3D secure vytváří jen falešnou iluzi bezpečí

V případě platby přes internet stačí znát jen několik málo údajů na kartě vytištěných, které útočník může snadno odchytit nebo zkopírovat. Je zřejmé, že tento způsob autorizace transakce není vůbec bezpečný.

To při platbě kartou u obchodníka nebo výběru z bankomatu dochází k bezpečné dvoufaktorové autentizaci, neboť klient musí vložit kartu do čtečky a zadat PIN.

Štítky:
celý článek

Jsou bezkontaktní karty bezpečné?

Z bezkontaktních karet unikají citlivé údaje a těchto údajů je pak možné zneužít např. k platbám přes internet.

Útočník vybaven smartphonem s nainstalovanou aplikací pro komunikaci s bezkontaktní platební kartou s NFC čipem je schopen z ní bez vědomí jejího držitele získat citlivé údaje, které jsou na ní uvedeny.

Štítky:
celý článek

Jak se krade v korporacích – záhadné ztráty noteboků

Nedávno jsme dělali bezpečnostní audit v jedné nejmenované firmě, kterou trápily krádeže notebooků, a učinili jsme zajímavé zjištění.

Daná organizace vybavila za účelem zvýšení flexibility všechny své zaměstnance notebooky a do příslušných interních předpisů ukotvila požadavek, aby si v případě dlouhodobého opuštění pracoviště (odchod domů, dovolená, nemoc) notebook odnesli a v případě krátkodobého opuštění pracoviště (oběd, jednání) notebook uzamkli.

celý článek

Přichází nová generace bankovního malwaru

Koncept potvrzování transakcí v internetovém bankovnictví, který je založen na přepisování jednorázových kódů, které banky zasílají svým klientům ve formě SMS na mobilní telefony, již není bezpečný a útoky z posledních týdnů to jasně potvrzují.

Pro přihlášení do internetového bankovnictví nebo potvrzení transakce požadují mnohé banky po svém klientovi zadání mTAN (mobile Transaction Authentication Number), které mu zasílají přes síť mobilního operátora ve formě SMS na jeho mobilní telefon. O tom, že tento koncept postavený na SMS je dlouhodobě neudržitelný, jsme psali již před více jak dvěma lety.

Štítky: , ,
celý článek

DDoS útoky v ČR: řešení místo strašení

DDoS útok může být zahájen v podstatě kdykoliv, odkudkoliv a na kohokoliv. Žádná organizace si nemůže být jista, že zrovna jí se útok vyhne.

V první řadě je důležité, abyste se naučili DDoS útok rozpoznat a byli schopni na něj reagovat, tj. měli sepsaný nějaký scénář, podle kterého budete v případě útoku postupovat. A tento scénář byste si měli projít a skutečně otestovat, nejlépe formou simulovaného útoku, a ověřit si, že všichni vědí, jaká je jejich role. Součástí tohoto scénáře by mělo být i prohlášení, ve kterém budete připraveni o důvodu nedostupnosti svých služeb informovat veřejnost.

Štítky: ,
celý článek

Víte, jak se vaši klienti chtějí identifikovat a autentizovat?

Pokud ne, tak by vás mohly zajímat výsledky nedávno zveřejněné studie Ponemon institutu, které se snaží přinést odpověď na otázku, jak se klienti chtějí identifikovat a autentizovat.

Mimo jiné se zde dozvíte, že klienti jsou přesvědčeni, že nejbezpečnější správu identit by jim mohly nabídnout banky.

Štítky:
celý článek

Počet zranitelností rok od roku klesá

Síťová infrastruktura, z internetu dostupné servery, webové prezentace a aplikace drtivé většiny velkých organizací jsou prakticky neustále testovány nejrůznějšími bezpečnostními firmami, organizovanými skupinami i jednotlivci z celého světa.

Nalezení slabého místa v zabezpečení jejich systému nebo objevení nové zranitelnosti je v takovém případě nejen velice prestižní záležitost, protože počet zranitelností rok od roku klesá, ale především se na ní dá velice slušně vydělat. Ať už jejím prodejem podsvětí nebo přímo provozovateli dané aplikace.

Štítky:
celý článek

Kybernetické hrozby jsou jen další buzzword

Kybernetická bezpečnost, kybernetické hrozby a kybernetická rizika jsou jen další buzzword.

Používání slova cyber se stalo v posledních měsících velice módní záležitostí a to i v České republice, kam tento buzzword sice dorazil s určitým zpožděním, ale hned se stal jedním z nejčastěji používaných slov mezi manažery a odborníky na bezpečnost.

Štítky: ,
celý článek

Autentizace: Jednorázová hesla – TOTP

V tomto příspěvku se podíváme, jak funguje generování jednorázového hesla pomocí algoritmu TOTP.

Time-based One-time Password zkr, TOTP, který je popsán v RFC6238 je rozšířením nám již známého HMAC-based One Time Password zkr. HOTP, kde je místo náhodného čísla C, které se s každým vygenerovaným OTP postupně zvyšuje, použito číslo, které je odvozeno z aktuálního času. Předpokladem tedy je, aby na klientovi i serveru byl stejný čas.

Štítky: ,
celý článek

Měly by se informace o zranitelnostech zveřejňovat?

question

Měly by se informace o nově nalezených zranitelnostech zveřejňovat i přesto, že v okamžiku zveřejnění zranitelnosti dochází k prudkému nárůstu nových verzí malwaru a útokům zneužívajících danou zranitelnost a to až stotisíckrát?

Mezi odbornou veřejností převládá názor, že ano. Ovšem nenadešel čas tento názor přehodnotit?

Štítky:
celý článek