"Zabudli ste heslo?" Hrozia problémy!

Mnohí z nás pravdepodobne už niekedy zabudli svoje prihlasovacie údaje a aby nestratili svoj účet klikli na známy odkaz "Zabudli ste svoje heslo?", po správnom zadaní mena domáceho miláčika, mena vašej matky za slobodna alebo iných zdanlivo bezpečných kontrolných otázok sa opäť môžete dostať do svojho účtu.

Ale je tu jeden problém, vaše bezpečnostné otázky v súčasnej dobe môže zodpovedať prakticky hocikto. Niektorí ľudia by boli asi nemylo prekvapený, keby zistili ako málo stačí na zodpovedanie identifikačných otázok pri troche tvorivého hľadania. Bezpečnostné otázky na resetovanie hesla su každým dňom čoraz slabším článkom webu. Niekto si asi povie, že útočník pravdepodobne nebude poznať všetky informácie o mne na toľko, aby mohol zodpovedať kontrolné otázky, ibaže ľudia zabúdajú na fakt, že majú tieto údaje roztrúsené kade-tade a je len otázkou času a šikovnosti útočníka, či sa na druhý deň do svojho účtu dostanete. Pekný príklad môže byť najmä medzi mládežou populárny pokec, na ktorom asi nebude veľmi problém zistiť meno psa, výšku, najlepšieho kamaráta, atď. Takto vlastne obeť podstrčí útočníkovi odpovede rovno pred nos.

Celý problém je v tom, že poskytovateľom je jedno, v akom bezpečí sú ich užívatelia (česť výnimkám), hlavne že je tam kontrolná otázka a všetci majú pocit bezpečia... až dokým sa niečo nestane. Bezpečnostná otázka by mala byť tažká pre cudzieho a zároveň ľahká pre majiteľa strateného účtu. Napríklad otázky typu "Máte radi divadlo?". Tieto otázky majú výhodu hlavne v tom, že ich útočník len tažko nájde v nejakej databáze, keďže otázky tohoto typu sa v internetových formuároch takmer nevyskytujú, musí si buď typnúť, poznať obeť na toľko aby ich mohol zodpovedať alebo sa na nich spýtať napríklad cez už spomínaný pokec. Keby takýchto otázok poskytovateľ dal 10 alebo aj 15, percento odcudzených účtov by sa určite znížilo. Ďalším vylepšovákom by mal byť povinný alternatívny email, na ktorý sa vám zašle novo vygenerované heslo, samozrejmosťou je, že záložný email musí mať tiež aspoň priemerné ochranné prvky (O celkovej bezpečnosti našich portálov a ich prístupu k nej asi ani nemusím hovoriť, povedzme, že útočník neovláda iné techniky, za pomoci ktorých by mohol dostať účet pod svoju kontrolu).

Ďalším potenciálnym problémom by mohol byť nájsť kompromis medzi bezpečnosťou a pohodlnosťou. Totiž veľa ľudí aj keď má možnosť si nastaviť väčší počet otázok tak to neurobí, nastaví si jednu a pre ňu najľahšiu. Môj názor je, že treba stále nútiť užívateľov k tomu, aby sa zamysleli nad rizikom, ktoré si týmto spôsobujú a že im nebude veľmi príjemné keď si niekto bude čítať jeho poštu alebo sa vydávať za jeho osobu. Samozrejme, že tieto kritériá treba prispôsobiť portálu, aj keď to z hľadiska bezpečnosti nieje optimálne, dal by som minimálny počet indentifikačných otázok aspon na tých 6-7, nech sa užívateľia učia, že to nie je pre ich otravu, ale pre ich vlastnú bezpečnosť a postupom času keď si tieto fakty uvedomia, budú len radi, že ich poskytovateľ myslí aj na takú vec ako resetovanie hesla.

Samozrejme tieto vylepšenia sú asi ešte pre väčšinu našich portálov v nedohľadne, nakoľko užívateľia nemajú potrebu mať väčšie súkromie a tým pádom poskytovaťeľia nemajú potrebu s tým nič robiť. O tejto téme by sa dalo asi veľa písať. Ja som to len tak trochu načrtol (dufam, že som na nič podstatné nezabudol :-)
Cya!

Bezpečnostné tipy od spoločností Google a AARP

Čoraz viac a viac sa starší Američania prihlasujú na internet, aby mohli zostať v kontakte so svojou rodinou a priateľmy, surfovať po webových stránkach a blogoch, zdielať fotky, prehliadať si videá alebo spustiť internetový biznis. Tak isto ako všetci užívatelia internetu, aj oni môžu naraziť na nebezpečnú činnosť v podobe rôznych vírusov alebo malwarov.
Práve preto spoločnosť Google v spolupráci s AARP zahájily nové video série, ktoré poskytujú ľahko pochopiteľné rady a tipy ako zostať pri práci s internetom v relatívnom bezpečí. Zahrňuje napríklad odkazy na nastavenie súkromia albumov s fotkami, ktoré sa zdielajú online, konfigurácia firewallu pre ochranu svojho počítača, voľba bezpečných hesiel pre svoje online účty alebo vyhnutie sa podvodom typu phising. Ak rozumiete po anglicky, môžete si prehliadnuť videá na serveri YouTube (The Google Privacy Channel) ako aj na stránkach spoločnosti AARP.
Tu sa môžete pozrieť na prvé video:

Dúfajme, že sa pomocou rád z týchto videí aspoň trochu zvýší povedomie, aká je v dnešnej dobe bezpečnosť na internete dôležitá. Aj keď môj názor je, že to pravdepodobne neosloví ľudí dostatočne na to, aby celkovo bezpečnosť nebrali na ľahkú váhu.

Zdroje: googleblog & webpronews

Google za lepší svet

Internetový gigant Google najnovšie vytvoril na svoje desiate narodeniny projekt s názvom "Projekt 10¹⁰⁰" . Celý projekt je súťaž, ktorej výherca získa cenu pomocou ktorej pomôže ľuďom z celého sveta. "Hľadáme nápady, ktoré pomôžu čo najväčšiemu počtu ľudí akýmkoľvek spôsobom, aby sme ich my potom mohli financovať." vyhlásila spoločnosť Google.
Ak teda máte originálny alebo unikátny nápad, o ktorom si myslíte, že by mohol nejakým spôsobom pomôct ľuďom, môžte tak učiniť poslaním svojej myšlienky. Google potom vyberie 100 najlepsích nápadov, z pomedzi ktorých verejnosť určí 20 projektov, ktoré postúpia do semi-finálového kola, následovne sa oreže počet až na 5 najlepších projektov, ktoré si podľa všetkého rozdelia 10 miliónov dolárov na ich činnosť.
Určite pekná myšlienka od tejto korporácie, uvidíme aký to bude mať vývoj, v každom prípade som rád, že sa nájdu spoločnosti, ktoré chcú investovať do budúcnosti našej zeme. Na záver ešte pekné video k projektu:

Zdroj: webpronews.com

Radware odhalil kritickú zraniteľnosť v prehliadači Firefox 3

Objav výskumného týmu Radware SOC (Security Operations Center) poukazuje na zraniteľnosť, ktorá by mohla viesť k spadnutiu systému prehliadača Firefox a následovnej strate akýchkoľvek neuložených informácií. Bezprostrednou ochranou pred touto zraniteľnosťou je Radwarov Security Update Service (SUS), ktorý sa snaží chrániť zákazníkov infraštruktúry v predstihu na odhalené závady.

"Oceňujeme, že Mozilla naďalej výrazne investuje do bezpečnostných vlastností Firefoxu 3, avšak boli sme schopní veľmi ľahko odhaliť túto zraniteľnosť prostredníctvom jednoduchej fuzzing technike." uviedol Itzik Kotler, riaditeľ SOC, Radware. "Toto jasne ukazuje na to, že tvz. "zero-minute" zraniteľnosti môžu byť stále agresívnejšie voči verejným doménam, takže je čoraz viac zrejmé, že bezpečnostné požiadavky musia zostať na poprednom mieste pri tvorbe a uvoľňovaní nových sieťových aplikácií."

Radware takiež určil, že chyba postihuje verziu 3.0 rovnako ako jej menšie aktulizácie (3.0.1)

Pre viac informácií prosím navštívte domovskú stránku Radware.

Microsoft varuje na nové Word útoky

Microsoft vydal dalšie z bezpečnostných prehlásení týkajúce sa útokov zameraných na aplikáciu Word.Spoločnosť v prehlásení uviedla, že obdržala správy útočníkov zameriavajúcich sa na chyby v .doc súboroch. Predpokladá sa, že tieto útoky v súčasnej dobe niesu veľmi rozšírené.

Útočník by mohol použiť špecálne vytvorený dokument, ktorý spôsobý chybu pretečenia pamäte a následný pád aplikácie. Táto chyba by potom zanechala systém zraniteľným a útočníkovi umožňovala vzdialene spustit nebezpečný kód.

Spoločnosť Microsoft tiež uviedla, že zraniteľnosť sa vyskytuje iba v spojení Word 2002 a Sercice Pack 3. Žiadna iná verzia aplikácie MS Word alebo sady Office by nemala byť náchylná k spomínanému útoku. Spoločnosť taktiež doporučuje okrem inštalácie základných bezpečnostných programov ako napríklad brána firewall alebo antivírusový softvér zvýšiť aj ostražitosť pri otváraní mailov s podozrivými .doc súbormi.

Tento týžden je to už podruhé, čo Microsoft vypustill opravný balík pre chybu, ktorá je aktívne využívaná. V pondelok spoločnosť vydala varovanie o vzdialene spúšťajúcom kóde, ktorý sa upriamuje na prvok ActiveX v Office Acces software.

Zdroj: securecomputing.net