AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Případ ukradených e-mailů aneb já jsem vám to říkal!

Aktuálně jsou snad všechna média zavalena kauzou ukradených e-mailů premiéra Bohuslava Sobotky. Jak se mohlo stát, že mu byly zcizeny e-maily? Hrozí to i nám? Dá se s tím něco dělat? Dá, ale napřed odpovím slovy klasika: „Já jsem Vám to říkal!“.

Jak se mohlo stát, že mu byly zcizeny e-maily? Hrozí to i nám? Dá se s tím něco dělat? Dá, ale napřed odpovím slovy klasika: „Já jsem Vám to říkal!“. Už několikrát jsem zmiňoval nejen rizika, kterým je vystaven každý uživatel, ale zejména pak zranitelnosti, které nabízíme potenciálním útočníkům. A tak to ještě jednou shrnu.
Nejprve si řekněme, jak se mohli útočníci dostat k e-mailové schránce. Domnívám se, že v zásadě mají útočníci tři způsoby, jak se dostat do freemailu. Všem je možné se při troše opatrnosti bránit (pomineme-li skutečně velmi sofistikované útoky). Za prvé jde o uhádnutí hesla, za druhé o uhádnutí odpovědi na kontrolní otázku pro reset hesla a za třetí o implementaci spywaru (třeba keylogger) na počítač oběti. Základní bezpečnostní doporučení mohou tyto cesty útočníkům, pokud ne zablokovat, potom minimálně hodně ztížit.
Uhádnutí hesla není u freemailů zase až tak složité. Uživatelé se většinou domnívají, že jejich heslo je dostatečně silné, ale opak je pravdou. Spousta freemailů neklade nároky na skutečně silné heslo a pokud ano, pak jej třeba nevynucuje. Jsme u starého dobrého požadavku, aby heslo nebylo smysluplným slovem, obsahovalo číslici, velké a malé písmeno atd. Vytvořit silné heslo, není přitom náročné, stačí jej vytvářet například pomocí frází. Řekněte si třeba: „V pátek 2. 10. má svátek Oliver“, a to snadno přetransformujte na „Vp210msO“, tím že budete používat první písmena. To si jednak snadno dokážete zapamatovat (nebo najít v kalendáři) a jednak pro útočníky nebude až tak triviální heslo uhodnout. A když jsme u hesel – nezapomeňte si je v případě jakéhokoliv incidentu vyměnit. Je trošku zlozvykem používat stejné heslo k více systémům (kdo si to má taky pamatovat, že?), ale když ztratíte klíče, tak taky vyměníte zámek. Tady je třeba si všimnout, že panu Sobotkovi někdy na konci roku prolomili účet na Twitteru. Ztráta jakéhokoliv účtu může být totiž následně využita pro další útok – určitě jste si všimli, že například facebookovým účtem se už dá přihlásit všude možně J
Druhá věc je nastavení kontrolní otázky pro reset hesla. Jistě víte, že kontrolní otázky potřebné pro reset hesla jsou s většími či menšími odchylkami podobné. Takže se pravidelně  setkáváme s otázkami typu: „Rodné příjmení matky?“, „Nejoblíbenější film/seriál?“, „Nejoblíbenější herec/herečka?“, „Destinace dovolené snů?“ atd. Bezpečnostní mechanismus vychází z toho, že odpovědi znáte jen a pouze vy. Je to však dnes, v době Facebooku, pravda? Troufám si tvrdit, že ne. Pokud se stanete „přítelem“ zájmové osoby, nebude až takový problém si tyto informace jednoduše opatřit. Ani se na ně nemusíte ptát, bývají rovnou zapsány v jejím profilu. Útočník vám pak snadno „resetne“ heslo a získá přístup ke zprávám.  Ochrana je celkem jednoduchá – mechanismus kontrolních otázek nevyžaduje, abyste psali pravdivé údaje, není to žádný dotazník – jenom porovná otázku a odpověď. Nic vám tedy nebrání nastavit „Rodné příjmení matky?“ jako „Ferrari“ nebo jakékoliv jiné nesouvisející slovo či údaj. Má to jen jednu jedinou podmínku: musíte si zapamatovat, že jste jako kontrolní odpověď nastavili nesmysl a ten si zapamatovat J
A co udělat se spywarem? Jak se dostane k uživateli? Snadno. Stačí trochu manipulace s uživatelem a poslat mu zajímavý e-mail. Ano to jsou ty e-maily, které zaplavují naše mailboxy, to je phishing.  Určitě si pamatujete na tzv. policejní e-mail nebo na e-mail z České pošty, DHL atd. Vždy se jedná o to, že přiložený soubor buď přímo obsahuje, nebo připojený link vede na trojské koně, kteří nainstalují spyware. Někdy pak stačí, aby se nakazil jeden počítač v organizaci a už to tzv. jede. Stačí tedy, aby uživatelé na takové e-maily neklikali. Kromě technických opatření je nutná samozřejmě i osvěta.
A mimochodem jsou vaši uživatelé „klikači“? Pokud si to chcete ověřit, provádíme zajímavý test – jak moc snadné je „napálit“ vaše uživatele phishingem. Pokud vás to zajímá, pokud nevíte kde a jak začít s bezpečností, neváhejte se obrátit na AutoCont, rádi vám poradíme.

Související články

Article teaser image

Připraveni na GDPR?


Nařízení GDPR přináší řadu povinností a blíží se termín, kdy budou také vymáhány. Rozhodli jsme se připravit flexibilní řešení, které vás na GDPR připraví po technické stránce.

více

Blog teaser image

TOP GUN


Naučte své uživatele stejným postupům, jakým se učí piloti v TOP GUNu.

více

Blog teaser image

Lidská lenost a prolomení Enigmy


Co je největší hrozbou pro každý informační systém? Jeho uživatelé!

více

Komentáře

Příspěvek nepřihlášeného uživatele je publikován po schválení moderátorem.

Související články

Article teaser image

Připraveni na GDPR?


Nařízení GDPR přináší řadu povinností a blíží se termín, kdy budou také vymáhány. Rozhodli jsme se připravit flexibilní řešení, které vás na GDPR připraví po technické stránce.

více

Blog teaser image

TOP GUN


Naučte své uživatele stejným postupům, jakým se učí piloti v TOP GUNu.

více

Blog teaser image

Lidská lenost a prolomení Enigmy


Co je největší hrozbou pro každý informační systém? Jeho uživatelé!

více

Blog teaser image

A znovu ta hesla…


Hesla jsou a ještě nějakou dobu budou základním autentizačním prostředkem pro autentizaci uživatelů. Každoročně se s přelomem roku objevují žebříčky nejpoužívanějších a současně i „nejhloupějších“ hesel. Rok co rok je to téměř stejné a už se mi je nechce ani hledat a zveřejňovat, nic nového v nich není.

více

Article teaser image

Jak na bezpečnost informací


Kybernetická bezpečnost je termínem, který se stále častěji objevuje v hlavních zpravodajských relacích televizních stanic, v novinách i časopisech a ozývá se z úst politiků, odborníků, komentátorů.

více

Article teaser image

GDPR - zkratka, která straší


Zkratka, která se v roce 2018 bude jako strašák vznášet nad firmami a je připravena ty nepřipravené připravit o energii, peníze a klid na duši.

více

Blog teaser image

Nebezpečná zlatá horečka!


A je to tady zase, jako už tolikrát v dějinách lidstva, je tady příležitost snadno zbohatnout. A je to tak, jak už tomu bylo tolikrát v dějinách lidstva, pár jednotlivců zbohatne a spousta bude ochuzena. No možná na tom ještě vydělá pár prodejců nářadí.

více

Article teaser image

TechFórum 2017 rozhovory a názory


Rádi bychom se ohlédli za zákaznickou konferencí AutoCont TechForum 2017 a podělili se o názory, které nám k IT trendům i kybernetické bezpečnosti poskytli řečníci z dopolední části akce.

více

Blog teaser image

GDPR kam se podíváš


Firmy a organizace se probouzejí a začínají uvažovat o řešení GDPR. Přestože se o GDPR rozhodlo již vloni, pro mnohé se objevil tak náhle, jako grónský ledovec před přídí Titanicu. A na mnohé stejně tak působí.

více

Blog teaser image

Dvě novely jednoho zákona, skoro najednou


Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB).

více