Je zvláštní, že i v dnešní době je spousta drobných a středních podnikatelů přesvědčena, že v okamžiku, kdy si zaregistrují doménu a vytvoří webové stránky, na kterých budou propagovat své služby a produkty, tak se k nim zákazníci jen pohrnou. To však k úspěšné propagaci firmy, produktu nebo služby na internetu bohužel nestačí. Je tomu tak proto, že na internetu jsou milióny stránek a pokud má potenciální klient zavítat zrovna na tu vaši, musíte se od svých konkurentů nějak odlišit, a musíte mu vyjít doslova naproti. Klient se totiž na vaše stránky dostává v zásadě třemi různými způsoby, a my si je nyní popíšeme.

Ruční zadání adresy

Klient ručně zadá do prohlížeče adresu vašich stránek, o kterých se dozvěděl např. od svého známého (Word Of Mouth Marketing, zkr. WOMM) nebo narazil na vaši reklamu v klasickém médiu, jako jsou noviny, časopisy, rozhlas, televize, billboardy, které ani v dobách internetu rozhodně nelze podceňovat. Jedná se sice o nejnákladnější, ale přesto velice účinnou reklamu, protože dokáže zasáhnout velké množství populace, i ty, co se po internetu moc nepohybují. Vždy mějte na paměti, že ne každý tráví na internetu tolik času, takže v některých případech je tato klasická forma reklamy nenahraditelná.

Kliknutí na odkaz

Klient klikne na odkaz, který mu poslal nějaký jeho známý přes sociální síť nebo e-mail (ve své podstatě se opět jedná o WOMM). V okamžiku, kdy se odkaz na váš web začne tímto způsobem masivně šířit, říkáme, že se jedná o tzv. viral marketing. Někdy stačí velice málo k jeho spuštění, a často se jedná o velice spontánní reakci uživatelů internetu, ale většinou je nutné takové chování vyvolat. Pokud se vám to povede, jedná se o nejméně nákladnou reklamu, neboť odkaz na vaše stránky se pak v podstatě sám šíří v prostředí internetu.

Přes vyhledávač

Pokud klient použije vyhledávač jako je Google nebo Seznam, tak oproti předchozím dvěma případům adresu vašich stránek vůbec nezná, a zadává do vyhledávače určité slovo nebo slovní spojení, které z jeho pohledu nejlépe vystihuje to, co hledá. Vyhledávací nástroj pak zobrazí seznam stránek, které danému zadání nejvíce odpovídají. To, na jakém místě se bude nacházet odkaz na vaše stránky, závisí do značné míry na vás. Je zřejmé, že na odkazy, které se budou nacházet hned na začátku tohoto seznamu, zavítá uživatel internetu jako první.

Jak se dostat na první pozici

Poslední uvedený způsob, jakým se klient na vaše stránky dostává, je nejzajímavější, protože byť umístění na předních pozicích ve výsledcích vyhledávání vyžaduje největší úsilí, jedná se zpravidla o investici s největší návratností a dlouhodobým efektem. K umístění na předních pozicích ve výsledcích vyhledávání je nutné mít kvalitní, jedinečný a aktualizovaný web obsahující relevantní klíčová slova, a na který je odkazováno z dalších důvěryhodných webů. Umístit na web popis výrobku nebo služby dnes už prostě nestačí, protože jak jsme si již řekli v úvodu, těch stránek, které nabízí nebo píší o určitém produktu nebo službě, je spousta, takže je nutné, aby váš web byl pro robota, který všechny stránky na internetu indexuje, srozumitelný, tj. validní.

Jak fungují vyhledávače

Na tomto místě je nutné se zmínit o tom, jak fungují vyhledávače. Vzhledem k tomu, že nejpoužívanějšími vyhledávači u nás je Google a Seznam, budu dále mluvit jen o nich. Robot těchto společností tzv. Googlebot a Seznambot prochází, analyzuje a indexuje jednotlivé stránky a přiděluje jim určité skóre tzv. PageRank nebo Srank, podle počtu příchozích a odchozích odkazů. Ve své databázi pak má uloženo, co se na jakých stránkách nachází.

V okamžiku, kdy uživatel položí dotaz, tak se vyhledávač podívá do své DB a vrátí uživateli odpověď v podobě seznamu odkazů na stránky, které jsou seřazeny sestupně podle relevantnosti. Samotná pozice ve výsledcích vyhledávání (Search Engine Result Page, zkr. SERP) je výsledkem poměrně sofistikovaného neveřejného algoritmu, který kromě výše uvedeného skóre hodnotí i spoustu dalších faktorů, z nichž asi nejvýznamnější je originální obsah, správně použitá klíčová slova a počet a kvalita stránek, které na vás odkazují.

Čím vyššího hodnocení vaše stránka dosáhne, tím spíše se bude nacházet na prvním místě ve výsledcích vyhledávání a to v konečném důsledku znamená vyšší návštěvnost a větší šanci, že se z pouhého návštěvníka stane i váš klient. To, na jakém místě ve výsledcích vyhledávání se vaše stránka objeví, závisí na tzv. on-page a off-page faktorech, na které se blíže podíváme v dalších dílech tohoto seriálu. Ano, správně tušíte, budeme se zabývat tím, čemu se říká optimalizace stránek pro vyhledávače neboli SEO.

Podstatné ale je se nejen dostat na přední pozice ve výsledcích vyhledávání, ale také se tam požadovanou dobu udržet a toho není rozhodně možné dosáhnout nějakým jednorázovým zásahem SEO mága, nýbrž jedině soustavnou optimalizací. SEO se prostě někdo musí trvale věnovat, a nemůžete počítat s tím, že k vám přijde nějaký SEO expert, vy mu dáte pár tisíc, on provede pár změn na vašem webu a vy se rázem ocitnete ve výsledcích vyhledávání na první stránce. I když i to je možné, ovšem jen v jednom jediném případě, ale o tom opravdu až v některém z příštích dílů.

Related posts:

1. Google Android: má instalace antiviru smysl?

Tato aplikace se může pochlubit úžasným grafickým rozhraním plně využívající možností dotykového displeje. Aplikace po svém spuštění nejprve sama vyhledá složky s multimédii, a ty potom zobrazí v podobě několika na sebe naskládaných fotografií. Klepnutím na balíček fotografií se zobrazí jednotlivé fotky, mezi kterými lze přecházet pohybem prstu a pouhým dvojitým poklepáním přepínat mezi kompaktní a skutečnou velikostí.

Poznámka: Pokud byste nějakou složku chtěli ze zobrazování vyloučit, stačí, když do ní umístíte soubor s názvem „.nomedia“.

Díky funkci multitouch lze fotky také naprosto plynule zvětšovat. Delším stiskem lze fotku nebo složku označit a v menu vybrat položku „Smazat“ a tím ji odstranit. Aplikace dále umožňuje zobrazit podrobnosti o fotce, provést její ořez, otočení, nastavit ji jako tapetu nebo ji sdílet s ostatními uživateli. Pouhým dotykem lze vyvolat menu a volbou „Prezentace“ aplikace sama začne postupně zobrazovat všechny fotky, které se nacházejí v daném adresáři.

Kromě obrázků aplikace zobrazuje i náhledy videí, které je též možné přímo z aplikace přehrávat. Z galérie lze také přímo spustit aplikaci Camera a hned můžete začít fotit nebo natáčet video.

Pokud se tato aplikace na vašem smartphonu nenachází, můžete si stáhnout aplikaci Gallery ++ CM, která je zdarma, ale obsahuje reklamu. Pokud byste chtěli verzi bez reklamy, musíte zvolit placenou verzi + Gallery nebo Gallery Pro. Stejné funkce nabízela svého času i aplikace Gallery+, ale ta už bohužel není na marketu k dispozici.

Related posts:

1. Google Android: Samsung Galaxy 3 GT-I5800 s Froyo 2.2
2. Google Android: měníme vzhled a způsob ovládání
3. Google Android: vlastní zvuky pro příchozí hovory, SMS a upozornění

První, co vám mohu doporučit, prověřte si danou firmu a uvedené reference. Určitě kontaktujte osobu, která je v referencích uvedena a zeptejte se jí, jak byla s prací dané firmy spokojena, a co přesně bylo předmětem dodávky. Uvědomte si, že analýza rizik (risk analyses), prověrka konfigurace (configuration review) nebo skenování zranitelností (vulnerability scan) je něco jiného než penetrační testování nebo chcete-li ethical hacking.

Poznámka: Ethical hacker by měl být schopen dokázat přítomnost určitých zranitelností i ručně, tj. bez použití automatizovaných nástrojů. Tím nejenže prokazuje, že své práci skutečně rozumí, ale je tímto způsobem kolikrát i schopen objevit zranitelnosti, které automatizované nástroje nejsou schopny detekovat.

Mimochodem, co si dát do smlouvy s firmou, která pro vás vyvíjí nějakou webovou aplikaci, klauzuli, že v případě, že dodané dílo bude obsahovat některou ze známých zranitelností, tak daná společnost bude povinna nalezené zranitelnosti bezplatně a bezodkladně opravit a zaplatit navíc pokutu, jejíž výše bude přibližně odpovídat ceně za provedení penetračního testu dané aplikace. Tato klauzule ve smlouvě by mohla donutit firmy a jejich vývojáře, aby vyvíjeli kvalitně. Koneckonců mělo by to být v jejich zájmu, protože čím později bude chyba nalezena, tím bude její odstranění finančně náročnější.

Je samozřejmě otázka, k čemu by taková klauzule ve smlouvě v praxi vedla, zda by se třeba výše pokuty nepromítla do koncové ceny díla účtované zákazníkovi firmou vyvíjející danou webovou aplikaci. Ale nemuselo by tomu tak být, neboť jak jsme si již uvedli výše, čím dříve bude daná chyba odhalena, tím budou náklady na její odstranění nižší. A jestliže firma, která aplikaci vyvíjí, nevěří, že její kód bude prost chyb a bude obsahovat nějakou známou zranitelnost, může si nechat svou aplikaci penetračně otestovat ještě před tím, než ji předá svému zákazníkovi. Takovýto přístup by měl také něco do sebe.

Mohlo by to fungovat i tak, že firma by vám spolu s aplikací, kterou pro vás vyvinula, předala i výsledky penetračních testů, které pro ni provedla jiná společnost, a vy byste si případně mohli nechat danou aplikaci znovu otestovat, a jedno u koho. A podobnou klauzuli byste si mohli dát i do smlouvy s firmou, která pro vás bude penetrační testy provádět. Klauzule se může nést v duchu „Jestliže se prokáže, že námi testovaná verze aplikace obsahovala v dané době odhalitelnou a známou zranitelnost, vyplatíme klientovi zpět stejnou částku, kterou nám za provedení penetračního testu zaplatil.“

Důležité je samozřejmě uvést, které jsou to ty nejznámější zranitelnosti. Byť se jedná již po řadu let o ty samé, je nutné nejznámější zranitelnosti vyjmenovat, a tak se vyhnout případným sporům, které by mohli skončit i u soudu. To, že je daná zranitelnost známá, ale samo o sobě nestačí, zranitelnost musí být i odhalitelná, to znamená, že pokud by např. zranitelnost SQL injection byla obsažena ve formuláři na stránce, na kterou se nedá dostat jinak, než zadáním nějakého obskurního URL, tak tester nemá možnost tuto stránku za běžných podmínek objevit. A vězte, že občas někoho napadne si tímto způsobem testera vyzkoušet. Že se jedná o zkoušku nesmyslnou, snad ani není potřeba dodávat.

Další problematický bod může být dokazování, zda aplikace v dané době obsahovala danou zranitelnosti či nikoliv. To, kdy byl test proveden, je naprosto zásadní, protože daná zranitelnost se mohla objevit až v nové verzi aplikace nebo může souviset se změnou konfigurace nebo s upgradem systému. To by se dalo teoreticky vyřešit tak, že by se pořídila kopie dané verze aplikace, spočetl by se pro ni hash a ten by obě strany podepsaly.

Bohužel v praxi není tento postup zatím běžný, nicméně můžete se pokusit klauzuli naformulovat tak, že firma za penetrační test dostane zaplaceno jen v případě, že odhalí nějakou prakticky zneužitelnou zranitelnost. Tím by měla být firma, která bude penetrační testy provádět, dostatečně motivována k tomu, aby se opravdu snažila. Jestliže si teď říkáte, to zní dobře, ale do toho nikdo nepůjde, protože, když tam nic nenajdou, tak nedostanou zaplaceno. Ano, tato úvaha je teoreticky naprosto správná, ale realita je taková, že oni vždycky něco najdou, takže se nemusí bát, že by nemohli své lidi zaplatit. Kromě toho si mohou zvolit i ten předchozí business model.

Poznámka: Jestliže si myslíte, že výše uvedený business model nemůže fungovat, musím vás vyvést z omylu. On již funguje, přesvědčit se můžete sami, stačí, když navštívíte stránky společnosti Nethemba.

Na tomto místě bych chtěl také zdůraznit, že odhalením jedné vážné zranitelnosti penetrační testování ze strany společnosti, která se penetračním testováním zabývá a poskytuje ho jako službu, rozhodně nekončí, protože si nemůže dovolit nechat nejznámější zranitelnosti bez povšimnutí, taková společnost by totiž na trhu velice rychle skončila. To je ostatně krásný rozdíl mezi hackerem a ethical hackerem, neboť zatímco hackerovi stačí najít jakoukoliv zranitelnost a té zneužít, tak ethical hacker se musí snažit najít minimálně všechny známé zranitelnosti, které daná aplikace obsahuje a navíc v omezeném čase a často bez použití dalších technik jako je mezi hackery tolik oblíbené sociální inženýrství.

Related posts:

1. Autentizace: Zařízení uživatele jako další faktor?
2. Hacking jako marketingová technika?
3. Cloud computing: prognóza vývoje v nejbližších letech

Zaměstnanci si bohužel neuvědomují, o jak citlivé informace se jedná a jakou tyto informace mají pro společnost cenu. A že se dost často jedná o informace, které jsou tím nejcennějším aktivem, které společnost vlastní, a proto je nezbytné zajistit jejich ochranu během celého jejich životního cyklu.

Vždy byste se měli ptát, kdo, odkud, k čemu a z jakého zařízení chce vlastně přistupovat. Předpokládám, že jste již provedli nějakou analýzu rizik, a na základě výsledků jste rozhodli o tom, ke kterým aplikacím a datům může být přistupováno vzdáleně přes internet, takže teď zbývá už jen vydefinovat, jaká opatření musí být implementována, aby k těmto aplikacím a datům mohlo být přistupováno i ze soukromých zařízení. V rámci zavedení programu BYOD (Bring Your Own Device) by měly vzniknout i příslušné dokumenty jako je bezpečnostní politika, bezpečnostní standard a příručka. Základní bezpečnostní požadavky mohou být např. následující:

• Zařízení se musí automaticky uzamykat po určité době nečinnosti.
• Zařízení musí být chráněno heslem.
• Po několika neúspěšných pokusech o přihlášení musí být obsah zařízení smazán.
• Data v uložená v zařízení musí být šifrována.
• Citlivá data musí být při přenosu šifrována.
• K vybraným aplikacím musí být přistupováno přes VPN.
• Ve vybraných případech se uživatel musí dvoufaktorově autentizovat.
• V případě ztráty nebo zcizení zařízení, musí být možné data na dálku smazat.

Musí být zajištěno, že zařízení budou nastavena v souladu s požadavky a uživatelé nebudou moci toto nastavení měnit. To znamená, že musí existovat nějaká možnost, jak požadované nastavení na dálku vynutit. Jistě jste si všimli, že tady schází nějaké pravidlo ohledně instalace dalších aplikací. Je tomu tak proto, že v okamžiku, kdy začnete řešit, zda uživatelům povolit či zakázat instalovat další aplikace, může se pro mnohé z nich stát program BYOD méně atraktivní resp. nebudou o něj stát vůbec. Takže myslete na to, až budete bezpečnostní politiku navrhovat. Výše uvedené bezpečnostní požadavky by měly být pro většinu uživatelů přijatelné, protože jim umožňují plně využít možností, které jim jejich zařízení nabízí. Zaměstnavatel by měl být též spokojen, protože pokud budou zařízení nastavena v souladu s výše uvedeným doporučením, bude zajištěna i odpovídající úroveň bezpečnosti.

Další bod, který by se měl v bezpečnostní politice objevit, by měla být pasáž týkající se deprovisioningu a vzdáleného smazání dat. Je to bod značně problematický, ale velice důležitý, protože v případě, že dojde k ukončení pracovního poměru, tak zaměstnanci jeho zařízení zůstává a vy nejspíš nebudete chtít, aby na něm byla nadále uložena data, která patří vaší firmě. Při smazání však nelze až na výjimky odlišit, která data jsou soukromá a která firemní a tak zpravidla dojde ke smazání všech dat a to může být problém. Pokud vám zaměstnanec nepodepíše souhlas, že vám umožňuje vzdáleně spravovat své zařízení a souhlasí s tím, že v případě ukončení pracovního poměru budou všechna data na jeho zařízení smazána, mohl by vás i zažalovat, že jste mu způsobili škodu. Konzultujte proto tuto záležitost s vaším právníkem.

To, že by si zaměstnanec mohl tímto způsobem odnést firemní data je pravda, ale on si je, když bude chtít, odnese stejně. Můžete sice zavést základní sadu bezpečnostních opatření, implementovat SIEM, DLP, NBA, ale zcela zabránit zaměstnanci, který má k datům legitimní přístup, aby je nezneužil, se vám nikdy nepovede. A navíc, jestli zaměstnanec své zařízení pravidelně zálohoval, je dost pravděpodobné, že se vaše data již dávno nachází u něj doma v nějakém adresáři hned vedle jeho sbírky hudby a filmů, na jeho přenosném terabajtovém disku, který si pro tyto účely též zakoupil. Vidíte, tímto jsme narazili na další problém a to, kdo, kdy a jak by měl v rámci programu BYOD zálohy provádět.

Poté, co sepíšete svou bezpečnostní politiku, byste měli začít pracovat na bezpečnostním standardu, kde už by se měly objevit zcela konkrétní požadavky. Takže byste se měli zamyslet nad tím, po jak dlouhé době nečinnosti by se mělo zařízení uzamknout, jaká bude doba platnosti hesla. Zda bude k odemčení zařízení možno používat passcode, komplexní heslo nebo znak. Vaše rozhodnutí by mělo být založeno na tom, jak citlivá data mohou být na zařízení uložena, resp. k jakým aplikacím a datům lze ze zařízení přistupovat, a konečně jaká by vám mohla vzniknout škoda. Rozhodnutí to nebude snadné, protože více než kdy jindy bude proti sobě stát požadavky na bezpečnost a použitelnost.

V okamžiku, kdy máte vydefinovaná základní bezpečnostní pravidla, musíte spočítat celkové náklady, které vám v souvislosti s programem BYOD vzniknou. Uvědomte si, že byť jsou výše uvedené požadavky na bezpečnost minimální, a na většině zařízení lze tuto politiku vynutit, tak je za tímto účelem zpravidla nutné zakoupit speciální SW, který slouží k vlastní správě těchto zařízení. V okamžiku, kdy svým zaměstnancům povolíte přinést jakékoliv zařízení, můžete zjistit, že vám jeden nástroj nebude stačit a náklady na správu těchto zařízení pak budou vyšší než před zavedením programu BYOD a vy potom proklamovaných úspor nedosáhnete.

V některém příštím příspěvku na téma BYOD se podíváme na konkrétní mobilní OS pro smartphony a tablety a na možnosti jejich správy. Zatím mi můžete napsat, jaký máte názor na výše uvedené bezpečnostní požadavky.

Related posts:

1. BYOD: fenomén, na který většina organizací není připravena
2. Bezpečnostní politika
3. Bezpečnostní politika a související dokumenty

Ukládat hesla v počítači nebo v zařízení, které musí být s počítačem spojeno v okamžiku, kdy chcete dané heslo použít, není bez ohledu na to, jestli jsou hesla v daném úložišti šifrována či nikoliv, úplně ideální, stejně jako zapsat si všechna svá hesla na papírek, který můžete ztratit. Když si ale dokážete zapamatovat jedno komplexní heslo, tak si již žádná další hesla nemusíte pamatovat.

Hesla, která budete k přihlášení do jednotlivých systémů používat, budou totiž složena ze dvou částí. Z komplexního hesla, které budete mít uloženo jen ve své hlavě a z komplexních hesel pro jednotlivé systémy, která si někam zapíšete. Útočník, který by se k médiu se zapsanými hesly dostal, se však tak snadno nepřihlásí, protože by musel nejen znát, jaké uživatelské jméno a k jaké službě používáte, ale také jaká je ta druhá část hesla, kterou máte uloženou jen ve své hlavě.

Nehledě na to, že hesla mohou být na médiu zapsána v podobě seznamu, který se bude skládat z několika delších řetězců, a jen vy budete vědět, jak je heslo dlouhé, na jaké pozici začíná, zda jednotlivé znaky hesla následují v řetězci po sobě atd. Vy si můžete v podstatě vymyslet jakýkoliv algoritmus, a v hlavě provádět ještě nějakou transformaci. Je to sice security by obscurity přístup, ale plní dobře svůj účel. Možná je ale toto opatření zbytečné, protože pravděpodobnost, že by útočník bez jakýchkoliv indicií přišel na to, k čemu a komu daný seznam hesel slouží, je, přiznejme si to, mizivá. To je ostatně i důvod, proč je nesmyslné uživatelům zakazovat si hesla někam poznamenat.

První podmínka by mohla být splněna jen v okamžiku, kdy by útočníkem byla osoba, která vás zná. Pokud by útočník heslo odchytil při přenosu nebo by kompromitoval systém, do kterého se hlásíte, získal by jen heslo k danému systému. Do jiných systémů útočník nemá šanci se přihlásit, protože z odchyceného hesla není schopen odvodit hesla ostatní. Útočník by mohl být úspěšný jen v jednom jediném případě a to, že by odchytil jedno z hesel a zároveň by získal přístup k médiu, na kterém máte části hesel k jednotlivým systémům zapsána.

Pak by se již jednalo o cílený útok na vaší osobu, a v takovém případě by vás nejspíš nezachránila ani dvoufaktorová autentizace. Tím nechci říci, že dvoufaktorová autentizace pomocí nějakého tokenu nemá smysl. Má, ale upřímně řečeno, její hlavní výhoda spočívá především v tom, že token nelze jednoduše zkopírovat a když vám ho někdo ukradne, tak na to zpravidla brzy přijdete. Potíž je, že jsou systémy, které prostě jiný způsob autentizace než autentizaci heslem nenabízí.

Nyní si uveďme konkrétní příklad. Nejdříve si vymyslíme komplexní heslo, v duchu již výše odkazovaného příspěvku, ve kterém píšeme o tom, jak si vytvořit bezpečné heslo. Naším master heslem bude třeba „#P!Bm0“ Nyní již jen musíme vygenerovat ke každému systému, ke kterému se budeme hlásit, jedinečné komplexní heslo. Přičemž v hesle může být i zakódováno pro přihlášení k jaké službě dané heslo slouží. Zkuste si zahrát na útočníka a přijít na to, k jakým službám slouží tato tři hesla: w$4gEr, hg7Tm*, k2fW+3.

Když jsme si kladli otázku, jak dlouhé by měly být jednotlivé části hesla, vycházeli jsme z toho, že kdyby byla jedna část hesla kompromitována, musel by útočník druhou část hesla uhádnout. V případě, že by každá část hesla byla dlouhá přesně 6 znaků, znamenalo by to, že by útočník musel vyzkoušet minimálně 95^6 různých hesel a to by mu při rychlosti zkoušení 1000 hesel za sekundu trvalo několik let. Uhádnout heslo tímto způsobem je prakticky nemožné, viz příspěvek lámání hesel. Zde jen dodám, že i kdybyste disponovali botnetem čítajícím více jak tisíc strojů, tak vám to nepomůže, protože většina systémů je během sekundy stejně schopna obsloužit jen něco mezi 100 až 1000 uživatelů.

Pokud by se útočník dostal přímo k hashi takto konstruovaného hesla, musel by provést útok hrubou silou na heslo o délce 12 znaků a to by znamenalo vyzkoušet 95^12 různých hesel a to by trvalo až několik desítek let. Hlavní výhoda tohoto přístupu ke správě hesel spočívá v tom, že nepotřebujete žádný HW ani SW, a kompletní heslo není nikde uloženo ani se nezobrazuje v čitelné podobě na obrazovce.

Pozor: V okamžiku, kdy ztratíte médium, na kterém máte uložená jednotlivá hesla, tak se už nepřihlásíte, proto si raději udělejte jeho kopii a tu si uložte na bezpečném místě.

Pokud se rozhodnete, že pro správu hesel použijete nějaký SW nástroj, můžete svá hesla svěřit např. nějakému nástroji pro správu hesel, tzv. password manager, který hesla šifruje a pro přístup k nim vyžaduje zadání tzv. master hesla. Takovým řešením je např. KeePass nebo LastPass. Nevýhodou těchto řešení pro správu hesel je, že vaše hesla jsou uložena v paměti daného zařízení a následně i zobrazována na obrazovce. Kromě toho může být toto zařízení kompromitováno.

Jako bezpečnější řešení se proto jeví použití SW nástroje např. SuperGenPass, který hesla nikam neukládá, nýbrž hesla generuje v okamžiku, kdy zadáte název systému, do kterého se chcete autentizovat a své master heslo. Toto řešení využívá hashovací funkce, které jako parametr předáte master heslo, které se spojí s názvem systému (může jím být URL daného webu, název serveru nebo aplikace, to záleží zcela na vás), a pro tento řetězec se pak spočte hash, který se následně převede na komplexní heslo o určité délce. O tomto řešení se můžete dočíst více na rootu nebo blackhole. Nevýhodou tohoto řešení je, že se heslo zobrazuje v čitelné podobě na obrazovce.

Závěr: Všechny výše uvedené způsoby správy hesel jsou poměrně bezpečné a uživateli stačí si zapamatovat jen jedno, tzv. master heslo. Jak bude dlouhé, záleží především na něm, nicméně jako master heslo doporučujeme používat komplexní heslo o minimální délce 6 znaků. Ať už použijete jakékoliv řešení, nedoporučuji hesla uchovávat nebo generovat na zařízení, ze kterého se autentizujete.

A jak svá hesla spravujete vy? Už jste hlasovali v naší anketě?

Related posts:

1. Autentizace: mnoho hesel uživatelova smrt
2. Autentizace: mnoho hesel uživatelova smrt 2
3. Autentizace: politika účtů a hesel

Pokud si myslíte, že když si nainstalujete nějaký antivirový prostředek, tak se nemusíte nějakých škodlivých aplikací příliš obávat, musím vás bohužel zklamat. Naprostá většina současných antivirových řešení vám žádnou škodlivou aplikaci na vašem smartphonu nenajde a z Android marketu již byly škodlivé aplikace odstraněny, takže odtamtud si je také nenainstalujete. A pokud tam nějaké ještě jsou, tak se o nich zatím neví a ani antivirus je nerozpozná.

Antivirus pro smartphony by mohl svoje úžasné detekční schopnosti předvést snad jen v případě, že byste se pokusili si nějakou aplikaci nainstalovat odjinud než z marketu, ale to vy určitě neděláte. Je vám totiž jasné, proč někdo aplikace, za které se normálně musí platit, poskytuje zdarma. Aplikace instalujte zásadně jen z Android marketu. Pokud si aplikaci stáhnete kliknutím na odkaz na nějakém warez fóru, může se stát, že aplikace bude obohacena i o nějakou tu nežádoucí funkci navíc.

Instalujte jen aplikace, které opravdu potřebujete

Dříve, než si nějakou aplikaci nainstalujete, tak zvažte, zda ji opravdu potřebujete. Vždy se zamyslete nad tím, k čemu má daná aplikace sloužit a jaké oprávnění by k tomu tak mohla požadovat. Dost často se bohužel stává, že aplikace vyžaduje větší než nezbytně nutné oprávnění. To ale neznamená, že se jedná o škodlivou aplikaci, tenhle stav je spíš dán tím, že o tom, že by aplikace měla v systému disponovat vždy jen těmi nezbytně nutnými privilegii (tzv. least privilege principle), většina vývojářů aplikací pro Android pravděpodobně nikdy neslyšela.

Kontrolujte, jaká oprávnění aplikace vyžadují

Určitým vodítkem může být i srovnání s jinými aplikacemi z dané kategorie. Na marketu je k dispozici spousta aplikací od různých vývojářů, které nabízejí tu samou funkcionalitu. Podívejte se, jaké oprávnění vyžadují ostatní aplikace. Ovšem pozor, to že ostatní aplikace vyžadují stejná oprávnění, ještě nic neznamená. U aplikace, která žádná oprávnění nevyžaduje, nemusíte nic řešit, ovšem v žádném případě nepovolujte automatický update, protože by se mohlo lehce stát, že nová verze aplikace by těch oprávnění mohla vyžadovat již podstatně více.

Instalujte jen důvěryhodné aplikace

Dále se zajímejte o to, jaké jsou recenze na danou aplikaci. Co uživatelé napsali v komentářích? Jak aplikaci hodnotili? Kolik uživatelů si už danou aplikaci stáhlo? Jak dlouho je již aplikace na marketu k dispozici? Čím déle a čím větší počet stažení daná aplikace zaznamenala, tím větší je šance, že by si jejího případného nežádoucího chování někdo všiml. Jedná se o důvěryhodného vývojáře nebo vývojářskou firmu? Kolik aplikací již daná firma uvedla na trh? Existuje nějaký web, na kterém se lze o aplikaci a jejich vývojářích dozvědět něco víc? Jaká je historie daného webu? Jak na vás jeho design působí, je na úrovni? Kdo je vlastníkem domény?

Poznámka: Aplikace obsahující malware dost často padá, vykazuje nejrůznější chyby a mnohdy funguje jen na některých zařízeních, protože zpravidla nebývá důkladně otestována. Integraci škodlivého kódu do aplikace zpravidla neprovádí ani tvůrce aplikace ani tvůrce malwaru. To je dáno tím, jak funguje organizovaný zločin a jak je mezi jednotlivé členy a skupiny rozdělena práce.

Napadá vás ještě něco, na co by si uživatel měl dát pozor?

Related posts:

1. Google Android: má instalace antiviru smysl?
2. Google Android: Pentagon se rozhodl pro Android
3. Google Android: Samsung Galaxy 3 GT-I5800 s Froyo 2.2

Když jsem se zde před více jak dvěma lety poprvé zmínil o zaměstnaneckém programu BYOD, tak tahle zkratka ještě neexistovala a jen málokterý CIO si připouštěl, že brzy přijde doba, kdy se bude muset této výzvě postavit čelem a bude zcela na něm, jaký k tomuto požadavku businessu zaujme postoj, zda bude, jak říkají Američané, „naysayer“ nebo „enabler“.

Myšlenka BYOD (Bring You Own Device nebo Buy Your Own Device) je velice prostá – umožnit zaměstnancům používat k pracovním účelům jejich vlastní zařízení, která jsou často mnohem kvalitnější, než zařízení jaká jim je schopna poskytnout jejich firma. Zaměstnavatelé předpokládají, že pokud toto zaměstnancům umožní, sníží tím nejen náklady na pořízení nových zařízení (zaměstnanec si zařízení koupí sám, bude si na něj dávat větší pozor, a zařízení se nebudou tak často ztrácet), ale zvýší se i efektivita práce, neboť zaměstnanci budou spokojenější.

Ještě větších úspěchů bude tento program slavit tam, kde zaměstnavatel svému zaměstnanci na nákup vybraného zařízení přispěje určitou částkou, ale i tak nelze počítat s tím, že se k tomuto programu připojí všichni zaměstnanci. Je tomu tak proto, že po počáteční euforii dojde k určitému vystřízlivění a ne každý bude ochoten si huntovat své vlastní zařízení. Je to podobné, jako když zaměstnanci umožníte používat k pracovním účelům jeho osobní vůz, ale nechtěli byste mu nakonec ani proplatit benzín.

Z pohledu businessu je zavedení této služby velice snadné, protože spousta zaměstnanců a mnohdy i manažerů svá soukromá zařízení používá k pracovním účelům již teď, a někteří z nich dokonce přistupují i k podnikovým aplikacím a datům. To, že o tom IT často ani neví nebo jim dokonce se zprovozněním této funkcionality v tichosti pomáhá, je věc jiná, ale to zde řešit nechci. Pravda je taková, že vedení společnosti je v podstatě svými zaměstnanci tlačeno k tomu, aby použití soukromých zařízení legalizovalo. Problém je, že byť je myšlenka BYOD, jak již bylo řečeno výše, velice prostá, tak je i zrádná. Ono totiž oficiálně umožnit použití soukromých zařízení znamená, že IT bude muset businessu poskytovat zcela novou službu, a ta bude něco stát.

A v okamžiku, kdy tuto službu zavedete, tak musíte počítat s tím, že požadavky na vás jako poskytovatele této služby porostou. Jestliže budete zpočátku podporovat třeba jen BlackBerry, tak za pár měsíců již business bude chtít používat i zařízení s iOS a později i Android. A nebudou na vás vyvíjeny jen tlaky, abyste podporovali všechny nejvíce používané mobilní OS, ale abyste kromě synchronizace pošty, kalendáře a kontaktů umožnili uživatelům těchto zařízení přistupovat i k podnikovým aplikacím, neboť nemálo zaměstnanců a manažerů bude chtít svůj tablet s iOS nebo Android používat jako hlavní pracovní nástroj.

A to není všechno, tím jak poroste počet uživatelů těchto zařízení, budou růst i požadavky na to, aby na těchto zařízeních fungovaly všechny důležité aplikace. To v některých případech povede k vývoji webových aplikací a úpravě stávajících aplikací, které sice běží v prohlížeči, ale jsou vázány na konkrétní platformu nebo nebyly naprogramovány v souladu se standardy (nebo se naopak standardu příliš úzkostlivě držely) a v některých prohlížečích nejsou funkční.

Jestliže budete chtít zajistit odpovídající úroveň bezpečnosti a udržet cenu za poskytování této služby na rozumné úrovni, budete muset sáhnout po nějakém MDM (Mobile Device Management) nástroji. S postupným nárůstem počtu uživatelů této služby dojde i k tomu, že budete muset vyškolit i své lidi na helpdesku a budete muset začít poskytovat podporu i uživatelům používajícím vlastní zařízení.

Related posts:

1. BYOD: bezpečnostní politika

Bude se jednat především o faktor z kategorie „něco mám“, který je spojen s vlastnictvím nějakého předmětu. Ten bude preferovat většina konzervativních firem. Jestliže ale byl doposud symbolem této kategorie HW token od společnosti RSA, bude jeho podíl na trhu postupně klesat, neboť bude pozvolna vytlačován smartphonem, který umožňuje příjem OTP ve formě SMS nebo je schopen OTP přímo generovat a fungovat jako tzv. SW token. Stále více firem bude umožňovat svým zaměstnancům použití soukromých mobilních zařízení a později i využití těchto zařízení jako druhého autentizačního faktoru pro přístup do svých systémů.

Důvodů, proč tomu tak bude, je několik. Jednak se potvrdilo, že velké firmy představují pro útočníky atraktivní cíl, a přes všechna ujištění je možné jejich systémy kompromitovat a to má pak dopad na všechny společnosti, které jejich autentizační řešení používají. Právě tato obava z úniku autentizačních údajů je ostatně i důvodem, proč nejrůznější společnosti nabízející jednotné přihlášení, doposud nezaznamenaly nějaký výrazný úspěch. Neposledním důvodem, který hovoří v neprospěch HW tokenů, je i výrazně vyšší TCO.

Dále je třeba si uvědomit, že člověk má ke svému telefonu přeci jen trochu jiný vztah, než k HW tokenu, takže v případě ztráty nebo zcizení telefonu tuto skutečnost zaznamená mnohem dříve, než když ztratí token. A když se nad tím zamyslíte, je to celkem logické, neboť telefon používá k telefonování, k psaní a čtení zpráv a ke spoustě dalších věcí, zatímco token používá zpravidla pouze k přihlášení do jednoho jediného systému. A pokud se do daného systému nehlásí příliš často, může ztrátu nebo zcizení tokenu zaznamenat až za mnoho hodin nebo i dní. V případě telefonu si jeho ztrátu nebo krádež uvědomí většinou mnohem dříve, často během několika málo minut.

Pro uživatele pak představuje autentizace pomocí telefonu jen samé výhody, především používá zařízení, na které je zvyklý, a hlavně sebou nemusí nosit žádný další předmět. Jak bude v následujících letech smartphone stále častěji využíván jako druhý faktor, poroste v souvislosti s tím i počet útoků, které bude cíleno na tuto platformu. A proto je vhodné již teď myslet na to, jak uživatele smartphone před těmito útoky ochránit. Vzhledem k tomu, že smartphone obsahuje plnohodnotný operační systém, měl by uživatel dodržovat stejná pravidla jako v případě práce na klasickém PC. Nejpoužívanější smartphony jsou poměrně solidně zabezpečeny, takže o tom zda se jeho uživatel stane obětí útoku, bude svým chováním rozhodovat především on sám.

Další autentizační metody z kategorie „něco jsem“, které ověřují uživatele na základě jeho biometrických charakteristik, se budou postupně též prosazovat, ale výrazně pomaleji, než by si jejich výrobci přáli, především z důvodu stále panující nedůvěry v jejich spolehlivost. Častěji než dříve se budeme moci setkat s technologií rozpoznávání hlasu (při volání do banky), tváře (při přihlašování do počítače, telefonu atd.) a způsobu psaní na klávesnici, neboť tyto technologie na rozdíl třeba od snímače otisku prstů nevyžadují instalaci žádného speciálního HW.

Tyto autentizační metody budou zároveň představovat i marketingový nástroj a zavádět je budou především ty firmy, které budou chtít touto cestou oslovit nové klienty, především mladou generaci, která netrpí předsudky a má stejně jako oni odvahu něco nového vyzkoušet.

Related posts:

1. Cloud computing: prognóza vývoje v nejbližších letech
2. Autentizace: Software token
3. Penetrační testování jako součást životního cyklu vývoje SW

V komerční sféře patří k nejoblíbenějším mobilním platformám Blackberry od RIM, Windows Mobile od Microsoftu a iOS od Applu, především proto, že je možné je snadno spravovat, kontrolovat a vynutit na nich bezpečnostní politiku. Bez ohledu na rostoucí oblibu programu BYOD (Bring Your Own Device), který spočívá v tom, že zaměstnanec používá k řešení pracovních záležitostí své vlastní zařízení, je stále dost organizací, které si nemohou dovolit toto řešení implementovat. Především z důvodů vysokých požadavků na bezpečnost.

Určitým překvapením proto pro mnohé bezpečnostní konzultanty bylo nedávné rozhodnutí DoD, že kromě BlackBerry to bude i Android běžící na zařízení od společnosti Dell, který budou používat. Překvapením proto, že pro Android není na rozdíl od výše jmenovaných mobilních OS k dispozici prověřený SW na dálkovou správu a vynucení bezpečnostních politik na těchto zařízeních. Konkrétně by se mělo jednat o zařízení Dell Streak 5 a Venue s Android 2.2 Froyo s upraveným jádrem a přidanými funkcemi, které budou umožňovat minimálně zablokování telefonu po opakovaném chybném zadání hesla, smazání dat na dálku, nemožnost instalovat aplikace, přístup do internetu pouze přes jejich proxy a kontrolu a vynucení bezpečnostní politiky.

Na otázku, proč právě Android, byla odpověď celkem prostá. Protože je to open source, běží na různém HW, může být provedena revize kódu, může být nakonfigurován podle potřeby a mohou být snadno implementována i další bezpečnostní opatření. V neprospěch iOS, který je jinak běžně považován za nejbezpečnější systém na smartphonech, hovořilo např. to, že Apple může pomocí GPS čipu sledovat polohu zařízení a tím i pohyb majitele daného zařízení a uživatelé také mohou informace ukládat do iCloudu. Přesto je iOS momentálně testován s cílem zjistit, zda by i on nemohl být používán.

Tahle argumentace je zvláštní, protože pokud je telefon vybaven GPS čipem, může prakticky každý výrobce daného telefonu nebo systému za určitých podmínek sledovat polohu uživatele. Google např. sbírá i informace o umístění access pointů, přes které uživatel do internetu přistupuje. A stejně tak i uživatel Google Android může ukládat data na cloud Googlu a spousta uživatelů to dělá. Na druhou stranu je pravda, že Android lze snadno učinit bezpečnějším, především díky jeho otevřenosti, neboť zde oproti ostatním systémům existuje možnost zasáhnout do jádra a vytvořit si i vlastní verzi (custom ROM), což je již celkem běžná věc, byť se zatím této možnosti nevyužívá ke zvýšení bezpečnosti.

Related posts:

1. Google Android: Samsung Galaxy 3 GT-I5800 s Froyo 2.2
2. Google Android: vlastní zvuky pro příchozí hovory, SMS a upozornění
3. Google Android: má instalace antiviru smysl?

Pravda, z Android marketu bylo odstraněno pár desítek aplikací z více jak 300.000 aplikací, ale nejednalo se doposud spíš jen o trojany? Ovšemže ano. A tuhle skutečnost je důležité si uvědomit. Takového trojana totiž může antivirus odhalit velice obtížně, protože nemá podle čeho posoudit, že aplikace dělá, kromě toho co má, ještě něco jiného, nežádoucího. Jak by také mohl, když uživatel aplikaci dané oprávnění povolil.

Zde je nutné uvést, jakým způsobem instalace aplikací na platformě Android probíhá. Aplikace sice zobrazuje, jaká oprávnění vyžaduje, resp. k čemu všemu bude mít přístup. Uživatel ovšem nemá možnost rozhodnout o tom, k čemu aplikaci přístup povolí a k čemu nikoliv. Uživatel má bohužel jen dvě možnosti, buď si aplikaci nainstalovat, nebo nenainstalovat. Jestliže tedy aplikace požaduje např. plný přístup k internetu a uživatel si tuto aplikaci nainstaluje, nemůže se pak divit, že aplikace přes internet posílá nějaká data. Jaká data to jsou, pak závisí již jen na autorovi dané aplikace a dalších oprávněních, kterými daná aplikace disponuje.

Skutečnost, že aplikace, která disponuje patřičným oprávněním, posílá nějaká data do internetu, ale ještě neznamená, že je aplikace škodlivá, a proto ji ani antivirus nemůže hned vyhodnotit jako závadnou. Antivirus nemá jak poznat, že data, která aplikace kamsi do internetu odesílá, odesílat nemá. Jestliže si teď kladete otázku, jak potom takový antivirus může vůbec fungovat, tak vězte, že velice primitivně. Jednoduše si v pravidelných intervalech stahuje aktuální seznam škodlivých aplikací, a pokud danou aplikaci ve vašem telefonu najde nebo zjistí, že se právě chystáte danou aplikaci nainstalovat, tak vás na její závadnost upozorní.

To ale znamená, že někdo musí danou aplikaci na ten seznam přidat. Ano, je to tak, nezávislí experti a týmy odborníků z firem, které antivirová řešení vyvíjejí, chování jednotlivých aplikací zkoumají a analyzují, kam aplikace data posílá a případně se pokouší i analyzovat obsah těchto dat, což je mnohdy nejnáročnější část jejich práce, protože přenášená data mohou být zašifrovaná nebo jinak obfuskovaná. Bez zjištění obsahu přenášených dat je téměř nemožné rozhodnout, zda se jedná o škodlivou aplikaci či nikoliv, a je možné vyslovit jen určité podezření.

V okamžiku, kdy je potvrzeno, že se jedná o škodlivou aplikaci, tak je z marketu odstraněna a odstraněna je pak i ze zařízení, na kterých byla nainstalována. Musíme si tedy položit otázku, zda má antivirová ochrana za těchto podmínek vůbec smysl. Pokud je antivirový prostředek od důvěryhodné firmy k dispozici zdarma, je asi zbytečné dlouze přemýšlet o tom, zda ho nainstalovat nebo ne. Ovšem pokud byste za něj měli platit, tak byste měli zvážit, jaká je pravděpodobnost, že si stáhnete aplikaci, která bude závadná a jak vysoká by mohla být škoda, kterou byste mohli utrpět.

Jestliže byla z Android marketu doposud odstraněna necelá 100 závadných aplikací z více jak 300.000 aplikací dostupných ke stažení, tak to pak znamená, že ty škodlivé aplikace netvořily ani jedno promile, a dalo by se hovořit o kapce v moři. Samozřejmě, že nejde tuto hodnotu ztotožňovat s pravděpodobností nakažení, protože ke stanovení této hodnoty bychom museli i zohlednit o jakou aplikaci se jednalo a kolikrát byla stažena.

Tím, že taková škodlivá aplikace může provádět v podstatě cokoliv, jsme se zbývali např. v příspěvku „Zrádné smartphony, aneb chytré telefony, která vás mohou i zničit“, takže v žádném případě nechci tuto hrozbu podceňovat. Nicméně princip na jakém většina současných antivirových řešení pro smartphony funguje, nám neposkytuje příliš velké záruky, že bude škodlivá aplikace včas odhalena. Z tohoto důvodu nám nezbývá, než si instalaci každé aplikace pořádně rozmyslet.

Related posts:

1. Google Android: na co si dát pozor při instalaci aplikací z marketu
2. Google Android: Pentagon se rozhodl pro Android
3. Google Android: Samsung Galaxy 3 GT-I5800 s Froyo 2.2