Google Android: má instalace antiviru smysl?

Vlastníte zařízení s operačním systémem Google Android? A pokud ano, používáte nějaký antivirus? A kolik jste zaznamenali virů? Hádám, že žádný. Ale jak je to možné? Jestli ono to nebude tím, že viry pro tuto platformu prakticky neexistují. Nebo chcete tvrdit, že nějaká aplikace, kterou jste si stáhli z Android marketu, replikovala část sebe sama a zapsala svůj kód do ostatních aplikací, aby se mohla dál šířit? Nebo napadla systém na jiném zařízení? Kdepak, k ničemu takovému nedošlo, protože se o žádný virus ani červa nejednalo.

Štítky:
celý článek

IT hrozby: Jaké hrozby můžeme očekávat v roce 2012

Místo masivních útoků, které ostatně zaznamenaly určitý pokles již v roce 2011, budeme stále častěji čelit cíleným sofistikovaným útokům.

Počet útoků na PC bude nadále kopírovat stávající trend, ovšem výrazný nárůst zaznamenají především útoky na uživatele mobilních zařízení. Nejvíce ohrožení budou uživatele s operačním systémem Android, ale ani uživatelé ostatních platforem jako je iOS nebo Windows Phone se nebudou moci cítit o mnoho bezpečněji. Útoky vedené prostřednictvím sociálních sítí budou nadále slavit svůj úspěch.

Štítky: ,
celý článek

Phishing: přichází nová generace phishingu

Položme si otázku, co by se stalo, kdyby byl phishing útok realizován opravdu na profesionální úrovni.

To znamená, že by byla použita perfektní čeština, mail by neobsahoval žádné gramatické ani stylistické chyby a použitý jazyk a grafická úprava by odpovídala dosavadní komunikaci, kterou např. banka se svými klienty vede. V zaslaném mailu by byl uveden i funkční odkaz na webové stránky na internetu s EV certifikátem, e-mailová adresa a telefonní číslo pro ověření zaslané zprávy, na které by se dalo opravdu dovolat, a kde by byl klient ubezpečen, že je vše v pořádku. Kolik klientů by bylo postiženo v takovém případě? Jak by takový útok mohl vypadat, a na co by si měl klient dát pozor, to se pokusí nastínit tento článek.

Štítky:
celý článek

Autentizace: analýza způsobu psaní na klávesnici

Je možné ověřit uživatele na základě toho, jakým způsobem píše na klávesnici?

Ovšem že ano, způsob jakým uživatel píše na klávesnici, je jednoznačně biometrická charakteristika a ta jako taková může být snadno využita v rámci vícefaktorové autentizace. Hlavní výhoda tohoto řešení pak spočívá především v tom, že není nutné instalovat žádný HW, neboť klávesnicí je vybaveno v podstatě každé zařízení a SW, který je k zaznamenání těchto charakteristik potřeba, může být snadno integrován v podobě javascriptu do každé webové aplikace.

Štítky: ,
celý článek

Přenesení čísla a útok na uživatele internetového bankovnictví

V souvislosti s nedávno publikovaným útokem na klienta internetového bankovnictví australské Commonwealth Bank, který pro přístup ke svému účtu používal dvoufaktorovou autentizaci, nás pochopitelně zajímalo, jakým způsobem útok proběhl, a zda by ho někdo nemohl realizovat i zde v ČR. Útok byl v podstatě velice primitivní a spočíval v tom, že útočník požádal jménem oběti o přenos telefonního čísla od společnosti Vodafone k jinému operátorovi, u kterého si zřídil za tímto účelem účet. Po ověření požadavku byl přenos telefonního čísla po 30 minutách proveden a číslo bylo aktivováno v síti jiného operátora.

Štítky: ,
celý článek

Podvodné e-shopy s certifikátem

Určitě jste zaznamenali, že se opět objevilo několik případů, kdy si někteří lidé přes internet objednali nějaké zboží, ale žádné nedostali.

Převážně se jednalo o e-shopy, které nabízely vybrané zboží výrazně laciněji než ostatní a požadovaly navíc platbu předem. Možná, že už to mělo zájemce o koupi varovat a donutit je zajímat se více o serióznost daného e-shopu. Bohužel vidina získání výrobku často za zlomek původní ceny je pro většinu lidí prostě příliš lákavá. Tyto e-shopy dost často používají stejná nebo obdobná jména jako na trhu již zavedené e-shopy, ale není to pravidlo.

celý článek

Autorizace transakce v internetovém bankovnictví jednorázovým heslem

V tomto příspěvku se zamyslíme nad tím, jak bezpečně potvrdit transakci v internetovém bankovnictví.

V minulém příspěvku jsme se zabývali otázkou, zda je jednorázové heslo (One Time Password, zkr. OTP) používané v rámci autentizace bezpečné. OTP však nemusí být vždy použito jen pro autentizaci. Např. v internetovém bankovnictví se OTP dost často používá pro autorizaci transakce, kdy uživatel musí každou transakci potvrdit jednorázovým heslem, nazývaným TAN (Transaction Authentication Number) případně mTAN (mobile Transaction Authentication Number) pokud je toto OTP zasíláno na mobilní zařízení klienta ve formě SMS.

Štítky: , ,
celý článek

Autentizace: úskalí hlasové autentizace

Je ověření hlasu dobrý způsob jak zabránit neoprávněnému přístupu do systému?

V minulém příspěvku jsme se zamýšleli nad tím, jak by mohla být provedena autentizace uživatele po telefonu. Řekli jsme si, že uživatel by mohl svoji identitu potvrdit znalostí hesla, svým hlasem a případně i číslem, ze kterého volá. Ignorovali jsme však jednu podstatnou skutečnost, že nejen poskytovatel služby, v naší úvaze banka, chce mít jistotu, že informaci nebo službu poskytuje oprávněnému uživateli, ale že i uživatel chce mít jistotu, že hovoří opravdu s bankou.

Štítky:
celý článek

Autentizace: Jsou jednorázová hesla bezpečná?

Jednorázové heslo (One Time Password, zkr. OTP) je takové heslo, které může být, jak již název napovídá, použito jen jednou a po použití se stává neplatným.

To znamená, že pokud dojde k zachycení OTP útočníkem, nemůže jím být k opětovnému přihlášení použito. Opravdu? Ve většině případů tomu tak je, pokud ovšem útočník zachycené OTP nepoužije dříve než oběť.

Štítky: ,
celý článek

Autentizace: hlasová biometrie

V tomto příspěvku se budeme zabývat otázkou jako ověřit uživatele pomocí hlasu.

Technologie hlasové biometrie (voice biometrics) umožňující autentizaci uživatele pomocí hlasu (voice authentication) v posledních letech pokročila na tolik, že jejímu masivnějšímu nasazení již nebrání ani tak cena, jako spíše stále přetrvávající nedůvěra odborné i laické veřejnosti v její spolehlivost. Není tedy divu, že se s touto technologií můžeme v běžném životě setkat zatím spíše výjimečně, a přitom by se dala poměrně efektivně využít např. v rámci skutečné vícefaktorové autentizace (multi-factor authentication, zkr. MFA) např. pro přístup klienta k bankovnímu účtu nebo k jiným citlivým informacím.

Štítky:
celý článek