Jak rozeslat v poměrně krátkém čase tisíce e-mailů a nedostat se přitom na blacklist?

Potřebujete rozeslat např. v rámci své marketingové kampaně velké množství víceméně stejných e-mailů na různé e-mailové adresy a to během poměrně krátké doby? Pak je možné, že se váš server dostane na černou listinu, tzv. blacklist a vaše společnost bude označena jako společnost, která rozesílá nevyžádanou poštu, tzv. SPAM a porušuje tím zákon.

Určitě ano, otázkou spíš je, jak by takový antimalware nástroj měl fungovat, aby nás spolehlivě ochránil i před novými hrozbami.

Pokud přijde řeč na to, jaký prostředek používat, tak vám každý výrobce doporučí a do nebe vychválí ten svůj produkt, a své tvrzení podloží i nějakým tím „nezávislým“ testem, který bude potvrzovat, že zrovna jeho produkt je nejlepší, protože se umístil v testu AV na prvním místě nebo že se umístil mezi lídry v Gartner Magic Quadrantu. V podstatě je ale jedno, pro který produkt se rozhodnete, zda pro Avast, AVG, Eset, Kaspersky, McAfee, Symantec nebo Microsoft Security Essentials, protože co nezávislé hodnocení, to jiné pořadí, jež se navíc mění ze dne na den.

Neuplynul ještě ani měsíc a máme tady další generaci toho nejhoršího malwaru, jenž spatřil světlo tohoto světa.

Spousta bezpečnostních expertů je přesvědčena, že je jejich IDS/IPS, UTM/XTM, NGFW zařízení spolu s AV ochranou na stanicích ochrání před APT, jejichž cílem je získání cenných informací, jež útočníkovi umožní získat konkurenční výhodu na trhu. Neochrání, neboť malware se stává stále sofistikovanějším a techniky sociálního inženýrství, byly, jsou a nadále i budou úspěšně využívány k jeho distribuci, a to i ve společnostech, kde mají zavedenou vícevrstvou ochranu, používají host based i network based řešení, mají aktualizované systémy a věnují se osvětě na poli informační bezpečnosti.

Kryptografická funkce PBKDF2 je ideální pro použití v autentizačním schématu, neboť použitá sůl zabraňuje slovníkovému útoku a stretching zase útoku hrubou silou.

PBKDF2  (Password Based Key Derivation Function) je kryptografická funkce, která generuje klíč (derived key, zkr. DK) o požadované délce (derived key length, zkr. dkLen) z hesla (Password, zkr. P) zadaného uživatelem a soli (salt, zkr. S) libovolné délky a to opakováným voláním (iteration count, zkr. c) pseudonáhodné funce (pseudo random function, zkr. PRF), jejímž výstupem je hash o určité délce (hash length, hLen).

Cílem DoS a DDoS útoků je dosažení odepření služby oprávněnému uživateli. Tyto útoky mohou být směřovány na infrastrukturu, systém nebo samotnou aplikaci.

Útoky na samotnou infrastrukturu, a operační systémy bývají nejméně časté, neboť ty zpravidla bývají dobře chráněny, a navíc lze tyto útoky relativně snadno odhalit, protože v zásadě fungují stejně.

Tyto hrozby jsou realizovány prostřednictvím malware, který se dostává na zařízení obětí obdobným způsobem jako jakýkoliv jiný škodlivý kód.

To znamená, že stejně jako ostatní APT využívá technik sociálního inženýrství, nezáplatovaných systémů, a samozřejmě i zero day zranitelností. Ovšem oproti klasickému malwaru tohoto typu, který pouze skenuje lokální a síťové disky a hledá na nich cenné informace, které následně šifruje a přenáší na nějaký kompromitovaný server kdesi na internetu, je tento malware mnohem sofistikovanější a je tak velice obtížné ho odhalit, protože ho nedetekují ani nástroje na behaviorální analýzu sítě (Network Behavior Analysis, zkr. NBA).

V minulém příspěvku jsme se věnovali tomu, co je to steganografie. Dnes se podíváme, jakým způsobem vložit do obrázku tajnou zprávu nebo vodoznak.

Steganografii lze využít nejen k přenosu tajné zprávy, ale i k ochraně obrázků před jejich změnou nebo za účelem prokazování autorství, kdy se do obrázku vkládá tzv. digitální vodotisk (digital watermarking). Jako ochrana před nežádoucími změnami v obrázku se používá tzv. slabý vodoznak (fragile watermarking), který slouží ke zjištění, zda s daným obrazem nebylo manipulováno. Pokud ano, tak dojde k jeho poškození. Jako ochrana před neoprávněným použitím i částí díla se pak používá silný vodoznak (robust watermarking), který nelze z díla jednoduše odstranit a zůstává v něm i po mnoha úpravách.

Cílem steganografie je předat tajnou zprávu příjemci takovým způsobem, aby nikdo nepojal podezření, že nějaká utajená komunikace mezi dvěma subjekty vůbec probíhá.

To se provede tak, že se tajná zpráva ukryje do jiné informace, kterou může být naprosto nevinný text, obrázek, zvuk nebo video, který se nazývá krycí objekt. Příjemce zprávy musí samozřejmě vědět, jakým způsobem z krycího objektu tajnou zprávu získat. Jedná se samozřejmě o security by obscurity přístup, nicméně, nikde není řečeno, že tajná zpráva nemůže být ještě šifrována.

V poslední době došlo k několika velkým únikům hashů hesel a k jejich následnému prolomení. Proč k tomu došlo? Dalo se tomu zabránit? Na tyto a další otázky se pokouší odpovědět tento rozhovor.

Většina provozovatelů webů buď spoléhá na to, že uživatelé budou používat bezpečná hesla a nebo jim je to úplně jedno. Pravda je taková, že uživatelé již po několik desítek let používají slabá hesla, která lze snadno uhádnout, a nic nenasvědčuje tomu, že by tomu mělo být do budoucna jinak. Kromě toho nelze očekávat, že by v dohledné době byla hesla zcela nahrazena nějakou jinou autentizační metodou. Musíme se tedy chtě nechtě smířit s tím, že hesla se budou i nadále v rámci autentizace používat a usilovat o minimalizaci rizik s tím spojených.

Bezpečnost by měla být součástí životního cyklu vývoje software, protože čím později je bezpečnostní slabina odhalena, tím nákladnější je pak její odstranění.

Bezpečný životní cyklus vývoje software (Secure Software Development Life Cycle, zkr. SSDLC) je pak takový cyklus vývoje software, kdy je bezpečnost nedílnou součástí celého vývojového cyklu a nachází se v každé jeho fázi. Bohužel dost často se setkáváme s tím, že spousta firem o SSDLC jen mluví a jejich aplikace obsahují spoustu zranitelností. Pojďme si společně projít jednotlivé fáze SSDLC a podívejme se, jak je v nich řešena bezpečnost. Životní cyklus vývoje software se zpravidla skládá z těchto fází: analýza, návrh, kódování, nasazení a provoz.