Autentizace: Jednorázová hesla – PINsafe

Existuje mnoho způsobů, jak generovat jednorázová hesla (One Time Password, zkr. OTP), dnes se podíváme na řešení nazvané PINsafe.

Princip na jakém toto řešení funguje, je poměrně jednoduchý. Vychází se z předpokladu, že každý uživatel zná svůj PIN, který představuje sdílené tajemství (shared secret) mezi uživatelem a systémem. Vlastní autentizace pak probíhá tak, že systém vygeneruje náhodné 10místné číslo, uživatel si vybaví svůj PIN, a do systému pak zadá pouze ty číslice z onoho 10místného čísla, které se nacházejí na pozicích odpovídajících jednotlivým číslicím PINu.

Štítky: ,
celý článek

Web malware: malvertisement

Většina malwaru je v dnešní době šířena přes web a vězte, že nakaženy mohou být i naprosto důvěryhodné weby.

Počet nakažených webů rok od roku roste. Není výjimkou, že na mnoha webech je zobrazován obsah až od několika desítek partnerů. Na těchto webech jsou také často zobrazovány widgety, aplikace a reklama třetích stran, které tvoří obsah samotného webu. V těchto widgetech, aplikacích nebo reklamě se však může nacházet i škodlivý kód, o čemž provozovatel daného webu zpravidla neví, a který je v okamžiku, kdy uživatel zavítá na daný web spuštěn a to bez jakékoliv interakce s uživatelem. Jedná se tedy o drive-by download malware.

Štítky: ,
celý článek

DigiNotar: Operation Black Tulip

Z předběžné zprávy od společnosti Fox-IT, která byla najata, aby zjistila, jakým způsobem došlo k průniku (poeticky nazvaném „Operation Black Tulip“) do společnosti DigiNotar, která je středně velkou certifikační autoritou v Holandsku a jejíž certifikáty jsou/byly umístěny v nejpoužívanějších internetových prohlížečích mezi ostatními důvěryhodnými certifikačními autoritami, vyplývají skutečnosti, kterým se ani nechce věřit.

Štítky:
celý článek

Chytré telefony a motion sensor attack

V příspěvku Chytré telefony a shoulder surfing attack jsme psali o tom, jak je možné snadno odpozorovat, jaký PIN uživatel na svém smartphonu zadává. Dnes bychom chtěli zmínit výsledky posledních výzkumů, které ukazují, že je možné zjistit, jaký PIN uživatel na svém smartphonu zadává i prostřednictvím hmatové zpětné vazby a pohybového senzoru. Jedná se o klasický útok postranním kanálem (side channel attack), kdy útočník využívá skutečnosti, že stisknutí klávesy na virtuální klávesnici v případě aktivované hmatové zpětné vazby generuje rozdílné vibrace podle toho, jaká klávesa byla stisknuta.

Štítky: , , ,
celý článek

Základy kryptografie pro manažery: HMAC

HMAC (Keyed-hash Message Authentication Code) je typ autentizačního kódu zprávy (Message Authentication Code, zkr. MAC) spočteného s použitím hashovací funkce a tajného šifrovacího klíče, který slouží k ověření integrity a autenticity zprávy. Funkce, která se pro výpočet tohoto kódu používá, očekává na svém vstupu sdílené tajemství (secret shared key) a text libovolné délky. Výstupem této funkce je pak kód, který má délku odpovídající použité hashovací funkci.

Štítky:
celý článek

Autentizace: Jak v systému bezpečně uložit heslo

O tom, jak si vytvořit bezpečné heslo, a jaká pravidla dodržovat, jsme již psali. V dnešním příspěvku se proto podíváme na to, jakým způsobem bychom měli heslo, které si uživatel vytvořil, v systému uložit.

Útočník se může k souboru nebo databázi obsahující hesla uživatelů dostat mnoha různými způsoby. V prostředí internetu jsou nejznámější případy, kdy útočník zneužil nějaké zranitelnosti webové aplikace např. SQL injection, a získal tak přístup k databázi hesel. Stejně tak může útočník získat fyzický přístup k systému a daný soubor s hesly si jednoduše zkopírovat a konečně může se jednat i o situaci, kdy společnost vyřadí již nepotřebnou výpočetní techniku a neprovede bezpečnou likvidaci dat.

Štítky:
celý článek

CAPTCHA jak ji možná neznáte

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) je Turingův test, který slouží k odlišení člověka od stroje.

Obvykle má podobu obrázku, na kterém se nachází deformovaný text, který má uživatel správně přepsat do formulářového pole, ale nemusí tomu tak být vždy. Ostatně způsob, jakým ten Completely Automated Public Turing test to tell Computers and Humans Apart provedete, je zcela na vás. Pro člověka obvykle nepředstavuje vyřešení CAPTCHA problém, ovšem pro počítač je to velice obtížně řešitelná úloha, neboť není obdařen potřebnou inteligencí.

Štítky:
celý článek

Vyhodnocení rizik: prioritizace rizik

Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.

Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

Štítky: ,
celý článek

Chatty vs. chunky interface

V příspěvku věnovaném vícevrstvé architektuře bylo uvedeno, že komunikace mezi vrstvami by měla být omezena na minimum a proto je vhodnější používat chunky interface místo chatty.

Jaký je však mezi těmito dvěma interfacy rozdíl? Pro chatty interface (doslova ukecaný interface) je typické, že dochází k přenášení velkého množství zpráv o malé velikosti mezi vrstvami. Je tak náročnější na čas a na zdroje. Chunky interface je naopak navržen tak, aby komunikace mezi vrstvami byla minimální, to ale znamená, že je nutné přenést najednou větší objem dat. Nelze říci, že chatty interface je vyloženě špatný a chunky dobrý. Vždy jde o konkrétní případ, v jakém bude ten či onen interface nasazen.

Štítky:
celý článek

Od help desku k Service Desku

Přikláním se k názoru, že je lepší zavést najednou incident management, problem management, change management, release management a configuration management, než se pokoušet o jejich postupné zavádění. Důvody, které mě k tomuto závěru vedou, jsem již nastínil ve svém starším příspěvku, kde jsem se zabýval vztahem mezi procesy incident management a problem management.

Štítky:
celý článek