Kontejnerizace, sandboxing a izolace aplikací

Ať už tomu budeme říkat kontejnerizace, sandboxing nebo také izolace aplikací, tak jde o to, že každá aplikace by měla běžet pod svým vlastním neprivilegovaným účtem, který má jen omezený přístup k souborovému systému.

To, v čem se od sebe jednotlivá řešení liší, je, jak bezpečné je samotné řešení starající se o onu izolaci.

Rubrika: Bezpečnost
celý článek

CIA: Je důvěrnost, integrita a dostupnost dostačující?

Občas se setkávám s případy, kdy mám docela problém se rozhodnout, jaký že to atribut informační bezpečnosti byl vlastně narušen.

A nejsem jistě sám, koho tento problém trápí. Ostatně již v roce 1998 se jím zabýval i jistý Donn B. Parker.

Rubrika: Bezpečnost
celý článek

Hodnocení slabin pomocí CWSS

Common Weakness Scoring System, zkr. CWSS, by měl umožnit hodnocení slabin bez ohledu na to, v jakém produktu byla daná slabina nalezena a následně je mezi sebou porovnat.

Ovšem pozor, nepleťte si CWSS se systémem CVSS používaným pro hodnocení zranitelností.

Rubrika: Bezpečnost
celý článek

Virtualizace vs. kontejnerizace

Hned na úvod je nutné říci, že virtualizace a kontejnerizace řeší zcela jinou potřebu. Tyto technologie nestojí proti sobě, ale naopak se doplňují.

Z pohledu bezpečnosti řešíme problém, aby při napadení aplikace běžící v kontejneru/virtuálu nedošlo k napadení hostujícího OS nebo aplikace běžící v jiném kontejneru/virtuálu, a naopak aby při napadení hostujícího OS nedošlo k napadení aplikací běžících v jednotlivých kontejnerech/virtuálech.

Rubrika: Bezpečnost
celý článek

Jak je sestavován žebříček OWASP Top 10 a co mi na něm vadí

Organizace OWASP každý rok sestavuje žebříček nejčastějších slabin v testovaných aplikacích.

Ten byl po dobu několika let víceméně stejný, jen v něm docházelo k drobným změnám na jednotlivých pozicích, kdy si občas nějaké slabiny prostě jen vyměnily místo. Letos v něm však došlo k několika významným změnám.

Rubrika: Bezpečnost
celý článek

Slabina vs. zranitelnost a jaký je mezi nimi vztah

Slabina (weakness) a zranitelnost (vulnerability) není totéž. A byť tyto pojmy bývají dost často používány jako synonyma, znamenají oba něco trochu jiného.

Za slabinu je v informační a kybernetické bezpečnosti obecně považována jakákoliv chyba v architektuře, návrhu, kódu nebo implementaci, která může vést ke zranitelnosti přímo zneužitelné útočníkem.

Rubrika: Bezpečnost
celý článek

Penetration testing a ethical hacking není totéž

Mnohými firmami, a to jak těmi, co penetrační testy a etické hackování poptávají, tak dokonce i těmi, co je nabízejí, jsou tyto dva přístupy k ověření bezpečnosti považovány za totéž.

Leč oba přístupy sledují úplně jiné cíle a mají společné snad jen to, že je zpravidla provádí vysoce kvalifikovaná osoba nebo dokonce tým profesionálů.

Rubrika: Bezpečnost
celý článek

Měly by se účty uživatelů jen blokovat anebo rovnou mazat?

Na první pohled není důvod ponechávat v systému účty zaměstnanců, kteří již u vás nepracují anebo již nejsou vašimi klienty.

Jako best practice se doporučuje tyto účty smazat. Jednoduše proto, že když dojde k jejich smazání, nemůže je nikdo hacknout. V okamžiku, kdy účet jen zablokujete, může dojít k jeho odblokování např. za použití technik sociálního inženýrství. Jenže jsou zde určité konsekvence…

Rubrika: Bezpečnost
celý článek

Punycode a phishing, na který se prý nachytají i bezpečnostní experti

Čínský bezpečnostní expert  Xudong Zheng zveřejnil informaci, jak může být zneužito způsobu, jakým Google Chrome a Mozila Firefox zacházejí s názvy domén, které jsou zakódovány pomocí algoritmu Bootstring, známého spíše pod jménem Punycodehomografním útokům.

Tuto zprávu pak převzala i další média a nasadila tomu korunu, když uvedla, že ochrana proti tomuto útoku selže v okamžiku, kdy doménové jméno obsahuje znaky z různých jazyků, protože ono je tomu přesně naopak, jak se dozvíte dále.

Rubrika: Bezpečnost
celý článek

Je bezpečnostní chyba, error, bug, flaw, defekt a hole totéž?

questionByť se dost často tyto pojmy používají jako synonyma, tak přeci jen je mezi nimi určitý rozdíl.

Není totiž chyba jako chyba. V češtině se s tímto problémem asi příliš potýkat nebudete, ale při komunikaci s anglicky hovořícími kolegy byste mohli narazit.

Rubrika: Bezpečnost
celý článek