DNSSEC – falešný pocit bezpečí?

DNSSEC je třeba vnímat jen jako další vrstvu zabezpečení, neboť k přesměrování můžete dojít i v případě, kdy váš ISP bude DNSSEC používat.

Každý server na internetu má nějakou IP adresu, které odpovídá nějaký název. A aby bylo možné se spojit s daným serverem po zadání jeho názvu v adresním řádku prohlížeče, musí se někde nejprve dohledat, jaká IP adresa odpovídá danému názvu a k tomu slouží tzv. jmenné servery (Domain Name Server zkr. DNS). I váš počítač se dotazuje nějakého DNS serveru. Jakého, to např. v prostředí MS Windows zjistíte příkazem ipconfig /all.

Štítky:
celý článek

ZeuS Mitmo opět udeřil

ZeuS Mitmo je trojský kůň, který je cílen na uživatele internetového bankovnictví, kteří pro autentizaci a autorizaci transakcí používají mobilní telefon, resp. mTAN (mobile Transaction Authentication Number), což je jednorázové heslo (One Time Password, zkr. OTP), které jim banka zasílá na jejich mobilní telefon ve formě SMS.

Tento trojský kůň se poprvé objevil v minulém roce ve Španělsku, ale o tom jsme již psali.

Štítky: , ,
celý článek

Dvoufaktorová autentizace od Google

Ano, je to tak, Google umožňuje se svým uživatelům dvoufaktorově autentizovat.

Pokud se rozhodnete pro tento způsob autentizace, budete muset kromě svého uživatelského jména a hesla zadat ještě jednorázové heslo (One Time Password, zkr. OTP), kterému Google říká ověřovací kód (verification code). Ten vám bude zaslán na mobil ve formě SMS nebo bude vygenerován aplikací Google Authenticator, kterou si do svého smartphonu za tímto účelem nainstalujete.

Štítky: , ,
celý článek

Přichází nová generace malwaru pro chytré telefony

Hned na úvod bych chtěl podotknout, že byť se jedná jen o “proof of concept”, není přiliš těžké si představit, jakým směrem se může vývoj malwaru pro chytré telefony dále ubírat.

Soundminer je specializovaný trojan (sensory malware) pro mobilní telefony s operačním systémem Google Android, který je schopen extrahovat z komunikace, kterou vede klient např. se systémem IVR své banky, číslo kreditní karty nebo PIN a to pak může být pomocí dalšího trojana zvaného Deliverer zasláno na server útočníka.

Štítky: ,
celý článek

Chytré telefony a smudge attack

V tomto příspěvku si povíme, jak snadné je zjistit znak, který uživatel systému Google Android používá k odemčení svého chytrého telefonu.

Pokud nechcete, aby se k datům na vašem smartphonu dostal někdo jiný, nastavte si ho tak, aby se vám po určité době nečinnosti sám uzamkl. Zadávat ale v okamžiku, kdy chcete svůj smartphone použít, nějaké dlouhé heslo je otrava. To si uvědomil i Google, který majitelům smartphonů s operačním systémem Google Android umožňuje telefon odemykat pomocí tzv. Android password pattern.

Štítky:
celý článek

Používání soukromých telefonů k pracovním účelům a naopak

V tomto příspěvku se pokusím upozornit na rizika, která vyplývají z používání soukromých telefonů k pracovním účelům a naopak.

Na tento problém jsme ostatně narazili již v příspěvku, Lesk a bída HR v ČR, ve kterém jsme se věnovali benefitům. Dal by se i v případě chytrých telefonů použít model BYOC (Buy Your Own Computer) nebo chcete-li BYOS (Buy Your Own Smartphone)? Myšlenka BYOX (za X si můžete dosadit cokoliv) je velice prostá. Zaměstnanec si vybere zařízení, jaké chce, a zaměstnavatel mu na něj přispěje určitou částkou.

Štítky: ,
celý článek

Autentizace: partial password

Myšlenka autentizovat se nikoliv zadáním celého hesla, ale jen pomocí několika málo znaků z hesla, není nová.

Způsob jak taková autentizace probíhá, je velice jednoduchý. Uživatel se nejprve identifikuje a systém ho poté vyzve, aby zadal znaky, které se nacházejí na vybraných pozicích jeho hesla. Počet znaků, které musí uživatel zadat, je obvykle daný, leč pozice jsou generovány náhodně.

Štítky: , ,
celý článek

Zrádné smartphony aneb chytré telefony, které vás mohou i zničit

Únik informací, naprostá ztráta soukromí, kompromitace a finanční problémy, to jsou největší rizika, kterým jsou vystaveni uživatelé smartphonů. A většina z nich si tato rizika vůbec neuvědomuje nebo je přesvědčena, že se jich netýkají.

Bohužel tomu tak není. Těmto rizikům jsou vystaveni prakticky všichni a to od čelních představitelů vlády, police, armády, přes vlastníky firem, profesionální manažery a jejich asistentky, až po drobné a střední podnikatele, živnostníky či prosté občany.

Štítky: ,
celý článek

Desktop, notebook, netbook, tablet nebo smartphone?

Než začnete číst tento příspěvek, zkuste se nejprve zamyslet nad tím, kdy, kde a k čemu byste chtěli dané zařízení vůbec používat.

Zastávám názor, že zařízení by se mělo používat výhradně k tomu, k čemu je určeno. A pokud nabízí ještě nějaké funkce navíc, je třeba je brát pouze jako doplňkové, které je možné použít v okamžiku, kdy jiné vhodnější zařízení není zrovna po ruce.

Štítky:
celý článek

Automatizované testy aplikací typu klient-server

V tomto příspěvku se podíváme na automatizované testy aplikací typu klient-server, které mohou být v zásadě dvojího typu.

V obou případech musíme na nějakém stroji spustit robota, který bude automatizované testy provádět. Rozdíl spočívá pouze v tom, že buď bude robot simulovat uživatele dané aplikace nebo stroj, který uživatel používá.

Štítky:
celý článek