APT je jen další buzzword

Přetrvávající pokročilé hrozby (Advanced Persistent Threat, zkr. APT) nejsou nic jiného než přesně cílené útoky proti konkrétní osobě nebo organizaci.

Je zřejmé, že útočník je v takovém případě nejen vysoce motivován, ale disponuje i potřebnými zdroji a má schopnosti takový útok realizovat. Rozdíl mezi běžnými a pokročilými útoky se na svém webu pokusil popsat i Bruce Schneier, který v podstatě říká, že jestliže u tradičních útoků je útočníkovi jedno, kdo se stane jeho obětí, tak u pokročilých útoků je cílem útočníka konkrétní osoba nebo firma. Je tomu skutečně tak, a APT není nic jiného než cílený útok. Proč však advanced a persistent?

Štítky: , ,
celý článek

Zero-day attack

Zero-day attack je takový útok, který zneužívá chyby (zranitelnosti) v SW, která není všeobecně známá, a pro kterou ještě neexistuje záplata (patch).

Doba, která začne běžet od nalezení zranitelnosti, až do uvolnění patche, se pak označuje jako okno zranitelnosti (Vulnerability Windows nebo Window of Vulnerability, zkr. WoV) a dokud nedojde k nasazení patche, může být této zranitelnosti zneužito. V okamžiku, kdy byl exploit zneužívající danou zranitelnost vytvořen ve stejný den nebo dříve, než se o zranitelnosti dozvěděl vývojář daného SW, se o této zranitelnosti hovoří jako o zranitelnosti nultého dne (zero-day vulnerability) a o útoku, který této zranitelnosti zneužívá, pak jako o útoku nultého dne (zero-day attack).

Štítky:
celý článek

Google Android: antimalware řešení přímo od Googlu

Nejlepší ochrana před malwarem, spywarem a trojskými koni je taková ochrana, kterou nemusíte instalovat.

Když jsme se koncem minulého roku zamýšleli nad tím, zda má instalace antiviru na platformě Google Android smysl, říkal jsem si, proč by si měl chudák uživatel instalovat do svého smartphonu nějaký antimalware produkt, když by úplně stačilo, aby ho nasadil Google a následně sám prováděl tímto způsobem kontrolu všech aplikací, které se nacházejí na jeho Android Marketu. A nebyl jsem jediný, koho toto řešení napadlo. Na Google Mobile Blog se můžete dočíst, že přesně tohle řešení se rozhodl Google zprovoznit. A tak je to správně.

Štítky:
celý článek

SEO: má smysl optimalizovat stránky pro vyhledávače?

V tomto seriálu o optimalizaci stránek pro vyhledávače (Search Engine Optimization, zkr. SEO) se dozvíte, jak své stránky dostat na přední místa ve výsledcích vyhledávání.

Je zvláštní, že i v dnešní době je spousta drobných a středních podnikatelů přesvědčena, že v okamžiku, kdy si zaregistrují doménu a vytvoří webové stránky, na kterých budou propagovat své služby a produkty, tak se k nim zákazníci jen pohrnou. To však k úspěšné propagaci firmy, produktu nebo služby na internetu bohužel nestačí. Je tomu tak proto, že na internetu jsou milióny stránek a pokud má potenciální klient zavítat zrovna na tu vaši, musíte se od svých konkurentů nějak odlišit, a musíte mu vyjít doslova naproti. Klient se totiž na vaše stránky dostává v zásadě třemi různými způsoby, a my si je nyní popíšeme.

Štítky:
celý článek

Google Android: nejlepší prohlížeč obrázků a fotek

AndroidV tomto příspěvku jsou uvedeny odkazy na nejlepší aplikace pro prohlížení obrázků a fotek na platformě Android.

Tyto aplikace se mohou pochlubit úžasným grafickým rozhraním plně využívající možností dotykového displeje. Aplikace po svém spuštění nejprve sama vyhledá složky s multimédii, a ty potom zobrazí v podobě několika na sebe naskládaných fotografií. Klepnutím na balíček fotografií se zobrazí jednotlivé fotky, mezi kterými lze přecházet pohybem prstu a pouhým dvojitým poklepáním přepínat mezi kompaktní a skutečnou velikostí.

Štítky: ,
celý článek

Penetrační testování jako součást životního cyklu vývoje SW

Penetrační testy teď nabízí kde kdo, jak ale poznat, kdo je opravdu umí provést a kdo na nich chce jen vydělat?

První, co vám mohu doporučit, prověřte si danou firmu a uvedené reference. Určitě kontaktujte osobu, která je v referencích uvedena a zeptejte se jí, jak byla s prací dané firmy spokojena, a co přesně bylo předmětem dodávky. Uvědomte si, že analýza rizik (risk analyses), prověrka konfigurace (configuration review) nebo skenování zranitelností (vulnerability scan) je něco jiného než penetrační testování nebo chcete-li ethical hacking.

Štítky:
celý článek

BYOD: bezpečnostní politika

Zaměstnanci chtějí ze svých soukromých zařízení přistupovat do podnikových aplikací, které mnohdy obsahují  velice citlivé informace, jež lze poté velice často nalézt i na samotných zařízeních.

Zaměstnanci si bohužel neuvědomují, o jak citlivé informace se jedná a jakou tyto informace mají pro společnost cenu. A že se dost často jedná o informace, které jsou tím nejcennějším aktivem, které společnost vlastní, a proto je nezbytné zajistit jejich ochranu během celého jejich životního cyklu.

Štítky:
celý článek

Autentizace: správa hesel

Z prognózy vývoje autentizace v dalších letech vyplývá, že hesel se jen tak nezbavíme, a vzhledem k jejich rostoucímu počtu se musíme zamyslet nad tím, jak je efektivně spravovat.

Ukládat hesla v počítači nebo v zařízení, které musí být s počítačem spojeno v okamžiku, kdy chcete dané heslo použít, není bez ohledu na to, jestli jsou hesla v daném úložišti šifrována či nikoliv, úplně ideální, stejně jako zapsat si všechna svá hesla na papírek, který můžete ztratit. Když si ale dokážete zapamatovat jedno komplexní heslo, tak si již žádná další hesla nemusíte pamatovat.

Štítky:
celý článek

Google Android: na co si dát pozor při instalaci aplikací z marketu

Na Android marketu je k dispozici několik stovek tisíc nejrůznějších aplikací. Mezi nimi se však mohou nacházet i aplikace, které kromě slibované funkcionality provádí i něco jiného.

Pokud si myslíte, že když si nainstalujete nějaký antivirový prostředek, tak se nemusíte nějakých škodlivých aplikací příliš obávat, musím vás bohužel zklamat. Naprostá většina současných antivirových řešení vám žádnou škodlivou aplikaci na vašem smartphonu nenajde a z Android marketu již byly škodlivé aplikace odstraněny, takže odtamtud si je také nenainstalujete. A pokud tam nějaké ještě jsou, tak se o nich zatím neví a ani antivirus je nerozpozná.

Štítky:
celý článek

BYOD: fenomén, na který většina organizací není připravena

Tímto článkem zahajujeme sérii příspěvků na téma BYOD.

Když jsem se zde před více jak dvěma lety poprvé zmínil o zaměstnaneckém programu BYOD, tak tahle zkratka ještě neexistovala a jen málokterý CIO si připouštěl, že brzy přijde doba, kdy se bude muset této výzvě postavit čelem a bude zcela na něm, jaký k tomuto požadavku businessu zaujme postoj, zda bude, jak říkají Američané, „naysayer“ nebo „enabler“.

Štítky:
celý článek