Design by Lucie - www.luciemarkova.cz
Šperky, naušnice, brože, prsteny, náhrdelníky, manžetové knoflíčky...
Pravidelný občasník originálního humoru

chlívek Bezpečnost

Bezpečnost, viry, ochrana soukromí, atd.

Vydělávat na pochybných reklamách? Sklik je jich plný a Seznam.cz přeci prý za nic nemůže

Zoufalá snaha proměnit bezcenné reklamní místo na milionech zobrazených stránek vede k tomu, že právě tam končí reklamní sítě plné těchto podivuhodných věcí. A už tak mizerná důvěra v média ještě více klesá.

AirBank.cz: Vaše připojení není soukromé aneb když vyprší certifikát

 "Server nedokázal prokázat, že patří doméně www.airbank.cz. Platnost jeho bezpečnostního certifikátu včera vypršela." . Chybička, opomenutí, u banky poněkud více nešťastné, než když se to stane u nějakého toho obyčejného webu. Zapomenout obnovit SSL certifikát se prostě stane, byť právě u banky by se to stávat nemělo. Aneb jak napsal Michal Černý: "Vypršený SSL certifikát Airbank .. to bude super námět na článek :)"

 AirBank.cz: Vaše připojení není soukromé aneb když vyprší certifikát

Nový únik e-mailů Bohuslava Sobotky vypadá daleko spíše jako podvrh

Michal Bláha na Twitteru ukazuje, že s novými e-maily prý pocházejícími z e-mailové schránky Bohuslava Sobotky na Seznamu to může být dost trochu jinak, než se to zda. Jiný font, chyba ve formátu data jsou minimálně dost jasně viditelné rozdíly. Těch je ale víc, celé formátování "hlavičky" je jiné.

Takto vypadá dřívější "uniklý e-mail".

Nový únik e-mailů Bohuslava Sobotky vypadá daleko spíše jako podvrh

A takto "nový" únik. Ten má dokazovat, že v e-mailu Bohuslava Sobotky jsou závažné informace a že jeho tvrzení, že tam nic podstatného není, je výmysl. 

Za pozornost stojí i to, že v hlavičce e-mailů na seznamu je nejspíš vždy běžně ikonka uživatele, pod viditelným Komu: (případně pod datem a hodinou) je možnost hvězdičkovat. A jak je ve srovnání zvýrazněno, časový údaj používá správnou českou podobu, tedy datum má po tečkách mezeru a čas je vždy kompletní, tedy včetně sekund. Mezi datem a časem je navíc čárka, nikoliv pouze mezera. Podivné je i to, že by Seznam.cz začal zobrazovat náhle "Předmět:" jako poslední, protože ten je ve skutečnosti na druhém řádku v hlavičce (a není uveden slovem "Předmět:"). Nesedí ani zarovnání, protože skutečný e-mail na Seznam.cz má jednotlivé položky hlavičky zarovnané pod sebou. 

Nový únik e-mailů Bohuslava Sobotky vypadá daleko spíše jako podvrh

Existuje jedno logické vysvětlení - zatímco dřívější uniklé e-amily si mohli neznámí útočníci skutečně "ofotit" ještě v poštovní schránce na Seznamu. Nové úniky už takto ukázat nemohou, protože už ke schránce nemají přístup. Nic to ale nemění na tom, že důvěryhodnost jakéhokoliv takového úniku je vždy diskutabilní. A pokud mají obsah schránky stažený, tak je otázka, proč se věnují komedii s falšováním screenshotů.

DODATEK 7:10, 11. ledna 2016: Psal Petr Souček, že by mohlo jít o přeposlaný mail,  který je posunutý a tím pádem je originální hlavička mailu odsunuta a není vidět. Dobrý postřeh a má pravdu i v tom, že vpravo na obrázku je vidět nejspíš posuvník. Což je opět jenom dalším argumentem k tomu,že "úniky" e-mailů formou částečných screenshotů jsou absurdní. 

Až si budete chtít stahovat torrenty, dejte si velký pozor co k tomu použijete

 Stahovat torrenty (viz Co používat pro stahování torrentů?) znamená, že si musíte do počítače pořídit nějaké to software, které je umí stahovat (pokud tedy nemáte to štěstí a nemáte například Synology NAS co to bude dělat pro vás). Už dlouho předlouho je známo, že uTorrent má v oblibě k intalaci přibalovat nějaké to crapware, bloatware a čert ví co všechno. Jsou tak fikaní, že si to do počítače pořídit nemusíte, ale musíte být obezřetní a odškrtnout nějaké to odškrtávátko. Prostě včas zaregovat.

Až si budete chtít stahovat torrenty, dejte si velký pozor co k tomu použijete

Mezi šmejdy co to dělají se řadí i Vuze (takže jsem do výše uvedeného tipu doplnil varování i pro tento stahovač torrentů, za upozornění díky Luboši Langerovi). Při instalaci vám vtipně do počítače přihodí cosi jménem "Malware Protection Live". Není to v zásadě nic nového, tohle už dělali i někdy v roce 2014. A už tehdy univerzální odpovědí bylo že "Naše nabídky mohou být odmítnuty výběrem vlastní při zobrazneí nabídky a poté odškrtnutím zaškrtávátka".

Měli byste vědět, že Malware protection LIve stejně jako dřívější Windows Live Protect (a určitě to bude mít řadu dalších jmen) je fake anti-malware software. Dříve nebo později vám prozradí, že máte v počítai malware a za nějakou tu částku vám nabídne, že vás ho zbaví. Žádné malware tam samozřejmě mít nebudete. Funkční anti-malware najdete napříkald v Jak odstranit z Windows malware, adware či bloatware, osobní dobrá zkušenost je  MalwareBytes Anti-Malware a Surfright HitmaPro 3. 

Premiérovi Sobotkovi ve středu hackli Twitter. Zvláštní vizitka těch co mu ho spravují

Každopádně, účty na Twitteru se kradou už roky, sám Twitter je tak trochu v tomto ohledu ignorantský, protože neumožňuje správce

Nenaleťte na iMessage PC. Odvede vás to jenom na klasický velmi nákladný SMS podfuk

 Mělo by vás varovat, že imessageonpc.com (ne, aktivní link opravdu raděj ne) je poněkud bez kontaktů, odkazů, identifikace a vůbec všeho co byste od firmy očekávali. Pokud si to budete chtít sami proklikat, tak bezpečné je to až do okamžiku, než po vás budou chtít číslo mobilního telefonu (případně do momentu než jim odešlete požadovanou SMS). Dál je to už jenom klasický a nákladný SMS podfuk, kde nepozorný člověk dostatečně nečtoucí varování velmi rychle přijde o poměrně dost peněz. 

Nenaleťte na iMessage PC. Odvede vás to jenom na klasický velmi nákladný SMS podfuk

To měnící se počítadlo je samozřejmě jenom náýhodně generované. 

Kyberpsycho 2015 - Sexting, Revenge porn

"KYBERPSYCHO" – řešení kyberkriminality a elektronického násilí, konference 23. listopadu 2015 na pražském magistrátu. Dvacet minut, velmi rychlý pohled na problématiku.

Pořádáno NCBI, web konference

Máte účet u Rdio? Je čas ho smazat, než změni majitele. Tady najdete jak na to

Sice je už možná pozdě, protože Rdio se řítí do bankrotu a něco málo co z něj zbylo odkupuje Pandora. Ale možná je ještě vhodný čas zrušit účet, který tam možná máte.

V iDnes netuší, že e-mail odesílatele lze vyplnit čímkoliv. Čas to znovu zopakovat.

Ve Falešný Bohuslav Sobotka píše novinářům. Prověříme to, říká ČSSD se jakýsi neumětel se zkratkou "kh" věnuje tomu, že někdo posílá maily jako "bohuslav.sobotka@socdem.cz" a píše, že "Přesto se nabízí otázka, zda se do marketingových kanálů strany někdo nenaboural.".

Mezi základní znalosti novináře by mělo patřit, že e-mail odesílatele je jenom políčko, které je možné vyplnit libovolným textem. Není potřeba se někam nabourávat. Pokud jste tohle nevěděli, tak Jak je možné, že někdo může falšovat odesílatele e-mailu? vám to vysvětlí.

Chce očistit jméno na netu? Možná jenom trol, ale kdyby to bylo pravé, tak ....

Jakkoliv to může být pravda, tak je to ukázka něčeho neuvěřitelně absurdního. Může to být trol a falešný účet, může to být hacknutý účet ....

Kolik českých mailů je v úniku ze seznamky Ashley Madison?

Ze seznamky Ashley Masison hackeři získali celkem 36 milionů e-mailů a desítky milionů osobních údajů. Kolik lidí z Česka ji asi používalo?

Pokud se někdo nachytá na tento phishing, tak, promiňte mi, musí být opravdu idi*t

Někdo kdesi pojedl vtipné kaše, přeložil anglický phishing čímsi do češtiny a odchytává přihlašovací údaje k e-mailu

Tisíce hlupáků věří, že získají dárky či slevy do Penny Market. Ale místo toho přijdou i o stovky korun

Je těžké uvěřit té záplavě sdílení na sociálních sítích. O to těžší, že pokud tím sdílející hlupáci prošli, tak přijdou o stovky korun. Gratulujeme k výhře.

Z důvodu bezpečnosti jsme všechny naše karty zaheslovali heslem 123! To nevymyslíš

A kdybyste snad pochybovali, tak tohle visí přímo na webu www.ticketstream.cz. A rovnou to můžete brát jako skvělý návod, jak se přihlásit na něčí kartu a pattičně toho využít.

U Ticketstreamu vaše hesla rozhodně nejsou v bezpečí. Pozor!

Je to tak, dřív se to takhle běžně dělalo. Když jste zapomněli heslo, systém vám ho poslal. Pozůstatky minulosti ale dodnes někde zůstávají. A jak @365tipu vysvětluje v Jak je to s hesly na Internetu? Je možné aby mi někdo poslal zapomenuté heslo?, je to hodně nebezpečné. Ne proto, že by si snad někdo mohl "nechat poslat heslo", ale proto, že někdo cizí ví vaše heslo. A kdokoliv se k němu může dostat. To kdokoliv zahrnuje nejenom lidi z firmy provozující daný web,  ale také hackery. Pro které je něco takového skvělý zdroj informací. Získají klidně i miliony použitelných přihlašovacích údajů.

Ticketstream na nějakou tu aféru s masivním únikem přihlašovacích údajů zjevně čeká. Jarda Ráb se jich na Facebooku ptá, jestli to opravdu s tím ukládáním hesel v původní podobě myslí vážně. Jsem docela zvědavý, co mu tam odpoví. Tedy pokud vůbec odpoví.

Vy si pamatujte, že v Ticketstreamu zodpovědní rozhodně nejsou a pokud tam máte stejné heslo jako někde jinde, takž už ho rovnou považujte za prozrazené a zneužitelné. Poradím, že Správce hesel vám pomůže si hesla pamatovat a také vytvářet, takže bude snadné mít pro každý web jiné heslo. A také je dobré vědět, že tam kde o něco pravdu jde, byste měli používat dvoufaktorové ověření.

Proč mít odhadnutelná hesla je cesta do pekel aneb jedno heslo a k tomu první písmeno z názvu stránky rozhodně NE!

Dnes jsem na @365tipů sdílel dřívější tip o správcích hesel (TIP #033: Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí) a na Twitteru se objevila reakce, že jsou vlastně zbytečné. Konkrétně: "není těžké si zapamatovat různá hesla pro různé služby;-) stačí mít jedno heslo a k tomu přidat třeba první písmeno z názvu stránky". Pokoušel jsem se na Twitteru oponovat, ale dotyčný vůbec netušil a argumentoval, že přece weby nedovolí "brute-force" a pro případ hacknutí databází jsou tam přece hesla hashované (k tomu patří mimochodem TIP#076).

Použít metodu "mám jedno univerzální heslo a k němu přidám něco z názvu služby" je samozřejmě (zdánlivě) fajn. Ale můžete to  udělat jenom tam, kde nejde o žádnou podstatnou službu. Je to skoro totéž, jako když prostě použijete to jedno univerzální heslo všude.

Proč? Je to jednoduché, pokud totiž to jedno vaše použité kombinované heslo (třeba "sez12345" byste použili pro Seznam) někdo získá, tak mu dost rychle dojde, že jste prostě použili první tři písmena a připojili univerzální heslo. Jediné kdy by tohle nezabralo by vyžadovalo to "sez" použít jinak, tak aby to nebylo vidět na první pohled.

Můžete tomu zkusit pomoci mnoha různými způsoby - jednou to dát na začátek, podruhé nakonec, použít různé velikosti písmen, přidávat podtržítka, pro půlku abecedy to psát normálně, pro druhou pozpátku. Jasně. Tohle všechno je možné. ale pak je pořád jednodušší používat správce hesel a mít hesla skutečně zcela unikátní a zcela nesmyslná.

Cesta k tomu jak získat onu "univerzální část" vašeho hesla je přitom tak snadná. Lidé jsou tak nepozorní, že heslo k Facebooku, Twitteru či čemukoliv dalšímu ochotně zadají tam kam nemají. Útočníci s výhodou mohou použít MITM, můžete si pořídit notebook kde je nainstalované cosi co zrušilo i větší bezpečí https komunikace (viz kauza Lenovo). Přidejte keylogger. Nebo nezodpovědné tvůrce webů, kteří hesla nejenom nehashují, ale také mají děravé systémy. Nemluvě o tom,  že se můžete stát terčem cíleného útoku - tam už přestává veškerá legrace.

Pro tohle všechno je velmi nebezpečné radit lidem, že "stačí mít jedno heslo a k tomu přidat třeba první písmeno z názvu stránky". Jasně, správci hesel jsou potenciální riziko - pokud se kdokoliv dokáže dostat k obsahu vaší databáze hesel, je to hodně zlé. Ale i tady platí, že musíte umět rozlišovat. Správce hesel nemůžete použít pro kritická hesla, ty nepatří nikam jinam, než do vaší hlavy. Včetně toho, že u kritických zásadních aplikací prostě musíte používat něco bezpečnějšího, než prostě login+heslo - tj. minimálně zejména dvoufaktorové ověření.

Problém řady "bezpečných řešení" prostě je, že nabízejí falešný pocit bezpečí. A jak ukazují masivní úniky hesel z minulosti, je příliš snadné se k oněm univerzálním heslům dostat.

Heslo pro komunikaci mailem? A zákaznická podpora ještě nechápe jak nebezpečné to je?

Ach ach. Pavel Moravec na Twitteru upozornil na "virtuála" Bonerix,co patří pod O2, který v e-mailu píšem zákazníkům, že pro zrušení zasílání obchodních sdělení mají poslat nejenom jejich telefonní číslo, ale také heslo pro komunikaci. A protože jsme jeho tweet  retweetnul, tak se ozval @O2GuruCZ.

Co na tohle vlastně říci? Že zákaznické podpoře nedochází, že právě to heslo pro komukaci prostě do e-mailu nepatří? Protože je prostě snadno zneužitelné? A kam se asi tohle vlákno bude dál vyvíjet?

Lenovo lituje a říká, že to podělali. Otázka je, jak vážně to myslí. Já bych řekl, že moc ne

"We're sorry. We messed up. We're owning it. And we're making sure it never happens again. Fully uninstall Superfish" a odkaz na SUPERFISH UNINSTALL INSTRUCTIONS. Tohle přesně můžete najít na americkém účtu Lenova na Twitteru. To české Lenovo ještě včera vypouštělo kouřové clony v podobě nesmyslných tiskových zpráv: Vyjádření společnosti Lenovo k technologii Superfish. Po přečtení které prostě tak dost mrazí, protože PR mašinerie vůbec nepochopila jak závažný problém v Lenovo vyrobili.

Ten problém je přitom prostý. Lenovo instalovalo na nové počítače nebezpečný adware a MITM nástroj, který šel tak daleko, že do počítače vložil falešné certifikační autority a nabourával se do šifrovaného spojení. Samozřejmě byl děravý a zneužitelný útočníky. A pro PR od Lenova to bylo důvodem k nesmyslům o tom, jak to Lenovo dělalo pro dobro zákazníků. A jak jsou vlastně všichni blázni a vůbec Lenovo nepochopili.

Obrovská "omlouva" na Twitteru je samozřejmě hezká, ale zákazníky neuspokojí. Je to pod ní ostatně vidět - "zapomněli jste na Firefox a Thunderbird," upozorňuje jedna reakce. "Zákazníci se postarají, abyste se to již nikdy nestalo," říká další. "Žádná zodpovědnost, KDO to podepsal, kdo z šéfů je zodpovědný?" ptá se jiný. "Že jste to podělali? Tím to nezakryjete, chceme vědět jaká data jste získali a kam šla," ptá se velmi správně další člověk ("experiment" Lenova běžel dlouhé měsíce). A nechybí ani oprávněné "fuck off".

Máte notebook od Lenovo? Tak si třeba zde otestujte, jestli v něm nemáte přibalenou superfish. A pokud zjistíte že ano? Instrukce na odstranění od Lenovo jsou linknutéí nahoře, ale možná spíš zkuste tyto instrukce. V těch například nechybí odstranění z Firefoxu.

Čas to znovu připomenout: Nikdy nedávejte Linkedin heslo (ani přístup) k vašemu mailu

Čas znovu připomenout jedno z nejzásadnějších bezpečnostních pravidel. Nikdy nedávajte Linkedin (Facebooku, Twitter, čemukoliv dalšímu) heslo (ani přístup) k vaší poštovní schránce. Právě Linkedin se o to  bude usilovně v desítkách masivních kampaní snažit rok co rok. A měli byste vědět, že pokud to uděláte, tak zcela bez jakýchkoliv zábran stáhne z vašeho e-mailového účtu všechno co stáhnout může. A ještě několik let poté se budete divit, že za vás oslovuje lidi, o kterých už ani nevíte, že jste s nimi kdy byli v kontaktu.

DODATEK: Ráno v rychlosti jsem vynechatl podstatné, tedy nedávat PŘÍSTUP - ono to totiž dnes nemusí znamenat už jenom nutnost dát hesla, ale práva k účtu. Ve výsledku je to "skoro" stejný malér, byť dát přímo heslo k účtu je ještě horší nápad. Takže má omluva, aktualizováno

Čerstvý phishing na Servis24 s kopií webu Spořitelny na brazilské doméně

Vynalézavost žádná, e-mail poslaný z hostingové brazislké služby, odkaz nejprve na peterle-fundacija.eu, zjevně využívající buď hacku nebo možnosti dostat tam vlastní obsah, následuje redirekt na brazilskou doménu a tam, klasicky, kopie webu České spořitelny s formuláři, které nachytavší se mají vyplnit a předat tak přihlašovací údaje. Kaspersky Internet Security to rovnou blokuje, záslužná to činnost.

Skutečně Google uvolnil požadavky a nevyžaduje skutečná jména?

 Je to s těmi reálnými jmény na Facebooku i jinde takové zábavné.  Facebook je dříve vyžadoval, pak po několik letech kritiky svolil že tedy jako ne, aby čerstvě ještě více utáhl kohoutky a začal masově čistit falešná jména. Viz ostatně Facebooku je jedno, proč nepoužíváte skutečné jméno. Musíte se přizpůsobit.

Google+ na tom byl podobně, na samém počátku striktně žádali skutečné jméno, pak prý zmoudřeli a nyní by mělo být možné na Google používat cokoliv se vám zlíbí. Tedy, ne uplně cokoliv, ale nemělo by být v požadavcích, že použijete své skutečné jméno.

Problém je, že málokdo čte ty desítky dokumentů, které u Google tvoří podmínky užívání. A tak například nedorazí na Create or change your Google+ profile name a nepřečte si tu zábavnou část, kde je napsáno:

First and last name recommended: You need to add both a first and last name to your Google+ profile. Tip: You can use an initial for one of the names on your profile, but not both. For example, “Larry P.” but not “L.P.”

To vypadá jako taková ta klasická Chytrá horákyně. Co? Prostě jen tak napůl. Podle tohodle bych totiž musel v Google+ profilu být buď "Daniel D." nebo "D. Dočekal". Tedy kdybych nechtěl použít celé (skutčné) jméno (což já používám, Daniel "Bradbury" Dočekal, kde to prostřední aspoň Google povoluje mít jako přezdívku).

A samozřejmě, těch háčků je tam ještě pár. Třeba v Google+ options for your channel se dočtete, že na YouTube můžete použít pouze vaše jméno z Google (Gmailu). Nebo, pokud chcete použít nějaký "nick", tak prozměnu zase nesmíte mít profil v Google+. Anebo, pokud chcete používat oboje, tak nemůžete propojit účet v Google(+) a YouTube kanál, musíte YouTube napojit na Stránku v Google+. Dost neuvěřitelný zmatek, co říkáte?

Jedno je ale na Google+ dobré. V nahlašovacím meníčku nemá možnost nahlásit, že někdo má falešné jméno. Takže aspoň něco. Jinak samozřejmě můžeme doufat, že v tom výše uvedeném dokumentu to pouze Google "zapomněl". Byť tedy ono je to už víc jak půl roku, co měl teoreticky zrušit požadavek na skutečná jména. 

V Kasa.cz na bezpečnost zákazníků zvysoka .... kašlou

Výborný kousek, opravdu zcela výborný kousek. Na začátku je tweet Michala Špačka, ve kterém se ptá Kasa.cz, jak to myslí s přihlašovacím formulářem, který není zabezpečený. Dost hodně let už víme, že zrovna takovéhle kousky by rozhodně měly probíhat přes https. Samozřejmě by bylo vhodnější aby i více věcí na internetovém obchodu probíhalo přes https, ale tohle může být zrovna jeden dost vhodný kousek. Přeci jenom získání přístupu k účtu na e-shopu může znamenat přístup k řadě informací.

Nejlepší na tom všem ale je odpověď Kasa.cz. Z té je dost jasné, že na bezpečnost zákazníků zvysoka kašlou. Je ale samozřejmě možné, že správce jejich účtu na Twitteru prostě neví která bije a Michala Špačka se prostě rozhodl zbavit. Nekompromisně.

Nový phishing se vydává za zprávu z Volksbank

 Klasické schéma - zpráva z banky, stažení archivu, ve kterém najdete EXE tvářící se jako PDF. Samozřejmě jde o virus. Málokdo si všimne adresy kam vlastně vede odkaz, stejně jako nebude řešit podivnou adresu odesílatele.

Nový phishing se vydává za zprávu z Volksbank

VirusTotal už tento vzorek zná

Online obchod Sony PlayStation sestřelen hackery

Jo, nemá to to Sony vůbec jednoduché. Hackeři se podívali na online obchod pro Sony PlayStation a ještě se k tomu přiznávají na Twitteru. A nedá se říci, že by za to získali nějak velký obdiv.  Hack by navíc měl mít i vliv na funkčnost PlayStation Network. Stejní útočníci  podle BBC jsou i za nedávným DDoS na Microsoft Xbox a řadou útoku v minulosti. Lizard Squad je na Twitteru jako @LizardPatrol.

Nigerijský spam už nerozdává miliony. Rozdávají děti

Jeden originální kousek spamu podobného klasickým "nigerisjkým". Ty ale už dobré desítky let chtějí rozdávat miliony. Novinka v podobě nadbytečných dětí, které mnohočetná rodina hodlá poskytnout k adopci bude mít samozřejmě stejné schéma. Začnou z vás tahat peníze související s adopcí a budou to dělat tak dlouho, dokud je budete ochotni posílat.

Nigerijský spam už nerozdává miliony. Rozdávají děti

Prezentace na téma Nebojte se sociálních sítí z KyberPSYCHO 2014

Vystoupení na konferenci "KYBERPSYCHO V HLEDÁČKU POLICIE" - konference.ncbi.cz - na téma děti, mládež, sociální sítě, bezpečnost, soukromí. A jako bonus, tipy na užitečné a zajímavé mobilní aplikace a aktivity, které jste možná ani netušili, že je dětem můžete doporučit. Samozřejmě klasicky spousta čísel,  hodně nových snímků ukazujících jak hodně mobily a tablety ovlivňují děti a co na nich dělají.

Městská Policie Brno má nejspíš hacknutý web, ale v prohlížeči to asi neuvidíte

Karel Figlar na Facebooku POOH.CZ upozornil na velmi zvláštní chování sdílení z webu www.mpb.cz , tedy webu Městské Policie Brno. Když budete chtít sdílet, tak se v popisku objeví dost podivná věc (viz obrázek).

Zajímavé na tom všem je, že když si onu adresu otevřete v prohlížeči, tak tam ten text není. Ale když si to otevřete třeba v Debuggeru Facebooku tak ho tam najdete. Takže buď se někdo rafinovaně pomstil Městské Policii Brno, nebo je ten web hacknutý.

Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

"Hesla jsou v databází uložena šifrovaně. Šifrujeme je vlastním algoritmem a tudíž je dokážeme i dešifrovat. Heslo si můžete kdykoli změnit přes zákaznickou administraci, která běží na httsp". Tohle dostal Tomáš Dvořák od zákaznické podpory u FORPSI jako odpověď na dotaz, týkající se ukládání hesel v plaintextu.

Vaše hesla šifrujeme, ale umíme je dešifrovat, takže se vůbec nemáte čeho bát.

Neexistuje žádná lepší ukázka do učebnice, než je tato. Technická podpora informuje zákazníka, že jeho heslo mohou kdykoliv přečíst nejenom oni, ale také kdokoliv jiný, kdo FORPSI hackne systémy. A aby se cítil bezpečně, přidají uklidňující větu o "vlastním algoritmu".

Prosím pěkně, hesla zákazníků, uživatelů, se nikdy neukládají v čitelné podobě ani dekodovatelné/dešifrovatelné podobě. Hesla uživatelů se musí zašifrovat odpovídajícím způsobem tak, aby to bylo jednosměrné. Tak aby nikdo nemohl heslo získat. A už vůbec ne kdokoliv ze zaměstnanců společnosti.  

Na Facebooku jedou nová podvodná videa. A hezky masově spamují a zavirují počítač

Bohužel lidská hloupost je nesmírná, protože tady klasicky naletí na výzvu ke stažení ovladače pro Flash. A pak už si dobrovolně zavirují počítač.

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Těžko říct, co si myslet o někom, kdo naletí na phishing (rhybaření) ukázané na následujícím obrázku. Něco takového samozřejmě už roky chodí v angličtině, tohle je jeden z mnoha pokusů, kdy útočníci prostě vzali anglický text a prohnali skrz Google Translate (něbo nějakou jinou službu co rozhodně nedokáže přeložit nic do srozumitelné podoby).  

Pokud na tenhle phishing někdo naletí, tak si snad ani nic lepšího nezaslouží

Všimněte si, že zde ani není žádný odkaz a útočníci nejspíš předpokládají, že jim obět prostě odpoví mailem (samozřejmě je možné, že prostě soudruzi z NDR udělali chybu a na odkaz zapomněli).


( strana 1 z 20 ) Starší články >>> ( celkem článků: 597)