nakládáme, si můžete přečíst na stránce zásady ochrany osobních údajů.
© 2025 České Podcasty