Kvalitné RSS zdroje z Mráčika

Kvalitné RSS zdroje z Mráčika

RSS zdroj: Ľuboš Moščovič o bezpečnosti

Stručný popis:
Pôvodný zdroj:http://www.herrman.sk Otvor v novom okne
RSS zdroj:http://www.herrman.sk/ ?q=rss.xml Otvor v novom okne
Jazyk:sk
Kódovanie:utf-8
Posledná aktualizácia:
24. január 2018 02:32:21
Verzia:RSS 2.0
Aktuálny počet článkov:10 článkov
Ľuboš Moščovič o bezpečnosti - 23. január 2018

Bez kritického myslenia to nepôjde

Český CZ.NIC upozorňuje na výsledky experimentov Litovského centra bezpečnejšieho internetu. Ako sa dalo predpokladať, nedopadli vôbec dobre. A ako by dopadli u nás? Radšej sa ani neodvážim hádať. Pričom by na začiatok stačilo, aby si každý zapamätal už okrídlenú vetu:

"Ak niečo znie príliš dobre na to, aby to bola pravda, tak to pravda s veľkou pravdepodobnosťou ani nebude!"

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 21. január 2018

Mám nápad ako výrazne zlepšiť bezpečnosť zhruba tak miliarde ľudí

Žiaľ nie som zďaleka tak geniálny, ako sú skôr používatelia tak leniví alebo neznalí. Pred pár dňami v mojich feedoch zarezonovala informácia od Googlu, že ich dvojfaktorovú autentifikáciu používa menej než 10% používateľov služby Gmail. To je pár smiešnych miliónov oproti miliarde... MILIARDE! Ak sa vám teraz zdá, že som z toho akosi rozčarovaný, tak vedzte, že som.

Píše sa rok 2018 a o tom, že heslá samotné už dávno nestačia, vedia snáď už aj deti na základných školách. Napriek tomu, keď sa už aj nájde služba, ktorá si toto nebezpečenstvo uvedomuje (a že takýchto služieb je, žiaľ, stále pomerne málo), ľudia jej snahu hromadne okašľú. Pričom sa nejedná o žiadnu novinku – 2 faktorová autentifikácia je pojem známy už množstvo rokov a drvivá väčšina používateľov sa s ňou už aj určite stretla, napr. vo svojej banke. Samotný Gmail ju ponúka už takmer 7 rokov.

Možno si teraz hovoríte, že čo sa tu čertím kvôli nejakému e-mailu. Ibaže ak sa vám už niekto dostane do e-mailovej schránky, dostal sa takpovediac ku kľúčom od miešačky. E-mail totiž predstavuje nielen zdroj vašej súkromnej korešpondencie, ale aj zadné vrátka ku drvivej väčšine všetkých vašich online služieb. Nože, čo sa asi stane keď stlačíte tlačidlo „zabudol som heslo“?

Takže apelujem na všetkých používateľov Gmailu. Viem, že vás je na Slovensku tiež viac ako dosť. Prosím, urobte sami sebe službu, choďte a spojazdnite si 2FA od Gmailu ešte dnes. Je to jednoduché a vôbec to nie je tak otravné ako sa môže na prvý pohľad zdať. A keď už budete pekne rozbehnutí, pokračujte s Facebookom, Linked-inom, Dropboxom... Pekné návody na jednom mieste pre množstvo služieb nájdete aj tu.

Tags:

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 17. január 2018

Ako vás Meltdown a Spectre ohrozujú a ako sa im dá brániť?

Dnes dávam iba jeden rýchly prelink na článok, ktorý mi uverejnili na cybersec.sk.

V súvislosti s nedávno zverejnenými zraniteľnosťami Meltdown a Spectre, ktoré umožňujú potenciálnemu záškodníkovi dostať sa k niektorým (Spectre) či dokonca všetkým (Meltdown) informáciám uloženým v operačnej pamäti zariadenia s moderným procesorom, sa viackrát spomínalo, že inštalácia záplat je v tento moment asi najúčinnejšou obranou.  A nielen voči týmto útokom. Vo všeobecnosti platí, že podporovaný, legálny a hlavne včas aktualizovaný softvér je akýmsi základným kameňom kybernetickej bezpečnosti. Napriek tomu sú deravé (neaktualizované) systémy všade okolo nás. Dôvodov je viac. Niektoré systémy už ich výrobca napríklad dávno vôbec nepodporuje alebo za to môže obyčajná neznalosť. A práve tá je veľmi nebezpečná.

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 13. január 2018

5 predovedí pre rok 2018

So zverejnením tohto blogu som už trochu váhal. Pôvodne som ho plánoval vystreliť hneď v prvý týždeň, ako by sa aj patrilo, ibaže všetci dobre vieme, že udalosti nabrali mierne nečakaný a rýchly spád. Osobne však len naozaj nerád zahadzujem rozpísané texty, predsa len je tento blog pre mňa koníčkom a nemám naň toľko času, aby som si mohol dovoliť ním plytvať. Január sa ešte nestihol prehupnúť do druhej polovice, takže nech sa páči, mojich pár pohľadov do kryštálovej gule:

  1. Ransomware, neduh, o ktorom som napísal jeden z prvých svojich blogov, ešte nepovedal posledné slovo. Naopak, prekoná všetky rekordy.
    • Aj po dvoch rokoch stále platí, že aktualizovaný software, opatrnosť, kritické myslenie a dobrá záloha vám môžu významne pomôcť, ako pri prevencií, tak i pri odstraňovaní potenciálnych následkov.
  2. Pribudnú aj ďalšie nemilé a neočakávané prekvapenia z kategórie Heartbleed, KRACK attacks, či ROCA.
    • Ja viem, tu už si vlastne môžem body rovno pripísať, ale aby to nebolo úplne nezaujímavé, skúsim túto predpoveď ešte trošku aj modifikovať – Meltdown a Spectre nebudú jediné objavené zraniteľnosti na úrovni hardware.
  3. Bitcoin bublina nepraskne. Obdobne ako pri mojej predpovedi pre ransomware, aj tu predpokladám, že dosiahne nové maximá.
    • Aby som uviedol veci na pravú mieru. Nikomu investovať do Bitcoin neodporúčam. Tá bublina praskne, ibaže ja si myslím, že až v roku 2019. Prečo? Nuž primárne sa odvolávam na kryštálovú guľu (obzvlášť s tým odhadom kedy to praskne), ale dali by sa menovať aj iné indície. Spomeniem len, že už sa pomaličky začínajú rozhýbavať aj štáty a ich inštitúcie, pribúdajú varovania renomovaných finančníkov, ozývajú sa hlasy na reguláciu... V poslednom rade si však nemyslím, že je Bitcoin až tak výnimočný ani medzi ostatnými kryptomenami, len sa mu ako prvej lastovičke dostalo dostatočného povedomia. Blockchain ako technológia, samozrejme, budúcnosť aj opodstatnenie má, ale samotný Bitcoin JE bublina a tak aj skončí. Investovať doň je obdoba rulety, takže ak sa už na to aj dáte, prosím, len s peniazmi ktoré môžete naozaj oželieť.
  4. Umelá inteligencia nedosiahne povestnej singularity a nezničí nás.          
    • Napriek tomu, že všetci dookola vypisujú ako ide AI dopredu:  „Bububu, šach sa naučila hrať za 4 hodiny tak, že poráža doteraz najlepšie stroje.“ „Singularita sa blíži, či už je dokonca tu...“ Ja osobne mám však pocit, že mi tu smrdí hype. AI sa skrátka stalo biznis buzzwordom, s ktorým dnes každý jednoducho musí operovať. Áno, tzv. strojové učenie napreduje veľmi pekne a sú aplikácie kde si nájde svoje uplatnenie a bude častokrát lepšie než človek. Ale k všeobecnej AI, ktorá si uvedomí samú seba, vyhodnotí ľudí ako nadbytočných, či dokonca hrozbu a zničí nás... k tomu máme ešte veľmi ďaleko. Roku 2018 sa v tomto smere naozaj neobávam.
  5. GDPR vyjde na pódium a v tesnom závese za ním sa objavia GDPR trolovia.
    • Táto regulácia má svoj „fanklub“, a to ešte nie je poriadne ani v platnosti. Jej najväčším problémom je, že jej vykonateľnosť je vo viacerých bodoch prinajmenšom veľmi komplikovaná, ak nie dokonca aj sporná. Nebude teda prekvapením, že sa určite objavia chytráci, ktorí budú, či už z plezíru alebo v rámci konkurenčného boja, túto reguláciu (zne)/využívať do poslednej bodky.

Myslím, že 5 bodov stačí. Sľubujem, že sa k nim na konci roka vrátim.

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 6. január 2018

Meltdown a Spectre

Iba krátko po tom, čo sa niektorí ľudia konečne spamätali zo silvestrovskej opice a skôr ešte než sa zjavili traja králi, boli zverejnené detaily dvojice veľmi nepríjemných útokov.  MeltdownSpectre využívajú zraniteľnosti na úrovni samotného hardwaru, konkrétne chyby v architektúre moderných procesorov na to, aby sa dostali k dátam s ktorými počítač práve pracuje. Útočník zneužívajúci tieto zraniteľnosti by sa tak mohol za určitých okolností dostať nielen k vašim heslám, či iným citlivým údajom, ale aj k fotografiám, e-mailom a iným dokumentom.

Meltdown obchádza ochranné mechanizmy, ktoré zabraňujú bežným aplikáciám pristupovať k operačnej pamäti, ktorú nemajú pridelenú a môže sa tak dostať prakticky ku všetkému, čo je v nej aktuálne uložené. Potenciálne môže ohrozovať všetky procesory využívajúce out-of-order inštrukcie, čo je vlastne drvivá väčšina procesorov nachádzajúcich sa v bežných stolových počítačoch, notebookoch a serveroch vyrobených za posledné dve dekády. Úspešný (našťastie pokusný) útok bol však zatiaľ vykonaný len na procesoroch od firmy Intel. Ďalší poprední výrobcovia ako AMD a ARM teda v tento moment priamo postihnutí nie sú, aj keď podľa zverejnených detailov ešte vyhraté nemajú. Dobrou správou tiež je, že výskumníci šli cestou responsible disclosure, čo znamená, že výrobcovia čipov, aj operačných systémov boli o chybách informovaní so značným predstihom, a teda už existujú aj patche. Žiaľ odhaduje sa, že budú mať negatívny vplyv na výkon.

Spectre obchádza ochranné bariéry „len“ medzi rôznymi aplikáciami. Útočník tak však môže zmanipulovať bežné programy, aby mu sprístupnili aj to, čo by nemali. Samotný útok je, v porovnaní s Meltdownom, zložitejší ako na vykonanie, tak na odstránenie. Čo je však horšie, nepostihuje len desktopy, notebooky a servery, ale aj smartphony, tablety a iné (IoT) zariadenia od všetkých veľkých hráčov na trhu, teda nielen Intelu, ale aj AMD a ARM.

Obe zraniteľnosti boli nezávisle na sebe odhalené viacerými výskumníkmi, či výskumnými teamami. V oboch prípadoch mal však prsty aj Google Project Zero, ktorý na svojom blogu prináša veľmi pekné zhrnutie, pre tých ktorí chcú vedieť viac a zároveň však nechcú čítať oficiálnu dokumentáciu (Meltdown, Spectre). No a pre všetkých ostatných skúsim to najpodstatnejšie, čo najjednoduchšie, zhrnúť ešte raz aj ja v nasledujúcich bodoch:

  • Zraniteľnosti sa nachádzajú v samotnej architektúre fungovania procesorov, ich finálne odstránenie tak nebude jednoduché.
  • Postihnuté sú všetky zariadenia, ktoré používajú zraniteľné procesory počnúc počítačom na vašom stole, cez smartphone vo vašom vrecku, či tablet v batohu a servermi poháňajúcimi cloud v datacentrách nekončiac.
  • V stávke sú dáta, ktoré sa práve nachádzajú v operačnej pamäti počítača, teda „iba“ tie s ktorými zariadenie práve pracuje.
  • Jedná sa o lokálne útoky. Čiže buď útočník už nejaký prístup na zariadenie má, alebo špinavú prácu môže vykonať nejaký malware. Fantázii sa však medze nekladú a vektory útokov využívajúcich potenciál týchto zraniteľností budú naozaj rôznorodé.
  • Zverejnené útoky sú zatiaľ len proof of concept a nie je známe, že by ich nejaký malware už aktívne využíval.
  • Výrobcovia čipov aj operačných systémov boli informovaní v značnom predstihu, a teda mali čas, pokiaľ to bolo možné, vyrobiť patch.
  • Aktualizovaný firmware a software, resp. aplikácia patchov je teda aj tým najlepším spôsobom ako sa dá aktuálne brániť, berte však na vedomie, že:
    • Patche môžu mať dopad na výkon systému,
    • updaty od Microsoftu môžu znefunkčniť niektoré antivírusové programy.
  • Práve spomínané antivírusové programy môžu tiež, čiastočne a nepriamo, pomôcť pri ochrane. Ako som totiž spomínal vyššie, útoky sú „len“ lokálne, a teda sa do zariadenia musia najskôr nejako dostať, napr. pomocou malwaru. Proti lokálnemu útočníkovi však nebudú moc účinné.

Tento prípad len podčiarkuje staré parafrázované príslovie o tom, že zabezpečenie je ako reťaz, a tá je iba tak bezpečná ako jej najslabšie ohnivko. To tiež znamená, že na bezpečnosť sa vždy musíme pozerať komplexne od hardwaru (dnešný prípad), cez firmware (viz. tiež nedávny problém s Intel ME), operačný systém, middleware a aplikácie až po koncového používateľa (náchylného nielen na phishing).

Pôvodne som chcel v tomto období uverejniť nejaké moje predpovede pre rok 2018. Jedna z nich, konkrétne tá bonusová, sa dnes začala už aj napĺňať:

„Pribudnú aj ďalšie nemilé a neočakávané prekvapenia z kategórie Heartbleed, KRACK attacks, či ROCA.“

 

Článok bol napísaný pre portál cybersec.sk, kde aj po redakčných úpravách vyšiel.

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 2. január 2018

A zase raz tie senzory

Prehrýzam sa tak, sviatkami zanedbaným, denníkom RSS, keď tu ma prepadne nepríjemný pocit déj [ Čítaj celý článok ]

Ľuboš Moščovič o bezpečnosti - 18. december 2017

Sledovanie aj bez GPS? No problem!

Pomerne dosť ľudí, čo poznám, vypínajú na svojich smart zariadeniach GPS, či lokalizačné služby všeobecne s tým, že veď sa predsa nenechajú len tak neustále sledovať. V dobe, keď vám facebook ponúkne “check-in” snáď už aj na verejných toaletách, je tento jav o to pozoruhodnejší.

 

Sú však títo ľudia naozaj chránení voči sledovaniu?

Odpoveď dozaista tušíte – nie. Ibaže tentoraz to nie je pre to, že údaje z husto rozmiestnených vysielačov signálu pre mobilné telefóny dokážu odhadnúť polohu mobilného zariadenia pomerne presne. To je totiž vec známa už z čias starých „hlúpych“ mobilov, ibaže tieto údaje nie sú dostupné len tak kadekomu.

Bruce Schneier však na svojom blogu upozornil na výskum Princetonskej univerzity, ktorý na lokalizáciu využíva dostupné údaje smart zariadení, na ktoré aplikácia dokonca nepotrebuje ani explicitné povolenie pri inštalácií.

Kompas, akcelerometerbarometer sú dnes už prakticky štandardnou výbavou smart zariadení, a práve tieto senzory výskumníci aj využili. Systém najskôr odhadne aký spôsob prepravy práve využívate. Pomalý pohyb naznačuje chôdzu, rýchlejší s pravouhlými zmenami v smere zas auto. Veľmi rýchly zas vlak, či lietadlo. Na takýto odhad postačí akcelerometer s kompasom. S údajmi o atmosférickom tlaku a jeho zmenách z barometra sa do odhadu dostáva aj nadmorská výška. Nakoniec pridali údaje o časovom pásme a tiež voľne dostupné informácie z Weather channel (tlak), Google Maps, US Geological Survey Maps (zmeny v nadmorskej výške), prehnali to vhodne zvolenými algoritmami a úspešný výsledok bol na svete. Na to aby výskumnícka aplikácia PinMe určila svoju polohu, potrebovala pri teste vo Philadelphii len 12 zatočení, po tom čo vyhodnotila spôsob prepravy, ako pohyb v aute. S prihliadnutím na fakt, že samotná aplikácia má len niečo okolo 2000 riadkov je to naozaj pozoruhodné.

Viac než ja sa rozpísali na gizmodo.com aj na androidauthority.com.

 

Poučenie?

Nikdy nepodceňujte silu informácií. Tiež sa nie nadarmo sa hovorí, že kto sa veľa pýta, veľa sa aj dozvie (aj keď v tomto prípade sa jedná o trošku skrytý význam ľudovej múdrosti). Na začiatok by potešilo, keby výrobcovia mobilných operačných systémov (najmä Android) pochopili, že udelenie oprávnení pre použitie ľubovoľných senzorov, resp. údajov z nich by malo podliehať informovanému súhlasu používateľa.

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 19. november 2017

Quad9 – chráňte sa aj pomocou DNS

Keďže dnes sa letmo dotknem aj svojho chlebodarcu, tak pre istotu ešte raz upozorním, že som stále zamestnancom spoločnosti IBM a táto stránka je mojou osobnou iniciatívou - všetky príspevky tu sú len mojím osobným názorom a nemusia reprezentovať, či stotožňovať sa s postojom, názorom, či stratégiou IBM.

 

Počítače na internete medzi sebou komunikujú pomocou číselných IP adries. Mohli by sme to prirovnať tak trochu k telefónnym číslam. Je ich mnoho, príliš veľa na to než by sa v nich niekto vedel zmysluplne orientovať, preto na scénu prišiel systém DNS. Ten je akýmsi telefónnym zoznamom internetu. Vy napríklad zadáte do prehliadača adresu tohto webu – www.herrman.sk a DNS systém to na pozadí preloží ako 213.215.124.50, takto totiž vyzerá bežná IP adresa. O tom ako to celé naozaj funguje tu však teraz písať nechcem, ale vyššie linkované odkazy na Wikipédiu môžu zvedavcom poslúžiť ako odrazový mostík. Poviem už len, že na to aby systém fungoval má každý počítač niekde vo svojich nastaveniach uložené IP adresy, zvyčajne najbližších, DNS serverov, ktoré mu obvykle pridelil poskytovateľ jeho pripojenia, poprípade nastavil zamestnávateľ – takto teda každý počítač vie ako sa dostať k telefónnemu zoznamu.

Problémov s DNS je však viacero, jedným z nich je aj to, že tento systém neskúma, čo sa na jednotlivých doménových adresách deje. Zaregistrovať sa teda kľudne môže aj podvodník, či iný živel s nekalými úmyslami. Preto aj vznikol projekt Quad9 v ktorom má prsty mimo iné aj spoločnosť IBM pre ktorú pracujem – viď disclaimer hneď v úvode.

Projekt Quad9 poskytuje DNS služby na ľahko zapamätateľnej IP adrese 9.9.9.9 (toľko aj k vysvetleniu samotného názvu projektu) s pridanou hodnotou. Tou je, že skôr než vám systém vráti vami žiadanú preloženú adresu, skontroluje najskôr, či o nej nemá nejaké škaredé zvesti – tým myslím, či o nej nie je známe, že je zdrojom nákazy malwaru alebo inej nekalej aktivity. O to sa stará sofistikovaný systém threat intelligence do ktorého je zapojených viac než tucet svetovo uznávaných bezpečnostných spoločností. Ak tento systém vyhodnotí, že vami požadovaná adresa nie je bezpečná, prístup na ňu vám nepreloží, čím vás vlastne ochráni.

Quad9 tvrdí, že si o vás neuchováva žiadne tzv. osobné údaje a tento systém je poskytovaný zadarmo. Nastavenie je naozaj jednoduché a na stránkach projektu www.quad9.net sú aj inštruktážne videá – hoc v angličtine, sú tak názorné, že nepotrebujú ani ten komentár.

Samozrejme, ako to už vo svete bezpečnosti chodí, ani tento systém nie je samospasiteľný. Neexistuje žiadne absolútne riešenie, akési strieborné guľky na vlkolaka, nič nefunguje stopercentne. Takže aj v tomto prípade sa jedná len o jeden (ďalší) krok k lepšiemu zabezpečeniu – aktualizovaný systém, dobré heslá, antivírusový program, ... a k tomu obozretnosť a zdravý rozum sú stále viac ako potrebné.

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 11. november 2017

Kto sú to hackeri

Väčšina ľudí, ktorí majú čo do činenia s bezpečnosťou IT trpí alergiou na to keď niekto, najčastejšie v médiách, nadužíva slovíčko hacker, ešte k tomu aj nesprávne. Veď posúďte sami na sebe, čo vás prvé napadne pri tomto slove? Odborník, alebo zločinec? Mediálny obraz hackera je rokmi pokrivený viac než je zdravé a situácia rozhodne nespeje k lepšiemu. Sám si pamätám, že nejakých 15 rokov dozadu, ešte na strednej škole, som písal slohovú prácu, akýsi prejav, ktorý som mal predniesť pred spolužiakmi, zrovna na tému Hacker vs. Cracker. No a dnes keď čítam veľmi pekne spracovaný (slovenský) blog od chlapcov z projektu Hacktrophy mi je jasné, že k lepšiemu sme sa naozaj neposunuli ani o milimeter.

Čítaj celý článok ]
Ľuboš Moščovič o bezpečnosti - 10. november 2017

Žijeme v divnej dobe

Toto bol povzdych môjho kolegu, a hoc bol myslený skôr pracovne, krátka debata sa zvrtla aj úplne iným smerom. Vlani som v tomto blogu napísal:

Dostali sme sa do doby kedy je mnoho pojmov deň za dňom devalvovaných. Facebook zdevalvoval slovo priateľ. Internet, politici a taktiež napr. aj Google systematicky devalvujú (nielen) slovo súkromie.

Táto devalvácia úspešne napreduje a len za posledných pár týždňov sme mohli zachytiť hneď niekoľko nápadov, ktoré keby chcel niekto prezentovať čo i len päť rokov dozadu, začali by sme sa silne zamýšľať nad stavom jeho duševného zdravia.

Dalo by sa pokračovať, ale myslím že aj toto stačí aby ste si aj vy v duchu povedali: “Divná doba…”.

Tags:

Čítaj celý článok ]