AC FORUM
Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

AC
FORUM

Je online prostor určený pro stávající či potenciální zákazníky AutoContu, kteří mají zájem o AC novinky, chtějí čerpat informace z AC blogů či přispívat do diskusí. Mohou zde získat informace z konferencí, prezentací a dalších neveřejných dokumentů.

×
Blog teaser image

Případ ukradených e-mailů aneb já jsem vám to říkal!

Aktuálně jsou snad všechna média zavalena kauzou ukradených e-mailů premiéra Bohuslava Sobotky. Jak se mohlo stát, že mu byly zcizeny e-maily? Hrozí to i nám? Dá se s tím něco dělat? Dá, ale napřed odpovím slovy klasika: „Já jsem Vám to říkal!“.

Jak se mohlo stát, že mu byly zcizeny e-maily? Hrozí to i nám? Dá se s tím něco dělat? Dá, ale napřed odpovím slovy klasika: „Já jsem Vám to říkal!“. Už několikrát jsem zmiňoval nejen rizika, kterým je vystaven každý uživatel, ale zejména pak zranitelnosti, které nabízíme potenciálním útočníkům. A tak to ještě jednou shrnu.
Nejprve si řekněme, jak se mohli útočníci dostat k e-mailové schránce. Domnívám se, že v zásadě mají útočníci tři způsoby, jak se dostat do freemailu. Všem je možné se při troše opatrnosti bránit (pomineme-li skutečně velmi sofistikované útoky). Za prvé jde o uhádnutí hesla, za druhé o uhádnutí odpovědi na kontrolní otázku pro reset hesla a za třetí o implementaci spywaru (třeba keylogger) na počítač oběti. Základní bezpečnostní doporučení mohou tyto cesty útočníkům, pokud ne zablokovat, potom minimálně hodně ztížit.
Uhádnutí hesla není u freemailů zase až tak složité. Uživatelé se většinou domnívají, že jejich heslo je dostatečně silné, ale opak je pravdou. Spousta freemailů neklade nároky na skutečně silné heslo a pokud ano, pak jej třeba nevynucuje. Jsme u starého dobrého požadavku, aby heslo nebylo smysluplným slovem, obsahovalo číslici, velké a malé písmeno atd. Vytvořit silné heslo, není přitom náročné, stačí jej vytvářet například pomocí frází. Řekněte si třeba: „V pátek 2. 10. má svátek Oliver“, a to snadno přetransformujte na „Vp210msO“, tím že budete používat první písmena. To si jednak snadno dokážete zapamatovat (nebo najít v kalendáři) a jednak pro útočníky nebude až tak triviální heslo uhodnout. A když jsme u hesel – nezapomeňte si je v případě jakéhokoliv incidentu vyměnit. Je trošku zlozvykem používat stejné heslo k více systémům (kdo si to má taky pamatovat, že?), ale když ztratíte klíče, tak taky vyměníte zámek. Tady je třeba si všimnout, že panu Sobotkovi někdy na konci roku prolomili účet na Twitteru. Ztráta jakéhokoliv účtu může být totiž následně využita pro další útok – určitě jste si všimli, že například facebookovým účtem se už dá přihlásit všude možně J
Druhá věc je nastavení kontrolní otázky pro reset hesla. Jistě víte, že kontrolní otázky potřebné pro reset hesla jsou s většími či menšími odchylkami podobné. Takže se pravidelně  setkáváme s otázkami typu: „Rodné příjmení matky?“, „Nejoblíbenější film/seriál?“, „Nejoblíbenější herec/herečka?“, „Destinace dovolené snů?“ atd. Bezpečnostní mechanismus vychází z toho, že odpovědi znáte jen a pouze vy. Je to však dnes, v době Facebooku, pravda? Troufám si tvrdit, že ne. Pokud se stanete „přítelem“ zájmové osoby, nebude až takový problém si tyto informace jednoduše opatřit. Ani se na ně nemusíte ptát, bývají rovnou zapsány v jejím profilu. Útočník vám pak snadno „resetne“ heslo a získá přístup ke zprávám.  Ochrana je celkem jednoduchá – mechanismus kontrolních otázek nevyžaduje, abyste psali pravdivé údaje, není to žádný dotazník – jenom porovná otázku a odpověď. Nic vám tedy nebrání nastavit „Rodné příjmení matky?“ jako „Ferrari“ nebo jakékoliv jiné nesouvisející slovo či údaj. Má to jen jednu jedinou podmínku: musíte si zapamatovat, že jste jako kontrolní odpověď nastavili nesmysl a ten si zapamatovat J
A co udělat se spywarem? Jak se dostane k uživateli? Snadno. Stačí trochu manipulace s uživatelem a poslat mu zajímavý e-mail. Ano to jsou ty e-maily, které zaplavují naše mailboxy, to je phishing.  Určitě si pamatujete na tzv. policejní e-mail nebo na e-mail z České pošty, DHL atd. Vždy se jedná o to, že přiložený soubor buď přímo obsahuje, nebo připojený link vede na trojské koně, kteří nainstalují spyware. Někdy pak stačí, aby se nakazil jeden počítač v organizaci a už to tzv. jede. Stačí tedy, aby uživatelé na takové e-maily neklikali. Kromě technických opatření je nutná samozřejmě i osvěta.
A mimochodem jsou vaši uživatelé „klikači“? Pokud si to chcete ověřit, provádíme zajímavý test – jak moc snadné je „napálit“ vaše uživatele phishingem. Pokud vás to zajímá, pokud nevíte kde a jak začít s bezpečností, neváhejte se obrátit na AutoCont, rádi vám poradíme.

Související články

Article teaser image

GDPR - zkratka, která straší


Zkratka, která se v roce 2018 bude jako strašák vznášet nad firmami a je připravena ty nepřipravené připravit o energii, peníze a klid na duši.

více

Blog teaser image

Nebezpečná zlatá horečka!


A je to tady zase, jako už tolikrát v dějinách lidstva, je tady příležitost snadno zbohatnout. A je to tak, jak už tomu bylo tolikrát v dějinách lidstva, pár jednotlivců zbohatne a spousta bude ochuzena. No možná na tom ještě vydělá pár prodejců nářadí.

více

Article teaser image

TechFórum 2017 rozhovory a názory


Rádi bychom se ohlédli za zákaznickou konferencí AutoCont TechForum 2017 a podělili se o názory, které nám k IT trendům i kybernetické bezpečnosti poskytli řečníci z dopolední části akce.

více

Komentáře

Příspěvek nepřihlášeného uživatele je publikován po schválení moderátorem.

Související články

Article teaser image

GDPR - zkratka, která straší


Zkratka, která se v roce 2018 bude jako strašák vznášet nad firmami a je připravena ty nepřipravené připravit o energii, peníze a klid na duši.

více

Blog teaser image

Nebezpečná zlatá horečka!


A je to tady zase, jako už tolikrát v dějinách lidstva, je tady příležitost snadno zbohatnout. A je to tak, jak už tomu bylo tolikrát v dějinách lidstva, pár jednotlivců zbohatne a spousta bude ochuzena. No možná na tom ještě vydělá pár prodejců nářadí.

více

Article teaser image

TechFórum 2017 rozhovory a názory


Rádi bychom se ohlédli za zákaznickou konferencí AutoCont TechForum 2017 a podělili se o názory, které nám k IT trendům i kybernetické bezpečnosti poskytli řečníci z dopolední části akce.

více

Blog teaser image

GDPR kam se podíváš


Firmy a organizace se probouzejí a začínají uvažovat o řešení GDPR. Přestože se o GDPR rozhodlo již vloni, pro mnohé se objevil tak náhle, jako grónský ledovec před přídí Titanicu. A na mnohé stejně tak působí.

více

Blog teaser image

Dvě novely jednoho zákona, skoro najednou


Nemálo zmatku způsobuje, že ve dvou po sobě následujících měsících byly vydány dva zákony regulující oblast kybernetické bezpečnosti. Oba mají dopad na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB).

více

Blog teaser image

Vše je jinak!


S hesly je to úplně jinak. Autor normy NIST a mnoha Best Practice změnil názor a lituje.

více

Blog teaser image

Máme nebo nemáme čas?


Ještě máme čas. Nás se to vůbec netýká. To je věc ajťáků. GDPR.

více

Article teaser image

Silná a citlivá důvěrnice NINA


Firemní data patří k tomu nejcennějšímu, a proto je třeba neustále dbát na jejich zabezpečení. Zaměstnanci dnes navíc firemní dokumenty a informace sdílí i aktualizují na portálech a dalších interních nebo cloudových úložištích.

více

Blog teaser image

Můj spodní šuplík a GDPR


Pro mnohé je GDPR strašák, pro mnohé znamená další penzum práce. GDPR by nás všechny mělo především chránit (všichni jsme subjekty osobních údajů :-)). A jak to u zákonů a norem bývá, občas takové „širokospektrální antibiotikum“ zabije i ty „dobré“ mikroorganismy. Pokusme se však najít na GDPR i něco pozitivního z pohledu každé organizace a firmy.

více

Article teaser image

Řízení identit je velké téma budoucnosti


Kdopak jsi? Jedna z prvních otázek, kterou jste v životě dostali. A od té chvíle vás provází celý život. Představujete se potenciálním partnerům na rande i obchodním partnerům na byznys schůzkách.

více