Na obzoru se objevují nové hrozby, třeste se! – 2. díl

Neuplynul ještě ani měsíc a máme tady další generaci toho nejhoršího malwaru, jenž spatřil světlo tohoto světa.

Spousta bezpečnostních expertů je přesvědčena, že je jejich IDS/IPS, UTM/XTM, NGFW zařízení spolu s AV ochranou na stanicích ochrání před APT, jejichž cílem je získání cenných informací, jež útočníkovi umožní získat konkurenční výhodu na trhu. Neochrání, neboť malware se stává stále sofistikovanějším a techniky sociálního inženýrství, byly, jsou a nadále i budou úspěšně využívány k jeho distribuci, a to i ve společnostech, kde mají zavedenou vícevrstvou ochranu, používají host based i network based řešení, mají aktualizované systémy a věnují se osvětě na poli informační bezpečnosti.

Štítky: , , ,
celý článek

Základy kryptografie pro manažery: PBKDF2

Kryptografická funkce PBKDF2 je ideální pro použití v autentizačním schématu, neboť použitá sůl zabraňuje slovníkovému útoku a stretching zase útoku hrubou silou.

PBKDF2  (Password Based Key Derivation Function) je kryptografická funkce, která generuje klíč (derived key, zkr. DK) o požadované délce (derived key length, zkr. dkLen) z hesla (Password, zkr. P) zadaného uživatelem a soli (salt, zkr. S) libovolné délky a to opakováným voláním (iteration count, zkr. c) pseudonáhodné funce (pseudo random function, zkr. PRF), jejímž výstupem je hash o určité délce (hash length, hLen).

Štítky:
celý článek

Penetrační testy: Denial of Service

Cílem DoS a DDoS útoků je dosažení odepření služby oprávněnému uživateli. Tyto útoky mohou být směřovány na infrastrukturu, systém nebo samotnou aplikaci.

Útoky na samotnou infrastrukturu, a operační systémy bývají nejméně časté, neboť ty zpravidla bývají dobře chráněny, a navíc lze tyto útoky relativně snadno odhalit, protože v zásadě fungují stejně.

Štítky:
celý článek

Na obzoru se objevují nové hrozby, třeste se!

Tyto hrozby jsou realizovány prostřednictvím malware, který se dostává na zařízení obětí obdobným způsobem jako jakýkoliv jiný škodlivý kód.

To znamená, že stejně jako ostatní APT využívá technik sociálního inženýrství, nezáplatovaných systémů, a samozřejmě i zero day zranitelností. Ovšem oproti klasickému malwaru tohoto typu, který pouze skenuje lokální a síťové disky a hledá na nich cenné informace, které následně šifruje a přenáší na nějaký kompromitovaný server kdesi na internetu, je tento malware mnohem sofistikovanější a je tak velice obtížné ho odhalit, protože ho nedetekují ani nástroje na behaviorální analýzu sítě (Network Behavior Analysis, zkr. NBA).

Štítky: , ,
celý článek

Steganografie: využíváme obrázek jako krycí objekt

V minulém příspěvku jsme se věnovali tomu, co je to steganografie. Dnes se podíváme, jakým způsobem vložit do obrázku tajnou zprávu nebo vodoznak.

Steganografii lze využít nejen k přenosu tajné zprávy, ale i k ochraně obrázků před jejich změnou nebo za účelem prokazování autorství, kdy se do obrázku vkládá tzv. digitální vodotisk (digital watermarking). Jako ochrana před nežádoucími změnami v obrázku se používá tzv. slabý vodoznak (fragile watermarking), který slouží ke zjištění, zda s daným obrazem nebylo manipulováno. Pokud ano, tak dojde k jeho poškození. Jako ochrana před neoprávněným použitím i částí díla se pak používá silný vodoznak (robust watermarking), který nelze z díla jednoduše odstranit a zůstává v něm i po mnoha úpravách.

Štítky:
celý článek

Steganografie

Cílem steganografie je předat tajnou zprávu příjemci takovým způsobem, aby nikdo nepojal podezření, že nějaká utajená komunikace mezi dvěma subjekty vůbec probíhá.

To se provede tak, že se tajná zpráva ukryje do jiné informace, kterou může být naprosto nevinný text, obrázek, zvuk nebo video, který se nazývá krycí objekt. Příjemce zprávy musí samozřejmě vědět, jakým způsobem z krycího objektu tajnou zprávu získat. Jedná se samozřejmě o security by obscurity přístup, nicméně, nikde není řečeno, že tajná zpráva nemůže být ještě šifrována.

Štítky: ,
celý článek

Proč tak často dochází k únikům hesel?

V poslední době došlo k několika velkým únikům hashů hesel a k jejich následnému prolomení. Proč k tomu došlo? Dalo se tomu zabránit? Na tyto a další otázky se pokouší odpovědět tento rozhovor.

Většina provozovatelů webů buď spoléhá na to, že uživatelé budou používat bezpečná hesla a nebo jim je to úplně jedno. Pravda je taková, že uživatelé již po několik desítek let používají slabá hesla, která lze snadno uhádnout, a nic nenasvědčuje tomu, že by tomu mělo být do budoucna jinak. Kromě toho nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou. Musíme se tedy chtě nechtě smířit s tím, že hesla se budou i nadále v rámci autentizace používat a usilovat o minimalizaci rizik s tím spojených.

Štítky: , , ,
celý článek

Bezpečnost webových aplikací: SSDLC

Bezpečnost by měla být součástí životního cyklu vývoje software, protože čím později je bezpečnostní slabina odhalena, tím nákladnější je pak její odstranění.

Bezpečný životní cyklus vývoje software (Secure Software Development Life Cycle, zkr. SSDLC) je pak takový cyklus vývoje software, kdy je bezpečnost nedílnou součástí celého vývojového cyklu a nachází se v každé jeho fázi. Bohužel dost často se setkáváme s tím, že spousta firem o SSDLC jen mluví a jejich aplikace obsahují spoustu zranitelností. Pojďme si společně projít jednotlivé fáze SSDLC a podívejme se, jak je v nich řešena bezpečnost. Životní cyklus vývoje software se zpravidla skládá z těchto fází: analýza, návrh, kódování, nasazení a provoz.

Štítky: ,
celý článek

LinkedIn: Bez soli, to je umění!

Jistě jste zaznamenali zprávy o tom, že na internet unikly hashe hesel více jak 6 miliónů uživatelů sociální sítě LinkedIn. Problém však nespočívá ani tak v tom, že byla použita hashovací funkce SHA1, jako že hesla byla v DB uložena jako nesolené hashe. Jednu podstatnou věc ale zatím nikdo nezmínil, a to že minimální požadavek na délku hesla uživatele této sociální sítě je pouhých 6 znaků. A vězte, že se najde dost uživatelů, kteří si nastaví heslo přesně o této délce.

Štítky:
celý článek

Autentizace: Jednorázová hesla – HOTP

V tomto příspěvku se podíváme, na jakém principu funguje generování jednorázových hesel pomocí algoritmu HOTP.

HMAC-Based One-Time Password, zkr. HOTP, který je popsán v RFC4226, využívá pro generování jednorázového hesla (One-Time Password, zkr. OTP) algoritmus, který může být vzhledem ke své jednoduchosti a nízkým požadavkům na výpočetní výkon provozován v podstatě na jakémkoliv HW. Není tedy divu, že je tento algoritmus používán např. i v SW tokenech, které jsou k dispozici v podstatě pro všechny nejpoužívanější mobilní OS.

Štítky: ,
celý článek