Patch management

questionPatch mananagement je proces, který se skládá z několika kroků. Začíná zjištěním existence patche, rozhodnutím o jeho relevantnosti, pokračujíc jeho testováním a končící postupným nasazením na všech systémech. Samotný patch je pak kód, který odstraňuje nedostatky ve stávající verzi softwaru. A může se jednat o nedostatky související s bezpečností, stabilitou nebo použitelností.

V okamžiku, kdy se objeví nějaká zranitelnost a je uvolněn odpovídající patch, stojíme před zásadní otázkou, zda ho nasadit nebo ho nejprve důkladně otestovat.

Štítky:
celý článek

Armáda temnot aneb jak funguje botnet

zombieBotnety, armády zombií počítačů rozmístěných prakticky po celém světě jsou stále častěji zneužívány k nejrůznějším útokům.

Jak to celé funguje, je velice prosté. Každý server na internetu má přidělenou nějakou IP adresu a jméno (hostname). S jedním hostname je obvykle svázána jedna IP adresa, ale může jich být i víc.

Štítky:
celý článek

Bezpečnostní technologie a sdílení síťové infrastruktury

Využívání síťové infrastruktury pro přenos dat bezpečnostních technologií jako je CCTV, EZS, ACC, EPS, EČZ.

Nedávno jsme se zabývali otázkou, jak snížit náklady na IT. Dnes se zamyslíme nad tím, zda by se nedaly snížit celkové náklady na bezpečnost tím, že bychom k přenosu dat ze zařízení sloužící k zajištění fyzické bezpečnosti využívali stejnou síťovou infrastrukturu, která se již dnes používá pro přenos business dat.

Štítky:
celý článek

Bezkontaktní platby: Jsou bezpečné?

Zavedením bezkontaktních karet by se měly výrazně zrychlit platby za drobné zboží. Tomu by měla nahrát i skutečnost, že pro potvrzení platby nebude nutné zadávat PIN.

Nejedná se ale o nic nového, naopak, je to záležitost stará několik let, která ve světě existuje pod názvem PayPass, což je řešení od společnosti MasterCard představené již v roce 2003. S obdobným řešením pak přišla v roce 2007 i společnost VISA a nazvala ho payWave. Pro úplnost je třeba dodat, že obě řešení používají RFID technologii a obě tyto společnosti pak s příchodem smartphonů na trh začaly spolupracovat s jejich výrobci, aby bylo místo karty možné použít smartphone vybavený technologií NFC (Near Field Communication).

Štítky:
celý článek

Cloud computing: soukromý a veřejný cloud

V tomto příspěvku se již nebudeme věnovat popisu toho, co je to cloud, neboť tomu již byl věnován příspěvek nazvaný cloud computing.

Jistě jste zaznamenali, že některé firmy, které dříve měly svá data uložena ve veřejném cloudu, začínají tato data přesouvat do privátního cloudu, neboť jsou si vědomy rizik, která jsou s veřejnými cloudy spojena. Určitě jste si také všimli, že mnohé firmy, které o přesunutí svých dat a aplikací do veřejného cloudu uvažují, se nejprve snaží vybudovat svůj vlastní privátní cloud.

Štítky:
celý článek

Zrádné smartphony: spyware

Pokud chce v dnešní době někdo někoho špehovat, nepotřebuje k tomu žádné nákladné vybavení ani znalosti.

Pokud zavítáte např. na stránky společnosti Retina-X Studios, můžete si zakoupit jejich software Mobile Spy, který byl již v roce 2011 k dispozici pro všech pět nejpoužívanějších operačních systémů tj. pro Symbian, iPhone, Android, BlackBerry a Windows Mobile. Nyní, zdá se, už jen pro Android.

Štítky: ,
celý článek

DNSSEC – falešný pocit bezpečí?

DNSSEC je třeba vnímat jen jako další vrstvu zabezpečení, neboť k přesměrování můžete dojít i v případě, kdy váš ISP bude DNSSEC používat.

Každý server na internetu má nějakou IP adresu, které odpovídá nějaký název. A aby bylo možné se spojit s daným serverem po zadání jeho názvu v adresním řádku prohlížeče, musí se někde nejprve dohledat, jaká IP adresa odpovídá danému názvu a k tomu slouží tzv. jmenné servery (Domain Name Server zkr. DNS). I váš počítač se dotazuje nějakého DNS serveru. Jakého, to např. v prostředí MS Windows zjistíte příkazem ipconfig /all.

Štítky:
celý článek

ZeuS Mitmo opět udeřil

ZeuS Mitmo je trojský kůň, který je cílen na uživatele internetového bankovnictví, kteří pro autentizaci a autorizaci transakcí používají mobilní telefon, resp. mTAN (mobile Transaction Authentication Number), což je jednorázové heslo (One Time Password, zkr. OTP), které jim banka zasílá na jejich mobilní telefon ve formě SMS.

Tento trojský kůň se poprvé objevil v minulém roce ve Španělsku, ale o tom jsme již psali.

Štítky: , ,
celý článek

Dvoufaktorová autentizace od Google

Ano, je to tak, Google umožňuje se svým uživatelům dvoufaktorově autentizovat.

Pokud se rozhodnete pro tento způsob autentizace, budete muset kromě svého uživatelského jména a hesla zadat ještě jednorázové heslo (One Time Password, zkr. OTP), kterému Google říká ověřovací kód (verification code). Ten vám bude zaslán na mobil ve formě SMS nebo bude vygenerován aplikací Google Authenticator, kterou si do svého smartphonu za tímto účelem nainstalujete.

Štítky: , ,
celý článek

Přichází nová generace malwaru pro chytré telefony

Hned na úvod bych chtěl podotknout, že byť se jedná jen o “proof of concept”, není přiliš těžké si představit, jakým směrem se může vývoj malwaru pro chytré telefony dále ubírat.

Soundminer je specializovaný trojan (sensory malware) pro mobilní telefony s operačním systémem Google Android, který je schopen extrahovat z komunikace, kterou vede klient např. se systémem IVR své banky, číslo kreditní karty nebo PIN a to pak může být pomocí dalšího trojana zvaného Deliverer zasláno na server útočníka.

Štítky: ,
celý článek