Na Bug Bounty programy můžeme narazit u různých společnosti, zpravidla z oboru IT, jako je např. Google, Microsoft, Facebook, apod.

Takový Bug Bounty program funguje vcelku jednoduše. Najdete zranitelnost, nahlásíte ji dané firmě a ona vám za ní zaplatí. Jenže je tu několik úskalí, především pro firmu, co takový Bug Bounty program vyhlásí.

Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Zpracovávejte a uchovávejte jen nezbytně nutná data po nezbytně nutnou dobu.

Zpracovávejte jen nezbytně nutné informace, používejte je jen za účelem, za jakým jste je získali, chraňte je, aby jich nemohlo být zneužito, a odstraňte je v okamžiku, kdy už daný účel pomine.

Za posledních pár let došlo v oblasti vícefaktorové autentizace k podstatné změně.

Na definici vícefaktorové autentizace se sice nic nezměnilo, stále platí, že za ní můžeme označit takovou autentizaci, při které dochází k potvrzení identity uživatele několika různými způsoby, zpravidla heslem a poté použitím nějakého autentizačního zařízení, který uživatel vlastní, případně ověřením nějaké jeho biometrické charakteristiky.

Malware se v zásadě šíří e-mailem, přes nakažené aplikace na nejrůznějších úložištích a v neposlední řadě pak přes web, kdy se jedná o tzv. drive by download malware, který nevyžaduje žádnou interaktivitu ze strany uživatele.

Právě posledně jmenovaný vektor útoku doznal v posledních měsících jisté změny.

Dne 16. dubna 2018 tak trochu bez povšimnutí mainstreamových médií věnujících se bezpečnosti spatřila světlo světa nová verze NIST frameworku z roku 2014.

Na vzniku frameworku se podíleli bezpečností experti ze soukromého i veřejného sektoru a akademické sféry.

Dostala se ke mně poslední verze novelizace VoKB po zapracování připomínek od dotčených subjektů.

Pojďme se společně podívat, co zásadního nám novelizace vyhlášky přináší. Došlo k většímu množství formálních úprav, pojmů a jejich definic, a změnám v přílohách.

Byť se blíží termín nabytí účinnosti GDPR, tak jsem zaznamenal, že stále dost malých a středních podnikatelů není připraveno a neprovedli dokonce ani základní analýzu toho, jaké osobní údaje a kde zpracovávají.

Někteří z nich, nemaje povinnost jmenovat DPO, se dokonce nechali slyšet, že to příliš řešit nebudou a nechají tomu vzhledem k vágní definici a spornému výkladu pojmu přiměřenosti bezpečnostních opatření volný průběh, a udělají jen to nejnutnější a ono to nějak dopadne.

Tento příspěvek navazuje na minulé příspěvky, ve kterých jsem uváděl, jak identifikovat uživatele používající různé prohlížeče a dokonce i různá zařízení.

V tomto příspěvku se podíváme, jak je možné identifikovat uživatele používající TOR browser.

Od 30. dubna 2018 musí být všechny vydané TLS certifikáty vystaveny v databázích Certificate Transparency, zkr. CT.

Pokud tam prohlížeč Google Chrome certifikát nenajde, tak jej bude považovat za nedůvěryhodný.