Apple iOS: zrádný Smart Cover

Byla objevena chyba v iOS 5, která útočníkovi umožňuje získat přístup k běžící aplikaci, aniž by musel zadat heslo pro odemčení obrazovky.

Tomuto riziku jsou vystaveni všichni uživatelé iPad 2, kteří své zařízení vybavili ochranným krytem (v originále nazvaném Smart Cover), a aktivovali funkci automatického uzamčení, po jeho zaklopení. Útočníkovi v takovém případě stačí podržet tlačítko Power, dokud se neobjeví obrazovka s textem „slide to power off“, přiklopit a odklopit kryt a kliknout na tlačítko Cancel v dolní části obrazovky. Řešením je funkci automatického zamykání pomocí krytu do doby vydání nové verze iOS deaktivovat v Settings – General – Smart Cover Unlocking – Off.

Štítky:
celý článek

Autentizace: Je lepší passphrase nebo komplexní heslo?

V tomto příspěvku se pokusíme zamyslet nad tím, zda místo komplexních hesel nepoužívat raději passphrase.

Pokud přijde řeč na autentizaci uživatele do systému pomocí hesla, tak je uživatel dost často nabádán k tomu, aby používal silná hesla, nikam si je nepoznamenával, pravidelně je měnil a rozhodně nepoužíval stejné heslo na více systémech. Smysluplnosti těchto pravidel jsme se věnovali v minulém příspěvku.

Štítky:
celý článek

Autentizace: Jednorázová hesla – S/KEY

V tomto příspěvku si povíme, jak se poměrně bezpečně autentizovat jednorázovým heslem vygenerovaným pomocí S/KEY.

Systém S/KEY funguje tak, že na tajný klíč K, který vznikne spojením uživatelem zvoleného hesla a výzvy serveru aplikuje N-krát hashovací funkci a vygeneruje přesně N jednorázových hesel (One Time Password, zkr. OTP). Přičemž poslední OTP, které uživatel nikdy zadávat nebude, se spolu s výzvou uloží do DB. Způsob, jakým jsou generována jednotlivá OTP, můžeme jednoduše zapsat takto: H(K), H(H(K))…H^N(K).

Štítky: ,
celý článek

ZeuS se stává sofistikovanějším

Nová verze bankovního trojana ZeuS je schopna se aktualizovat bez nutnosti připojení ke C&C serveru.

Nová verze bankovního trojana Zeus s podporou P2P (peer-to-peer) sítí, která byla detekována na počítačích v Indii, Itálii, US a dalších zemích, již nevyužívá k aktualizaci jediný centrální server (Command & Control server, zkr. C&C), nýbrž se snaží kontaktovat ostatní nakažené počítače, které jsou součástí botnetu čítajícího nyní již více než 100.000 strojů, a pokud se na některém z nich nachází novější verze, stáhne si aktualizaci z něho, čímž se stává boj s tímto trojanem opět o něco náročnější, neboť takovýto botnet již nelze tak jednoduše zastavit. Zdroj: Abuse.ch

Štítky: ,
celý článek

Nebezpečné QR kódy

QR kód, který mezi uživateli smartphonů nabývá stále více na popularitě, může být zneužit k šíření škodlivého kódu a nejen to.

Nejprve si ale povězme, co je ten QR kód vlastně zač a k čemu slouží. Vězte, že QR kód, plným názvem Quick Response code, je 2D kód vyvinutý společností Denso Wave, který má oproti klasickým čárovým kódům hned několik podstatných výhod.

Štítky:
celý článek

Mac OS X: Lion a nešťastná změna hesla

Na Mac OS X Lion je k dispozici utilita dscl, pomocí níž je možné nastavit nové heslo, aniž by bylo nutné zadávat heslo staré.

Na tom by nebylo nic divného, kdyby tato utilita byla dostupná pouze uživateli root, jenže tomu tak není. I běžný uživatel si může pomocí této utility změnit své heslo, aniž by musel zadávat heslo staré. A to znamená, že útočníkovi v takovém případě stačí získat jen na malý okamžik přístup k počítači oběti a může heslo změnit a totéž může při splnění určitých podmínek udělat i škodlivý kód, který může mít např. podobu nevinného JAVA appletu nacházejícího se na nějaké webové stránce.

Štítky:
celý článek

SpyEye Mitmo opět udeřil

SpyEye je bankovní malware, který je schopen odchytit přihlašovací údaje uživatele internetového bankovnictví a nejen to.

Oběti je po přihlášení do internetového bankovnictví prostřednictvím MITB  (Man In The Browser) zobrazen formulář, který na pozadí provede změnu telefonního čísla, na které banka zasílá jednorázový kód, a který je nutné do aplikace přepsat, aby bylo možné danou transakci dokončit. I v tomto případě je vygenerován jednorázový kód, který je zaslán jako SMS na mobilní telefon oběti.

Štítky: ,
celý článek

Autentizace: Jak po síti bezpečně přenést heslo

Heslo bychom nikdy neměli po síti přenášet v otevřeném tvaru, protože v takovém případě může být snadno odchyceno.

První, co každého asi napadne, je komunikovat se serverem přes HTTPS, kdy uživatel zadá do webového formuláře své jméno a heslo, a po kliknutí na tlačítko odeslat, se tyto údaje přenesou bezpečným kanálem na server. Zde se k heslu přičte sůl a pro vzniklý řetězec se spočte hash, který se uloží do DB.

Štítky:
celý článek

Je komunikace přes HTTPS bezpečná?

Thai Duong a Juliano Rizzo prohlásili, že jsou schopni pomocí JavaScriptu dešifrovat data mezi uživatelem a serverem přenášená přes HTTPS. Přičemž začlenění takového škodlivého JavaScript kódu do stránky může být provedeno mnoha různými způsoby. Jedním z nich může být ostatně i malvertising, o kterém jsme nedávno psali.

Štítky:
celý článek

Vícefaktorová autentizace a vzdálený přístup do systému

V případě vzdáleného přístupu do systému, který zpracovává citlivá data, by měla být použita vícefaktorová autentizace.

Autentizační autorita (verifier) může požadovat poskytnutí více faktorů anebo může být některý z faktorů použit pouze jako ochrana tajemství, jehož znalost je pro úspěšnou autentizaci nutná. Může se jednat např. o HW nebo SW token uchovávající kryptografický klíč (cryptographic key) nebo generující jednorázové heslo (One Time Password, zkr. OTP), které uvolní pouze v případě, že uživatel (claimant) zadá správné heslo nebo bude odpovídat jeho biometrická charakteristika. Nenechte se zmást, byť pro úspěšnou autentizaci ve výsledku stačí pouze daný klíč, jedná se též o dvoufaktorovou autentizaci.

Štítky:
celý článek