Laxní přístup k zabezpečení virtualizovaného prostředí

Jak přistoupit k zabezpečení vizualizovaného prostředí a minimalizovat rizika vizualizace.

Virtualizace serverů ve výrobních prostředích rostla v posledních letech raketovým tempem, a to z téměř nulového stavu v roce 2004 až ke značné rozšířenosti v roce 2009. Z různých průzkumů vyplývá, že 93% organizací provádí virtualizaci serverů a 78% používá virtuální počítače na straně uživatelů. 48% účastníků potvrzuje, že virtualizace skutečně snížila jejich náklady, většinou díky konsolidaci serverů a nižší spotřebě energie.

Štítky: ,
celý článek

Lámání hesel: on-line útok

V zásadě můžeme rozlišit dva typy útoků. V prvním případě je cílem útočníka uhádnutí hesla ke konkrétnímu účtu a ve druhém uhádnutí hesla k jakémukoliv účtu.

Ač útočník daleko spíše získá přihlašovací údaje k vybrané službě pomocí malwaru, phishingu nebo prostým zkopírováním celé DB hesel, nebude na škodu, když si popíšeme, jakým způsobem by mohlo probíhat hádání hesel v reálném čase přímo proti autentizační autoritě.

Štítky: ,
celý článek

Man in the mobile aneb útok na uživatele internetového bankovnictví

Když se před časem na severu SecurityPortal objevil příspěvek o možném útoku na uživatele internetového bankovnictví, kteří využívají mTAN zasílaný ve formě SMS na mobilní telefon jako druhý autentizační faktor nebo jím potvrzují transakci, tak to na tvářích mnohých bezpečnostních expertů vyloudilo jen pobavený úsměv.

O několik měsíců později jim však úsměv na rtech poněkud ztuhl, protože se začaly objevovat první zprávy, že popsaný útok je nejen možné poměrně snadno realizovat, ale že již dokonce začal, viz informace na blogu s21sec nebo fortinet, kde je popsáno, jak tato nová verze trojského koně ZeuS, která útok na uživatele internetového bankovnictví umožňuje, vlastně funguje.

Štítky: , ,
celý článek

Distribuované lámání hesel pomocí JavaScriptu

V článku „Lámání hesel“ jsme si uvedli, že lámání hesel lze velice dobře paralelizovat. Na nedávné Black Hat konferenci v Abu Dhabi bylo prezentováno řešení, které přesně tohle umožňuje.

Na první pohled nic zajímavého, protože nástroje, které umožňují distribuované lámání hesel, jsou k dispozici již poměrně dlouhou dobu. Jenže v tomto případě se nemusí na počítač, který má být k lámání hesel použit, nic instalovat. O vše se postará obyčejný JavaScript.

Štítky: ,
celý článek

Bezpečnostní politika a související dokumenty

Každá společnost musí bez ohledu na svojí velikost a předmět podnikání dodržovat určité bezpečnostní zásady, které bývají nejčastěji formulovány v bezpečnostní politice.

Bezpečnostní politika však není jediný dokument. V oblasti informační bezpečnosti rozlišujeme několik základních dokumentů a to policy, standard a procedure. Ač je mezi těmito dokumenty podstatný rozdíl, jsou dost často zaměňovány. Rád bych podotknul, že dokumenty, ve kterých jsou bezpečnostní zásady formulovány, jsou jen určitým předpokladem k dosažení požadované úrovně bezpečnosti.

Štítky:
celý článek

Bezpečnostní politika

To, že má stále více organizací podle nejrůznějších průzkumů stavu informační bezpečnosti bezpečnostní politiku, ještě neznamená, že se zvyšuje bezpečnostní povědomí zaměstnanců těchto organizací.

Bohužel, mnohé organizace vydaly bezpečnostní politiku jen proto, aby splnily požadavek zákona nebo auditora. Tyto politiky, zpravidla vytvořené prostým opsáním doporučení uvedených v ISO/IEC 27002, pak nejsou v praxi příliš dodržovány.

Štítky: ,
celý článek

Identifikace: Jaké zvolit uživatelské jméno?

V tomto příspěvku se budeme věnovat volbě vhodného uživatelského jména, které by měl uživatel pro přihlašování k vybrané službě používat.

Popíšeme si způsoby, jakými může být uživatelské jméno, dále jen ID, vytvořeno a jaké výhody a nevýhody jsou s nimi spojeny. Základní otázka tohoto příspěvku zní: Měl by mít uživatel možnost si své ID sám vytvořit, anebo by mu ho měl přidělit systém?

Štítky:
celý článek

Auntentizace: plno pravidel a k čemu?

Má vůbec smysl vytvářet a používat silná hesla, pravidelně je měnit a nikam si je nezapisovat?

Uživatelům je neustále vštěpováno do hlavy, že by měli používat silná hesla, pravidelně je měnit a nikam si je nezapisovat. Konečně, problematice jak vytvořit bezpečné heslo jsme se na našich stránkách též věnovali. Mají však tato doporučení vůbec smysl, když lze mnohá hesla tak snadno prolomit? Abychom si mohli na tuto otázku odpovědět, musíme se nejprve zamyslet nad tím, před jakým typem útoku nás tato opatření vlastně chrání. Pojďme společně zhodnotit smysl jednotlivých doporučení.

Štítky: ,
celý článek

Základy kryptografie pro manažery: RSA

Šifra RSA patří v současné době mezi nejpoužívanější a nejoblíbenější asymetrické šifry. V tomto příspěvku se dozvíte, jak tento šifrovací algoritmus funguje.

Verejným kľúčom je dvojica čísel n (modulus), e (verejný exponent). Ako privátny kľúč sa používa dvojica čísel n (modulus) a d (privátny exponent). Voľbu čísel n, e, d si popíšeme v časti Generovanie kľúča. Teraz sa pozrieme na šifrovanie a dešifrovanie v RSA pomocou verejného kľúča (n, e) a privátneho kľúča (n, d). Predpokladajme najskôr, že Bob chce Alici poslať tajné celé číslo m také, že 0≤m<n (číslo m musí byť v tomto rozsahu!).

Štítky: ,
celý článek

Lámání hesel: rainbow tables

Přečtěte si, jak prolomit silné 14 znakové heslo během několika málo sekund za použití běžného vybavení a přístupu na internet.

Scénář útoku je poměrně snadný a útočníkovi stačí v mnoha případech k úspěšnému proniknutí do systému maximálně několik málo minut a nepotřebuje k tomu ani žádné drahé vybavení a hluboké znalosti. Vystačí si s obyčejným smartphonem, který má konektivitu do internetu a bootovatelným USB flash diskem nebo CD s Linuxem, ze kterého zavede systém, zkopíruje soubor s hesly, připojí se na internet a hash k vybranému účtu předloží službě, která mu během několika sekund zobrazí správné heslo.

Štítky: ,
celý článek