Útoky na webové aplikace jsou stále častější, především kvůli zvyšujícímu se počtu uživatelů internetu a dále snadné dostupnosti nástrojů a návodů jak tyto útoky provádět.

V této souvislosti nemůžeme nezmínit projekt OWASP (The Open Web Application Security Project). Pokud na stránky projektu OWASP zavítáte poprvé, zcela jistě se na nich nebudete vůbec orientovat a vědět čím začít. Cílem tohoto příspěvku je tuto situaci alespoň trochu napravit, neboť na stránkách projektu se nachází velice cenné informace.

Je 4místný PIN, ve kterém se jedna cifra opakuje, bezpečnější než PIN, ve kterém jsou použity čtyři různé cifry?

Na jakýkoliv telefon s dotykovým displejem může být veden smudge attack, avšak obrana proti tomuto útoku je naprosto jednoduchá. Stačí vždy po použití telefonu otřít displej. Ovšem pokud tak neučiníte, zůstanou na něm zřetelné stopy. V takovém případě je pak celkem velká pravděpodobnost, že se útočníkovi podaří váš telefon, v případě že se ho zmocní, odemknout.

Dnes si povíme, co je to firewall nové generace (Next Generation Firewall, zkr. NGFW) a co od něho můžeme očekávat.

NGFW není nic jiného než výkonnější UTM/XTM, jež v sobě integruje více zařízení, které byly dříve nasazeny zcela samostatně. Rozdíl mezi UTM/XTM a NGFW je skutečně jen ve výkonu, takže zařízení, které se nazývá UTM/XTM je určeno spíše menším a středním firmám, zatímco zařízení označované jako NGFW je nabízeno organizacím s velkým počtem zaměstnanců. NGFW je tedy jen další buzzword, tentokrát nejspíš od Gartnerů, a vše, co jsem psal o UTM/XTM, platí i pro něj. NGWF může fungovat jako:

Většina firem si stále neuvědomuje, že jejich nejcennějším aktivem jsou informace, a že by jejich ochraně měly věnovat dostatečnou pozornost.

A je jedno, zda se jedná o informace o nových produktech, technologiích, výrobních postupech, klientech nebo marketingové strategii. Pravda je, že tyto informace mají určitou hodnotu, a pokud nejsou odpovídajícím způsobem chráněny, mohou být snadno zcizeny a zneužity. Z tohoto důvodu by měla každá organizace, ve vlastním zájmu a bez ohledu na svou velikost a předmět podnikání, zavést určitá bezpečnostní opatření.

Tento příspěvek se snaží přinést odpověď na otázku, proč jsou passphrase bezpečnější než hesla.

Tentokrát vás nebudu obtěžovat žádnou matematikou. Vyjdeme čistě z toho, jaká hesla většina uživatelů volí. Rozhodně to nejsou komplexní hesla, která by bylo obtížné prolomit a nejinak tomu je i u passphrase. Uživatelé mají v okamžiku, kdy jsou vyzvání k zadání passphrase tendenci přistupovat k volbě passphrase stejně nezodpovědně jako k volbě hesla. Uživatelé volí ustálená slovní spojení, která je útočník schopen prolomit obdobným způsobem jako hesla, ale přesto jsou tyto passphrase bezpečnější než heslo. Proč?

Zaměstnanci odmítají chránit svůj telefon pomocí hesla, protože zadávání hesla je obtěžuje.

A tento odmítavý postoj zaujímají jak zaměstnanci, tak i manažeři. Cožpak si neuvědomují, jak cenná data na svých smartphonech mají? Uvědomují, ale jaksi si nechtějí připustit, že zrovna jejich smartphone by mohl někdo ukrást nebo že by ho mohli někde zapomenout či ztratit. A přitom z nejrůznějších průzkumů vyplývá, že smartphony se ztrácejí a první, co nálezce udělá, že si prohlédne obsah daného zařízení. V případě, že telefon není chráněn PINem nebo heslem jsou pak informace na něm uložené komukoliv, kdo se daného zařízení zmocní, přístupné.

Ze studie společnosti ElcomSoft vyplývá, že mnoho správců hesel (Password Manager) není schopno jím svěřená hesla dostatečně dobře ochránit.

Příčiny jsou dvě. Vývojáři buď nevyužívají bezpečných kryptografických funkcí, které nabízí samotný operační systém, neboť nejsou ochotni věnovat dostatek času jejich studiu, a raději implementují své vlastní kryptografické funkce, aby mohli danou aplikaci snadno portovat i na jiné platformy, ovšem implementují je špatně. V praxi to pak znamená, že správci hesel nedostatečně chrání hesla, která jim uživatelé svěřili.

Gesto a PIN do mobilních zařízení je možné prolomit do několika málo minut. Jedinou skutečnou ochranou je dlouhé komplexní heslo.

V polovině minulého roku jsem psal o tom, že firma Elcomsoft vyvinula nástroj, který dokáže prolomit heslo do iOS za několik málo minut. Od té doby se na trhu objevilo dalších několik nástrojů, které dělají v podstatě totéž. Např. firma Micro Systemation tvrdí, že dokáže prolomit heslo prakticky do jakéhokoliv mobilního zařízení, jak by také ne, když polovina pracovníků této firmy nedělá nic jiného, než že hledá zranitelnosti v telefonech.

S exploity se čile obchoduje, největší zájem je o exploity pro iOS, Chrome, Internet Explorer, Firefox, Safari, Windows, Word, Flash, Java, Android, Mac OSX a Adobe Reader.

Jinými slovy největší poptávka je exploitech pro nejpoužívanější operační systémy, prohlížeče a aplikace. Přičemž někteří zákazníci, mezi které patří především orgány státní moci v Evropě a US, jsou za exploit ochotni zaplatit až několik stovek tisíc dolarů. Cena se odvíjí především od toho, zda již byl o dané zranitelnosti informován autor daného SW.

Falešné antiviry stále představují vážnou hrozbu, byť se šíří víceméně stejným způsobem již několik let.

Nic netušícímu uživateli se při surfování po webových stránkách objeví popup okno, vyvolané pomocí javascriptu umístěného na dané stránce, které vás informuje o tom, že webová stránka detekovala na vašem počítači možný virus, a že máte ve vlastním zájmu provést kontrolu vašeho počítače na přítomnost virů. Aby uživatel uvěřil hlášení, že se na jeho počítači skutečně nachází nějaký virus, není zobrazeno standardní popup okno, ale okno, které imituje hlášení samotného systému nebo nějakého známého antivirového prostředku.