Potvrzení registrace nebo změna e-mailové adresy a reset hesla vyžadují zaslání potvrzovacího tokenu e-mailem, nejčastěji v podobě odkazu. Standardní implementace v ASP.NET Identity využívá kódování Base64, což s sebou nese jisté problémy. Ukážu vám, jak místo toho použít kódování ZBase32 a k čemu je to vlastně dobré.
Rubrika Bezpečnost
Do sbírky divných médií, v nichž jsem zanechal stopu, se po bok Archivního časopisu ministerstva vnitra a Světa motorů zařadil podcast Modrák & Friends, který se zabývá počítačovými hrami. O čem jsem moudře hovořil, když o počítačových hrách nic nevím a systematicky se jim vyhýbám? O hacku společnosti CD Projekt, což je údajně slavný herní producent (já se o její existenci dozvěděl až z toho hacku). Protože o hacku samotném není známo prakticky nic, bylo z toho povídání o bezpečnosti a ransomware. Pokud vám nestačí mne číst, ale chcete mě i poslouchat, zde máte možnost.
Přestože toto video pochází už z roku 2016, je stále aktuální. Kdyby ten postup znali v EK, mohli si odpustit nepěknou blamáž při zveřejnění smlouvy na dodávku vakcíny proti COVID-19. Kde sice začernili některé údaje, ale v metadatech jim zůstal původní text.
Velké množství modelů síťových prvků ZyXel (které jsou populární i u nás) obsahuje backdoor: skrytého uživatele s administrátorskými právy a pevně nastaveným heslem. Triviálně zneužitelná zranitelnost umožňuje útočníkovi získat naprostou kontrolu nad zařízením. Problém se týká řady firewallů, VPN routerů a řídících jednotek AP. Chyba se netýká běžných domácích routerů a modemů, které ZyXel vyrábí také, ale vyšší řady určené pro menší a střední firmy.
Můj editor v Hospodářkách brblal, že píšu příliš pesimisticky. A že by to na svátky chtělo nějaký optimistický článek. V roce 2020. Ale ano, uplynulý rok byl z hlediska IT docela dobrý. Posuďte sami. Úplně sluníčkové mi to sice nevyšlo, ale quantum in me fuit.
Internet začal zhroucením systému po třetím přeneseném znaku. Ale jak skončí? Nebo už se to stalo? Co se stalo s internetem, který jsem znal? Jak se bude vyvíjet dál? Jediné, co je jisté, je nejistota. Internetové revoluce byly vždy překvapivé a nečekané.
Prý existuje jedna kletba, která zní "nechť žiješ v zajímavých časech". Zajímavé časy trvají v kybernetické bezpečnosti několik let a nevypadá to, že by se v tomto ohledu mělo v nejbližší budoucnosti cokoliv měnit.
To nejlepší na konec, říká se. Na konec letošního roku připadla aféra se supply chain útokem na společnost SolarWinds a na její klienty. A klienty jejich klientů, což zahrnuje skoro každého. Tomuto typu útoku se těžko brání a může mít extrémní následky.
Život s vytrvalostí hodnou lepší věci opakovaně potvrzuje pravdivost bonmotu, že chybějící písmenko "S" ve zkratce IoT znamená "security". Nejnověji pak půvabnou sbírkou třiatřiceti bezpečnostních chyb v několika různých síťových knihovnách, kterou její objevitelé ze společnosti Forescout pojmenovali AMNESIA:33. Je na ní zákeřné to, že nepostihuje jedno zařízení, nebo jednoho výrobce. Postižených společností je více než sto padesát a počet postižených zařízení se pohybuje v miliónech.
Když se řekne sociální inženýrství, většina lidí si pod tím představí buďto zločinné snahy zblbnout uživatele. Nebo sociálně eugenické snahy dávných německých nacistů či současných evropských levičáků. Nicméně sociální inženýrství lze využít i v oblasti kybernetické bezpečnosti: tím, že uživateli umeteme nejbezpečnější cestičku jako tu nejsnazší. Nabízím vám záznam své přednášky na online konferenci LAW FIT 2020.