Další aktuality
28.6.2022
Globální vývoj kybernetických hrozeb od ESETu.
Hlavním terčem ransomwarových útoků se stalo Rusko, rostou podvody na internetu.

21.6.2022
Přehled hrozeb pro Android v Česku: Bezpečnostní experti varují před vlnou falešných aplikací, šíří bankovní malware
Reklamní malware Andreed byl v květnu opět nejčastěji detekovaným škodlivým kódem pro platformu Android v Česku.

16.6.2022
Stav hrozeb pro macOS: Reklamní malware se v květnu šířil prostřednictvím falešného video a audio přehrávače
Adware Pirrit byl v květnu nejčastěji detekovanou hrozbou pro české uživatele počítačů od Apple. Šířil se opět přes aplikaci Flash Player.

10.6.2022
Hlavním rizikem v Česku zůstává spyware, bezpečnostní experti očekávají nové útoky
V květnu patřily mezi nejčastěji detekované škodlivé kódy pro operační systém Windows v Česku spyware Agent Tesla, spyware Formbook a password stealer Fareit.

3.6.2022
ESET odhalil globální útok skupiny Lazarus, kyberšpionáž mířila na letecké a obranné společnosti na celém světě
Skupina Lazarus útočila na dodavatele obranných a leteckých společností po celém světě koncem loňského roku.

2.6.2022
Upozornění na zranitelnost CVE-2022-30190
Národní úřad pro kybernetickou bezpečnost upozorňuje na zranitelnost CVE-2022-30190 (Follina), která je aktivně zneužívána (produkty MS Office) ke spuštění škodlivého kódu.

1.6.2022
Získejte Avast Premium Security zdarma
Zúčastněte se soutěže s magazínem IT Kompas...

1.6.2022
Průzkum ESETu: Třetina lidí se stala cílem podvodu na internetových bazarech
Phishing, vishing, inzertní podvody, jejich kombinace a jiné formy podvodného jednání v kyberprostoru jsou stále rozšířenější.

26.5.2022
Hrozby pro Android v Česku: V dubnu se malware šířil přes falešné verze her nebo aplikací pro řidiče
Útočníci v dubnu šířili malware přes podvodné verze her Buddy Toss, Ultimate Custom Night nebo Chuchel.

24.5.2022
ESET varuje: Phishing je v Česku opět na vzestupu
Počet detekovaných případů phishingu se podle bezpečnostních expertů opět zvýšil


více v archivu
potřebujete poradit? - jsme tady

Twitter ukládal hesla v nešifrované, čitelné podobě

Sdílej na Facebooku
11.5.2018

Twitter zjistil ve svém systému závažnou bezpečnostní chybu – za určitých okolností totiž ukládal kopie nešifrovaných hesel svých uživatelů. Každý, kdo se alespoň trochu zajímá o bezpečnost na internetu ví, že ukládání nešifrovaných hesel ve formě prostého textu se zásadně nedoporučuje. Se surovou podobou hesla by měl systém pracovat pouze na úrovni operační paměti, a to jen v případě vytváření či změny uživatele nebo během ověřování v rámci přihlašovacího procesu.

sociální síť Twitter

Textová podoba hesla by neměla být ukládána ani do dočasných souborů, které jsou později smazány. Ještě před korektním smazáním totiž může dojít k chybě v programu, k odpojení disku nebo k jiným neočekávaným stavům a soubor s heslem či hesly na disku zůstane.

Hesla by neměla být uchovávána ani ve virtuální paměti, protože se velmi snadno mohou ocitnou v odkládacím souboru na disku. V operačním systému Windows v tomto případě pomůže funkce VirtualLock(), která zajistí "uzamčení" příslušných bloků paměti ve fyzické RAM – a ty tak neskončí v odkládacím souboru (swapfile).

Opravdu je nutné vyvarovat se jakékoli činnosti, která by vedla k trvalému uložení hesel v prosté textové podobě. Bohužel přesně toto pravidlo Twitter porušil.

Dobrou zprávou je, že samotná databáze obsahující hesla byla v případě Twitteru naimplementována bezpečně. Twitter využívá hashovací algoritmus bcrypt, který pro zvýšení bezpečnosti i znesnadnění útoků hrubou silou používá opakované pře-hashování s využitím saltů (náhodných posloupností znaků). Díky hashovacím mechanismům, jako je právě bcrypt, je možné do databáze ukládat místo hesel jejich vypočítané hashe a přihlašovací údaje ověřovat právě proti těmto otiskům. Z hashe však nelze získat původní textovou podobu hesla.

Kybernetickým zločincům dokonce příliš nepomůže ani to, pokud se jim soubor nebo databázi s hashovanými hesly podaří ukrást. Musí totiž spočítat hashe pro každé možné heslo (nebo použít slovníky pravděpodobných hesel), výsledky porovnávat se zcizenými otisky a doufat ve štěstí, že takto hesla "uhodnou" alespoň u některých uživatelů.

Špatnou zprávou v případě Twitteru je, že vysoká míra bezpečnosti poskytovaná funkcí bcrypt byla degradovaná zapisováním původní textové podoby hesel do systémových logů. A pokud se útočníci podívali místo do databáze s hesly do souborů s těmito protokoly, nemuseli nic dešifrovat ani provádět "slovníkové útoky."

Co s tím?

Twitter tvrdí, že chyba je již opravena a že nic nenasvědčuje tomu, že by došlo k nějakému zneužití nebo narušení dat. Doporučuje pouze, aby uživatelé "změnu svého hesla zvážili." My ovšem doporučujeme okamžitou změnu hesla – ostatně i z toho důvodu, že Twitter nesdělil žádné informace o délce trvání popisovaného bezpečnostního problému, ani o počtu takto omylem shromážděných hesel. Nelze tedy nijak posoudit, kolika hesel se mohl případný únik týkat.

Svoji bezpečnost na Twitteru můžete zvýšit také používáním tzv. dvoufaktorové autentizace, kterou možná znáte i pod označením ověřené přihlášení. Pro úspěšné přihlášení je nutné zadat i speciální kód na jedno použití, který je zasílán na mobilní telefon uživatele, případně jen tento ověřovací kód na mobilním či jiném zařízení vypočítán.



Cena:    0 Kč
Něco navíc
máme pro Vás dárek

SPOKOJENÍ ZÁKAZNÍCI

Musím se přiznat, že s tak ochotným a hlavně trpělivým operátorem jsem se už dlouho nesetkal.

Patří mu proto srdečný dík! Domnívám se, že tento neobvyklý přístup operátora k zákazníkovi si zaslouží i zveřejnění


Rudolf Wonka, Litoměřice

#1

Protože jsem laik a nerozumím antivirovým programů velmi si cením s jakou jednoduchostí a elegantností mně dovedla technická podpora předat potřebné informace tak, abych jim porozuměl.

Protože si takového jednání velmi cením, považuji za vhodné poděkovat také Vám za dobře vybraný a proškolený personál.


Roman Jakubík

#2

Chci vám poděkovat
za profesionalitu a za pomoc při instalaci antiviru do počítače.

Moc vám děkuji a zůstáváme nadále vašimi klienty.


Ludmila Ferencová

#3

Moc děkuji za pomoc, už to funguje podle mých představ.

Udělali jste mi radost, že se na vaši podporu mohu spolehnout, to vždy potěší.
Ještě jednou díky a hezký den.


Ivana Stinková
Mělník

#4

Děkuji za odpověď
hned to zkusím.
Pěkné vánoce. Strašně jste mě překvapili rychlou odpovědí.


Dagmar Niklová
Olomučany u Blanska

#5

Dík za pomoc

Konečně jsem KIS nainstaloval. Musím konstatovat, že by se mi to nepodařilo bez vaší pomoci.
Takže ještě jednou díky a hodně zdaru.


Milan Selucký

#6

Dobrý den,

ráda bych Vaším prostřednictvím poděkovala p. Martinovi, který se mi po 2 dny trpělivě věnoval při nastavení antivirového programu.

Je vidět, že umí pracovat nejenom s anti-virem, ale i anti-talentem na PC.

Předejte prosím toto poděkování i jemu nadřízenému pracovníkovi!!


Irena Procházková
MŠ Mezi Domy, Praha

#7

Díky Vašim nástrojům na čištění jsem si mohl vyčistit PC, neboť se neustále zpomaloval a výsledek je pro mne překvapující. Jsem sice laik, ale věřím, že to využívají i odborníci. Děkuji za veškerou tech. pomoc.


Bělík Josef
Praha

#8


Doporučujeme
Eset Nod32 Antivirus, Eset Smart Security Premium, Eset Internet Security

získejte plnou verzi antivirového programu zdarma

Odkazy
Igiho stránka o virech: www.viry.cz

Cílem serveru HOAX.cz je informovat uživatele o šíření poplašných, nebezpečných a zbytečných řetězových zpráv, se kterými se denně setkává a které ohrožují běžné používání internetu.

diallix.net
HW firewall Sophos
Verze Shop-NET: 2.14.9.25

Možnosti platby:

- převodem na účet
- platební kartou
- dobírkou

VISA Maestro VISA Electron MasterCard

Možnosti dodání:

- elektronické licence - zdarma
- dárky k objednávce - zdarma