Dvoufaktorová autentizace od Google

Ano, je to tak, Google umožňuje se svým uživatelům dvoufaktorově autentizovat.

Pokud se rozhodnete pro tento způsob autentizace, budete muset kromě svého uživatelského jména a hesla zadat ještě jednorázové heslo (One Time Password, zkr. OTP), kterému Google říká ověřovací kód (verification code). Ten vám bude zaslán na mobil ve formě SMS nebo bude vygenerován aplikací Google Authenticator, kterou si do svého smartphonu za tímto účelem nainstalujete.

Štítky: , ,
celý článek

Přichází nová generace malwaru pro chytré telefony

Hned na úvod bych chtěl podotknout, že byť se jedná jen o “proof of concept”, není přiliš těžké si představit, jakým směrem se může vývoj malwaru pro chytré telefony dále ubírat.

Soundminer je specializovaný trojan (sensory malware) pro mobilní telefony s operačním systémem Google Android, který je schopen extrahovat z komunikace, kterou vede klient např. se systémem IVR své banky, číslo kreditní karty nebo PIN a to pak může být pomocí dalšího trojana zvaného Deliverer zasláno na server útočníka.

Štítky: ,
celý článek

Chytré telefony a smudge attack

V tomto příspěvku si povíme, jak snadné je zjistit znak, který uživatel systému Google Android používá k odemčení svého chytrého telefonu.

Pokud nechcete, aby se k datům na vašem smartphonu dostal někdo jiný, nastavte si ho tak, aby se vám po určité době nečinnosti sám uzamkl. Zadávat ale v okamžiku, kdy chcete svůj smartphone použít, nějaké dlouhé heslo je otrava. To si uvědomil i Google, který majitelům smartphonů s operačním systémem Google Android umožňuje telefon odemykat pomocí tzv. Android password pattern.

Štítky:
celý článek

Používání soukromých telefonů k pracovním účelům a naopak

V tomto příspěvku se pokusím upozornit na rizika, která vyplývají z používání soukromých telefonů k pracovním účelům a naopak.

Na tento problém jsme ostatně narazili již v příspěvku, Lesk a bída HR v ČR, ve kterém jsme se věnovali benefitům. Dal by se i v případě chytrých telefonů použít model BYOC (Buy Your Own Computer) nebo chcete-li BYOS (Buy Your Own Smartphone)? Myšlenka BYOX (za X si můžete dosadit cokoliv) je velice prostá. Zaměstnanec si vybere zařízení, jaké chce, a zaměstnavatel mu na něj přispěje určitou částkou.

Štítky: ,
celý článek

Autentizace: partial password

Myšlenka autentizovat se nikoliv zadáním celého hesla, ale jen pomocí několika málo znaků z hesla, není nová.

Způsob jak taková autentizace probíhá, je velice jednoduchý. Uživatel se nejprve identifikuje a systém ho poté vyzve, aby zadal znaky, které se nacházejí na vybraných pozicích jeho hesla. Počet znaků, které musí uživatel zadat, je obvykle daný, leč pozice jsou generovány náhodně.

Štítky: , ,
celý článek

Zrádné smartphony aneb chytré telefony, které vás mohou i zničit

Únik informací, naprostá ztráta soukromí, kompromitace a finanční problémy, to jsou největší rizika, kterým jsou vystaveni uživatelé smartphonů. A většina z nich si tato rizika vůbec neuvědomuje nebo je přesvědčena, že se jich netýkají.

Bohužel tomu tak není. Těmto rizikům jsou vystaveni prakticky všichni a to od čelních představitelů vlády, police, armády, přes vlastníky firem, profesionální manažery a jejich asistentky, až po drobné a střední podnikatele, živnostníky či prosté občany.

Štítky: ,
celý článek

Laxní přístup k zabezpečení virtualizovaného prostředí

Jak přistoupit k zabezpečení vizualizovaného prostředí a minimalizovat rizika vizualizace.

Virtualizace serverů ve výrobních prostředích rostla v posledních letech raketovým tempem, a to z téměř nulového stavu v roce 2004 až ke značné rozšířenosti v roce 2009. Z různých průzkumů vyplývá, že 93% organizací provádí virtualizaci serverů a 78% používá virtuální počítače na straně uživatelů. 48% účastníků potvrzuje, že virtualizace skutečně snížila jejich náklady, většinou díky konsolidaci serverů a nižší spotřebě energie.

Štítky: ,
celý článek

Lámání hesel: on-line útok

V zásadě můžeme rozlišit dva typy útoků. V prvním případě je cílem útočníka uhádnutí hesla ke konkrétnímu účtu a ve druhém uhádnutí hesla k jakémukoliv účtu.

Ač útočník daleko spíše získá přihlašovací údaje k vybrané službě pomocí malwaru, phishingu nebo prostým zkopírováním celé DB hesel, nebude na škodu, když si popíšeme, jakým způsobem by mohlo probíhat hádání hesel v reálném čase přímo proti autentizační autoritě.

Štítky: ,
celý článek

Man in the mobile aneb útok na uživatele internetového bankovnictví

Když se před časem na severu SecurityPortal objevil příspěvek o možném útoku na uživatele internetového bankovnictví, kteří využívají mTAN zasílaný ve formě SMS na mobilní telefon jako druhý autentizační faktor nebo jím potvrzují transakci, tak to na tvářích mnohých bezpečnostních expertů vyloudilo jen pobavený úsměv.

O několik měsíců později jim však úsměv na rtech poněkud ztuhl, protože se začaly objevovat první zprávy, že popsaný útok je nejen možné poměrně snadno realizovat, ale že již dokonce začal, viz informace na blogu s21sec nebo fortinet, kde je popsáno, jak tato nová verze trojského koně ZeuS, která útok na uživatele internetového bankovnictví umožňuje, vlastně funguje.

Štítky: , ,
celý článek

Distribuované lámání hesel pomocí JavaScriptu

V článku „Lámání hesel“ jsme si uvedli, že lámání hesel lze velice dobře paralelizovat. Na nedávné Black Hat konferenci v Abu Dhabi bylo prezentováno řešení, které přesně tohle umožňuje.

Na první pohled nic zajímavého, protože nástroje, které umožňují distribuované lámání hesel, jsou k dispozici již poměrně dlouhou dobu. Jenže v tomto případě se nemusí na počítač, který má být k lámání hesel použit, nic instalovat. O vše se postará obyčejný JavaScript.

Štítky: ,
celý článek