Vishing

Doufali jsme, že se našemu Karlovi od posledního maléru už nic nestane, ale bohužel se opět dostal do problému. Tentokrát se útočník rozhodl, že Karlovi vybere jeho bankovní účet, který ovládá přes internetové bankovnictví.

Je známo, že Karel využívá svůj počítač často, téměř každý den usedá ke své obstarožní stanici, aby prováděl transakce pomocí internetového bankovnictví, na internetu vyhledával novinky ze světa showbyznysu, vitamínové i jiné preparáty.

Štítky:
celý článek

Microsoft Security Essentials

Pokud používáte operační systém od společnosti Microsoft a řešíte jaký antivirový prostředek nasadit, mohu vám vřele doporučit Microsoft Security Essentials.

Microsoft ví, co většina jeho zákazníků od počítače očekává. Chce počítač okamžitě používat pro svoji práci a nechce trávit čas nějakou složitou konfigurací. A tento požadavek Microsoft Security Essentials splňuje. Nejlepší na tomto produktu ale je, že je zdarma a to nejen pro domácnosti, ale i pro malé firmy, které ho mohou nasadit až na deset počítačů.

Štítky: ,
celý článek

Autentizace: politika účtů a hesel

Je možné nechat odpovědnost za kvalitu hesla zcela na uživateli nebo by to měl být systém, který by měl použití silného hesla vynucovat?

Jsme přesvědčeni, že na uživatele se nelze zcela spolehnout a že by systém sám měl kontrolovat, zda zadávané heslo obsahuje velká a malá písmena, čísla, speciální znaky a neobsahuje slova uvedená ve slovníku. Dále by měl systém kontrolovat, jakou má heslo délku, zda již nebylo uživatelem jednou použito nebo zda není jen drobnou obměnou hesla předchozího.

Štítky: ,
celý článek

Autentizace: Zařízení uživatele jako další faktor?

Je možné nahlížet na samotné zařízení, ze kterého uživatel přistupuje do aplikace, jako na autentizační faktor, kdy uživatel „něco má“?

Na internetu lze narazit na několik firem, které prosazují myšlenku využít samotného zařízení, ze kterého se uživatel hlásí, jako dalšího autentizačního faktoru. Bohužel většina z nich řešení, které nabízí, nazývá různě. Setkat se tak lze např. s pojmem Virtual token nebo CDI. Informace o tom, jak přesně jejich řešení fungují, však tyto firmy tají. Je zde patrný „security by obscurity“ přístup. Přitom princip, na jakém tato řešení fungují, je velice jednoduchý.

Štítky: ,
celý článek

Vícefaktorová autentizace

Co je to autentizace a jakými způsoby může proběhnout, jsme si uvedli již v prvním díle našeho seriálu.

Řekli jsme si, že autentizace může být založena na tom, že uživatel „něco ví“, „něco má“ nebo „něco je“. V dalších dílech jsme se pak věnovali jednotlivým autentizačním metodám. Dnes bychom mohli upřít svůj pohled směrem k vícefaktorové autentizaci.

Štítky: ,
celý článek

Security through obscurity

Tvrdím, že přístup „security through obscurity“ nebo chcete-li „security by obscurity“ má své opodstatnění, byť je mnohými bezpečnostními experty kategoricky odmítán.

Samozřejmě, pokud by byla bezpečnost postavená jen na tomto opatření, jednalo by se o špatný přístup. Ovšem při budování vícevrstvé ochrany plní toto opatření nezanedbatelnou roli a celkovou bezpečnost zvyšuje.

Štítky:
celý článek

Vícevrstvá bezpečnost

Pokud máme zajistit bezpečnost dat během celého jejich životního cyklu a to jak v úložišti, při přenosů a během použití, musíme zavést vhodná bezpečnostní opatření.

Najít odpověď na otázku, která bezpečností opatření by měla být zavedena v konkrétním případě, není možné bez provedení analýzy rizik. Obecně ale platí, že by měla být zavedena minimálně ta opatření, která patří do základní sady opatření.

Štítky:
celý článek

Autentizace v internetovém bankovnictví

Tento příspěvek se zabývá doporučením ohledně autentizace v internetovém bankovnictví, které před několika lety vydal FFIEC (Federal Financial Institutions Examination Council).

V dokumentu Guidance on Authentication in an Internet Banking Environment se uvádí, že finanční instituce by měly efektivně ověřovat identitu svých klientů a že finanční podvody a krádeže identit jsou často výsledkem používání jednofaktorové autentizace (ID a hesla), kterou FFIEC považuje za nevhodnou.

Štítky: , ,
celý článek

SIEM: Auditing a monitoring

Je SIEM něco, čím bychom se měli vážně zabývat nebo je to jen další buzzword?

V počátcích informatiky nepředstavoval auditing a monitoring informačního systému téměř žádný problém, neboť každá organizace měla zpravidla jen jeden informační systém, ke kterému se uživatelé připojovali prostřednictvím terminálů a vytvářel se tak pouze jeden log. Správce takového systému pak nastavil, které události se mají do logu zaznamenávat, a log pak pravidelně vyhodnocoval.

Štítky: ,
celý článek

Hacking jako marketingová technika?

Velmi často se na internetu stává, že se někdo snaží získat vaše citlivá data. O to větší překvapení pak nastává, když naopak citlivá data získáte vy, a ještě k tomu ta vaše. O tom, že tato data byla použita jako prostředek v rámci konkurenčního boje, nemusíte mít vůbec tušení, stejně tak jako Karel v tomto příběhu.

Štítky:
celý článek