DigiNotar: Operation Black Tulip

Z předběžné zprávy od společnosti Fox-IT, která byla najata, aby zjistila, jakým způsobem došlo k průniku (poeticky nazvaném „Operation Black Tulip“) do společnosti DigiNotar, která je středně velkou certifikační autoritou v Holandsku a jejíž certifikáty jsou/byly umístěny v nejpoužívanějších internetových prohlížečích mezi ostatními důvěryhodnými certifikačními autoritami, vyplývají skutečnosti, kterým se ani nechce věřit.

Štítky:
celý článek

Autentizace: mnoho hesel uživatelova smrt 2

V příspěvku „Mnoho hesel uživatelova smrt“ jsme psali o tom, že běžný uživatel si mnohdy musí pamatovat i deset a více různých uživatelských jmen a silných hesel, která navíc musí pravidelně měnit a zároveň si je nesmí nikam zapisovat, neboť by jednal v rozporu s bezpečnostní politikou, kterou většina organizací přijala, a kterou je on povinen dodržovat. Otázce smysluplnosti těchto požadavků jsme se pak věnovali v příspěvku „Plno pravidel a k čemu“.

Štítky: ,
celý článek

Apple iOS: Jak prolomit heslo do iPhonu

V dnešním příspěvku se podíváme, jak snadné je prolomit heslo do iPhonu.

Uživatel se může do svého smartphonu hlásit různými způsoby. O autentizaci pomocí gesta po nainstalování aplikace AndroidLock však nebudeme uvažovat, protože zjistit jaké gesto uživatel používá pro odemykání svého zařízení, by bylo stejně jednoduché jako v případě Android password pattern, kterým se odemyká zařízení s operačním systémem Google Android. Vzhledem k tomu, že aplikace pro iPhone pracuje na úplně stejném principu, bylo by i zde možné realizovat tzv. šmouhový útok.

Štítky: ,
celý článek

Základní bezpečnostní pravidla pro zaměstnance

V tomto příspěvku jsou uvedeny bezpečnostní zásady, které by měl dodržovat každý zaměstnanec bez ohledu na to, v jaké organizaci pracuje.

Běžně se uvádí, že více než 80% bezpečnostních incidentů mají na svědomí vlastní zaměstnanci. Nikde se však ji nedočtete, že většina těchto incidentů nebyla spáchána úmyslně, nýbrž z nedbalosti či neznalosti. Na vině je především nízké bezpečnostní povědomí zaměstnanců těchto organizací. Nemyslíme si, že hlavní příčinou tohoto stavu je skutečnost, že by se organizace snažily na školení zaměstnanců ušetřit.

Štítky:
celý článek

Povolit zaměstnancům přístup na sociální sítě či nikoliv?

Přístup zaměstnanců na sociální sítě vede k poklesu produktivity, úniku citlivých informací a šíření škodlivého kódu.

Ano, může tomu tak opravdu být, ale také nemusí. Měli byste si uvědomit, že mnozí zaměstnanci používají sociální sítě ve svém soukromém životě již teď a budou je používat i nadále, bez ohledu na to, jestli jim přístup na ně povolíte nebo ne. Mohou se do nich totiž pohodlně přihlašovat ze svého smartphonu a to v podstatě kdykoliv a kdekoliv.

Štítky: ,
celý článek

Cloud computing: Bezpečnost v cloudu a rizika

Cloud computing bezesporu vede k úspoře nákladů, ale je třeba se bavit i o rizicích, která vyplývají ze samé podstaty této služby.

A pokud máme hovořit o rizicích, která na nás v cloudu číhají, musíme provést analýzu rizik. A začít bychom měli jak jinak než identifikací a kvantifikací aktiv. V tomto případě budeme za aktiva považovat data, která klient (Cloud Subscriber, zkr. CS) poskytovateli cloudu (Cloud Provider, zkr. CP) svěřuje.

Štítky: ,
celý článek

Základy kryptografie pro manažery: certifikační autorita

Certifikační autoritou může být kdokoliv, kdo přijímá žádosti o certifikát, ověřuje, vydává, obnovuje, zneplatňuje a zveřejňuje seznam zneplatněných certifikátů.

Ale ne každý musí takovéto certifikační autoritě (Certification Authority, zkr. CA) důvěřovat. Nejde jen o politiku dané certifikační autority, resp. jak důkladně prověřuje žadatele o certifikát, ale i jakým způsobem chrání svůj soukromý klíč.

Štítky: ,
celý článek

Jak používá internetové bankovnictví Mr. Paranoia

Dnes vám přinášíme příspěvek od jednoho našeho čtenáře, který se s vámi chce podělit o své zkušenosti s internetovým bankovnictvím.

Dobrý den,

není důležité, jak se jmenuji, můžete mě klidně nazývat třeba Mr. Paranoia. Nemyslím si ale, že jsem paranoidní, jen možná oproti ostatním uživatelům trošku víc dbám na bezpečnost, neboť si uvědomuji možná rizika. Všechno to začalo před několika lety, kdy moje banka začala nabízet internetové bankovnictví.

Štítky:
celý článek

Základy kryptografie pro manažery: elektronický podpis

V tomto příspěvku se dozvíte, co to znamená opatřit dokument nebo zprávu elektronickým podpisem.

Pokud má dojít k podepsání zprávy, obvykle se nepodepisuje celá zpráva, ale pouze její hash. To proto, že při podepisování se používají algoritmy, které jsou výpočetně mnohem náročnější než algoritmy, které používají hashovací funkce, se kterými jste měli možnost se seznámit v prvním díle našeho seriálu.

Štítky: ,
celý článek

Patch management

questionPatch mananagement je proces, který se skládá z několika kroků. Začíná zjištěním existence patche, rozhodnutím o jeho relevantnosti, pokračujíc jeho testováním a končící postupným nasazením na všech systémech. Samotný patch je pak kód, který odstraňuje nedostatky ve stávající verzi softwaru. A může se jednat o nedostatky související s bezpečností, stabilitou nebo použitelností.

V okamžiku, kdy se objeví nějaká zranitelnost a je uvolněn odpovídající patch, stojíme před zásadní otázkou, zda ho nasadit nebo ho nejprve důkladně otestovat.

Štítky:
celý článek