• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    R_U_SIRIOUSCybersecurity. Kyberbezpečnost. (Ne)bezpečí v síti.
    "Kyberprostor je virtuální realitou, nemající konec ani začátek. Tato virtuální realita je však zcela závislá na materiální podstatě, tedy technologiích nacházejících se ve světě reálném. Vzniká tak zajímavý paradox, který sice umožňuje existenci nehmotného média (kyberprostoru), schopného, díky distribuovanosti hmotného média (prvků sítě, jednotlivých počítačových systémů, cloudových úložišť, propojených služeb, atd.), se adaptovat a měnit v případě poškození materiálního média, avšak v případě úplného kolapsu materiálního média (respektive všech jeho součástí) dojde k nevratnému poškození či zániku kyberprostoru jako takového."

    Bezpečnost (Security)
    Vlastnost prvku (např. informační systém), který je na určité úrovni chráněn proti ztrátám, nebo také stav ochrany (na určité úrovni) proti ztrátám. Bezpečnost IT zahrnuje ochranu důvěrnosti, integrity a dosažitelnosti při zpracování, úschově, distribuci a prezentaci informací.
    JIRÁSEK, Petr, Luděk NOVÁK a Josef POŽÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3. aktualiz. vyd. Praha: AFCEA, 2015, s. 23. [online].

    "Kybernetickou bezpečnost je možné vymezit jako:
    - souhrn právních, organizačních, technických a vzdělávacích prostředků, které směřují k zajištění ochrany počítačových systémů a dalších prvků ICT, aplikací, dat a uživatelů,
    - schopnost počítačových systémů a využívaných služeb reagovat na kybernetické hrozby či útoky a jejich následky, jakož i plánování obnovy funkčnosti počítačových systémů a služeb s nimi spojených.
    Kybernetická bezpečnost je realizována jak v rámci kyberprostoru, tak mimo něj.
    Není vhodné aplikaci výše uvedených prostředků a principů, jakkoliv geolokačně (ať již na území daného státu, Unie či kyberprostoru samotného) omezovat."


    KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-31-7.
    Dostupné online:
    PDF verze | EPUB verze | MOBI verze

    Národní úřad pro kybernetickou a informační bezpečnost - Publikace
    Vzdělávací materiály NÚKIB
    rozbalit záhlaví
    SYNTAX_TERROR
    SYNTAX_TERROR --- ---
    DUCATIMONSTER: SYNTAX_TERROR: Ohledně toho obcházení uživatelem nastavených permissions:

    It is one of China’s most popular shopping apps, selling clothing, groceries and just about everything else under the sun to more than 750 million users a month.

    But according to cybersecurity researchers, it can also bypass users’ cell phone security to monitor activities on other apps, check notifications, read private messages and change settings.

    Severe Android and Novi Survey Vulnerabilities Under Active Exploitation
    https://thehackernews.com/2023/04/severe-android-and-novi-survey.html

    https://www.cnn.com/2023/04/02/tech/china-pinduoduo-malware-cybersecurity-analysis-intl-hnk/index.html
    SYNTAX_TERROR
    SYNTAX_TERROR --- ---
    DUCATIMONSTER: To jsi afaik riziko úniku dat minimalizoval, osobně bych ho ale stejně radši vypráskal úplně. Nedivil bych se totiž, kdyby tam byly snahy o obejití toho permission mechanismu nějakými těmi exploity, že. Ale, třeba taky ne a je na zvážení každýho, jestli mu to riziko za to stojí.
    DUCATIMONSTER
    DUCATIMONSTER --- ---
    Prd tomu rozumím , ale co si to bere za data? Kam koukám v prohlížeči třeba? Ios a zakázanej mikrofon , foťák a sledování nepomůže? Oproti facebooku, ktery taky neni úplně fajn něco navíc? Na prohlížení používám duck duck go. Jak se teda s telefonem chovat bezpečně? Nemít nic nainstalované? Díky

    QWWERTY
    QWWERTY --- ---
    coz me privadi k takovymu sirsimu problemu dnesnich telefonu - ze soucasti systemu neni framework, kde bych mohl aplikaci zakazat beh na pozadi
    aby samotny OS hlidal, ze aplikace nebezi, pokud ano, tak ji proaktivne zabil a vubec ji zakazal start, pokud neni iniciovany manualne uzivatelem

    ja vim...
    a) omezeni programu na pozadi, nad kterym uzivatel nema kontrolu, neni v zajmu google, takze si muzu nechat zdat
    b) pokud by na tenhle watchlist uzivatel pridal aplikace, ktery bez toho nemuzou fungovat, tak by si je "rozbil" (zadny notifikace, polling serveru na pozadi, etc...)
    QWWERTY
    QWWERTY --- ---
    DUCATIMONSTER:
    Národní úřad pro kybernetickou a informační bezpečnost - Aplikace TikTok představuje bezpečnostní hrozbu
    https://www.nukib.cz/cs/infoservis/hrozby/1941-aplikace-tiktok-predstavuje-bezpecnostni-hrozbu/
    Obava z možných bezpečnostních hrozeb vyplývá především z množství shromažďovaných dat o uživatelích a způsobu, jakým jsou sbírána, nakládání s nimi a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky,

    NÚKIB doporučuje zakázat instalaci a používání aplikace TikTok na zařízeních, jež mají přístup do regulovaného systému (pracovní i soukromá zařízení využívaná k pracovním účelům)

    Technologie sbírá řadu informací o uživateli a jeho chování i o zařízení, na kterém běží. Tato data a informace ukládá na různých lokacích a není zcela jasné, kdo k nim má přístup.



    nemyslim si, ze odhlasovani/prihlasovani jakkoliv pomuze proti sberu dat
    nemluve o tom, ze na fingerpriting a identifikaci nepotrebujes prihlaseny ucet
    DUCATIMONSTER
    DUCATIMONSTER --- ---
    Ahoj, co říkáte na tiktok? Jaká data to krade? Je lepší ho dát pryč i když se člověk ohlašuje pokud nekouka?
    UNTOY
    UNTOY --- ---
    https://twitter.com/MilkRoadDaily/status/1635735723490828289
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Qubity: Prolomení ECC, kvantové FPGA, testy PQC a nový kvantový software - Lupa.cz
    https://www.lupa.cz/clanky/qubity-prolomeni-ecc-kvantove-fpga-testy-pqc-a-novy-kvantovy-software/?

    Kvantová bezpečnost
    SoftBank si na své síti vyzkoušela hybridní PQC zabezpečení ve spolupráci se SandboxAQ. Zde slovo hybridní znamená kombinace PQC šifrování a klasického ECC šifrování. Tento typ hybridizace začíná poslední dobou být docela preferovaný. Myšlenka je, že klasické šifrování, jako jsou ECC nebo RSA, vás ochrání proti útokům klasickými počítači (kdyby byl PQC prolomen, jak se občas stává). Na druhou stranu PQC by měl chránit proti útoku kvantovými počítači. Jen na doplnění, v případě QKD sítí se pak uvažuje o hybridních QKD-PQC šifrováních.

    Francouzský startup Alice & Bob pracuje na kvantových počítačích s takzvanými „cat qubits“. Cat qubits je další typ supravodivých qubitů, které jsou extraodolné vůči „bit-flip“ chybám. Pracuje na nich i Amazon/QWS. Zde Alice & Bob ve své teoretické práci ukázali, že 256-bit Elliptic Curve Logarithm lze prolomit pomocí 126 133 cat qubitů za zhruba devět hodin pomocí Shorova algoritmu. Dále, pro RSA-2048 by bylo zapotřebí 349 133 cat qubitů a čtyři dny.

    Docela pěkný článek na téma „An Introduction to Post Quantum Cryptography“ najdete na TQI. Jako pravidelní čtenáři byste velkou část měli znát. Nicméně opakování je matkou moudrosti, a navíc zde popisují a srovnávají řešení vybraných hráčů na trhu (Qrypt, Arqit, PQShield, Quantropi).
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    KY_109: Dík, ano, taky bych to tak chápal.
    KY_109
    KY_109 --- ---
    R_U_SIRIOUS: Pokud to chapu dobre (coz bych byl rad pacz ho pouzivam - vyvedte me z omylu pokud nechapu), tak to adresujou v cerstve vydanym release 2.53.1

    Changes from 2.53 to 2.53.1:
    Removed the 'Export - No Key Repeat' application policy flag; KeePass now always asks for the current master key when trying to export data.

    KeePass 2.53 released - KeePass
    https://keepass.info/news/n230109_2.53.html
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Americká CISA zveřejnila nástroj pro obnovu serverů napadených ransomwarem ESXiArgs - Root.cz
    https://www.root.cz/zpravicky/americka-cisa-zverejnila-nastroj-pro-obnovu-serveru-napadenych-ransomwarem-esxiargs/?
    GIOMIKY
    GIOMIKY --- ---
    Feds Say Cyberattack Caused Suicide Helpline’s Outage - SecurityWeek
    https://www.securityweek.com/feds-say-cyberattack-caused-suicide-helplines-outage/
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Ze správce hesel KeePass lze potichu vytáhnout data. Dle autorů však nejde o zranitelnost – Živě.cz
    https://m.zive.cz/clanky/ze-spravce-hesel-keepass-lze-potichu-vytahnout-data-dle-autoru-vsak-nejde-o-zranitelnost/sc-3-a-220523/
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    E2E4: Já osobně se nepovažuju za experta v téhle oblasti. O klub jsem žádal právě proto, abych se rozvíjel, než abych to bral jako hotovou věc.
    E2E4
    E2E4 --- ---
    R_U_SIRIOUS: tak určitě, akorát jsem nějak čekal, že frekventanti tohoto auditka o databázi CVE už někdy slyšeli..
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    E2E4: To už si musí posoudit čtenář, k čemu je jaká informace dobrá.
    Pro mě je užitečné už jen zjištění o existenci é databáze: https://nvd.nist.gov/vuln
    E2E4
    E2E4 --- ---
    R_U_SIRIOUS: a k čemu takový žebříček je.. když sečteme jabka s hruskama, získáme zajímavé číslo. a dál?
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    E2E4: Četl jsi ten článek? Ne že bys neměl pravdu, ale autoři textu na to sami upozorňují...



    Na první pohled by se mohlo zdát, že jsme si právě ukázali nástěnku ostudy a produktům těchto výrobců bychom se měli vyhýbat širokým obloukem. Jenže takto rychlý soud by byl přinejmenším nechytrý.

    Je třeba si totiž uvědomit několik klíčových zákonitostí podobných statistik:

    ...
    Jak jsme to vlastně počítali?
    Na závěr si konečně ukážeme, jak jsme se k těmto žebříčkům vlastně dopočítali.
    E2E4
    E2E4 --- ---
    R_U_SIRIOUS: are you serious? tohle je značně zkreslený počtem produktů, tim že se jedna zranitelnost může týkat několika produktu a hlavně tím jak hodně jsou ty zranitelnosti zkoumány, jestli vůbec.

    jo a pak taky jde o závažnost, v reálným světě (malicious zip file umožňující přepsat libovolný soubor tě zajímá, jen pokud ti někdo může podstrčit zip který ty rozzipovavas vs přímé vzdálené spuštění kódu)
    R_U_SIRIOUS
    R_U_SIRIOUS --- ---
    Nejděravější firmy a operační systémy roku 2022. Stáhli jsme obrovský soubor a všechny ty chyby spočítali – Živě.cz
    https://www.zive.cz/clanky/nejderavejsi-firmy-a-operacni-systemy-roku-2022-stahli-jsme-obrovsky-soubor-a-vsechny-ty-chyby-spocitali/sc-3-a-220101/default.aspx

    TOP10 nejděravějších firem v roce 2022

    Microsoft: 12 912
    Qualcomm: 10 690
    Juniper: 9 530
    F5: 8 043
    Cisco: 7 321
    Intel: 5 381
    Dell: 5 254
    Google: 3 474
    Oracle: 3 439
    Siemens: 2 693


    TOP10 nejděravějších firem z pohledu nejzávažnějších chyb v roce 2022

    Qualcomm: 9 983
    Microsoft: 9 948
    Dell: 4 038
    F5: 3 764
    Cisco: 3 343
    Juniper: 3 249
    Zoho: 1 882
    Google: 1 728
    Apple: 1 725
    Siemens: 1 679


    TOP10 nejděravějších operačních systémů v roce 2022

    Juniper Junos: 8 931
    Microsoft Windows 10: 5 562
    Google Android: 2 209
    Cisco IOS XE: 2 159
    Fedora: 1 483
    Microsoft Windows 11: 1 127
    Apple Mac OS X: 1 124
    Debian: 854
    Microsoft Windows Server 2012: 809
    Microsoft Windows Server 2008: 766


    TOP10 operační systémy podle jejich dílčích verzí

    Apple Mac OS X 10.15.7: 1 066
    Microsoft Windows 10 20H2: 970
    Microsoft Windows 10 21H1: 962
    Microsoft Windows 10 21H2: 954
    Juniper Junos 19.4: 940
    Microsoft Windows 10 1809: 936
    Microsoft Windows 11: 935
    Juniper Junos 18.4: 831
    Juniper Junos 19.1: 807
    Juniper Junos 19.2: 707
    AFROMEN
    AFROMEN --- ---
    Nalezeny možné útoky na komunikátor Threema - Root.cz
    https://www.root.cz/zpravicky/nalezeny-mozne-utoky-na-komunikator-threema/
    Kliknutím sem můžete změnit nastavení reklam