AI nám bere kontrolu nad vývojem, bezpečností a daty!
A bere práci programátorům.

AI nám nic nesebrala. Nemůže. Tu moc nemá. Ale i kdyby měla, nemusela by. My jsme jí kontrolu nad vývojem, bezpečností a daty předali sami. Protože je to pohodlné, rychlé a často to překvapivě dobře funguje.

Problém není, když kód nefunguje. To poznáme hned a můžeme ho opravit. Problém je, když kód nějak funguje, ale v pozadí dělá něco jiného, než by se nám líbilo. V bezpečnosti totiž to, že něco nějak funguje vůbec nestačí.
Měli bychom vědět, jak to funguje, a když se něco změní, tak co to bylo a kde.

Nový aktér

O AI často mluvíme jako o nástroji. Podobně jako o textovém editoru, vyhledávači nebo „autocomplete“.
Jenže AI není jen obyčejný nástroj.
AI:

• čte zadání
• interpretuje záměr
• navrhuje architekturu
• píše kód
• upravuje konfiguraci
• doporučuje knihovny
• vysvětluje chyby
• a často i spouští příkazy

Takže v bezpečnostním modelu už to není pasivní kladivo. Je to další aktér, který se účastní rozhodování – threat model se rozšířil.
Když držím v ruce kladivo jako nástroj, já se rozhoduji o tom, jakou silou, do čeho a jestli vůbec do něčeho praštím.

AI je kladivo, které si o tom všem rozhoduje samo, jen na základě našich instrukcí (promptů). A je nutné si uvědomovat, že my jsme ti, kdo nese zodpovědnost.
Můžu kladivu zadat úkol – "Zatloukej hřebíky!".
AI kladivo „vidí“ hřebík. Vyhodnocuje – "Hm, hřebík, zatluču ho. A je velkej, dám do toho větší sílu".
A vy pak koukáte, jak AI kladivo mlátí do háčku ve zdi. Do háčku v sádrokartonové zdi. Do háčku, na kterém jsou klíče od auta.

AI udělala chybu. My máme problém.

Delegovali jsme na AI nejen vývoj, ale i kontrolu. A dost často jen zdání kontroly. V chatu nám AI tvrdí, že vše je bezpečné. Ale je to tak opravdu?
Když AI vygeneruje kód, který umožní útočníkům získat data našich uživatelů, reputační problém máme my, nikoli AI agent. Těžko můžeme při úniku dat ukázat prstem na AI agenta s tím, že „za to může on!“
Našeho (teď již dost možná bývalého) zákazníka většinou nezajímá, jak byla aplikace vytvořena. Vy ji nabízíte, můžete si za ni i účtovat peníze, tak je vaše zodpovědnost, že data uživatelů zůstanou tam, kde mají být.

Cesta už není cíl

Možnosti vibe codingu umožnily vytvářet aplikace i těm, kteří nikdy nic neprogramovali. Není problém to, že někdo nezná konkrétní syntaxi nějakého programovacího jazyka. To je totiž jen malá část celého programování.
Mezi další důležité součásti vývoje patří např. algoritmizace, propojení jednotlivých částí, nakládání s pamětí, daty a další. Před nástupem vibe coding nástrojů se často programovalo tak, že se jednotlivé části kódu prostě kopírovaly ze stránek typu StackOverflow. Nebylo to ideální, ale autor měl alespoň představu, jakým způsobem funguje např. přihlašování k aplikaci, protože věděl, že musel vytvářet (nebo kopírovat) kód pro běh databáze, přihlašovací formulář na webu a také kód pro server, který data z formuláře porovnával, případně ukládal do té databáze. Takže autor aplikace si možná nepamatoval konkrétní příkaz pro uložení hesla do databáze, ale alespoň věděl, jaká ta cesta hesla do databáze byla a jestli bylo heslo uloženo bezpečně. Dnes? Zadáme „Vytvoř přihlašování pro moji aplikaci“. Enter. A během chvilky máme přihlašování.

Nová funkce -> nové dveře

Takže máme přihlašování. Ale je heslo v databázi uloženo bezpečně nebo je normálně čitelné? Co když zadám do přihlašovacího formuláře něco, co se tam normálně neočekává, například kus kódu? Nebudu schopen přečíst si všechna data z vaší databáze? Nebo se změnou nějakého parametru přihlásit jako jiný uživatel bez toho, že bych znal jeho/její heslo?

Možná si na přihlašování dáme větší pozor, protože tak nějak tušíme, že nakládání s přihlašovacími údaji je kritická část.

Ale co další, na první pohled nevinné funkce?

„Přidej upload souborů“. Zní jako běžná funkce. Ale najednou řešíte:

• Kdo soubor vidí?
• Kde je uložený?
• Jde stáhnout bez přihlášení?
• Může někdo nahrát něco nečekaného?
• Zůstane tam soubor i po smazání účtu?

Upload není jen „ulož soubor“. Je to nové skladiště cizích dat.

„Přidej sdílení odkazem“

Zní to jako jednoduchá pohodlná funkce.

• Kdo ten odkaz může otevřít?
• Dá se odkaz uhodnout?
• Jde později zneplatnit?
• Zobrazí víc dat, než by měl?
• Indexuje ho někde crawler?

Sdílecí odkaz je v podstatě druhé přihlášení. Jen je bez hesla.

Ještě?

„Přidej export do PDF“

• Zní neškodně, protože uživatel si jen stáhne vlastní data.
• Co všechno se do PDF dostane?
• Jsou tam metadata?
• Je PDF někde dočasně uložené?
• Může si někdo stáhnout cizí export?
• Zůstávají exporty na serveru?

Export často vytvoří druhou kopii dat. A ta druhá kopie už nemusí mít stejnou ochranu jako originál.

Příklady by se daly vymyslet asi na většinu funkcí vaší aplikace. A víte jistě, že tohle vaše AI řeší?

Neudělá tu novou funkci prostě rychle a jednoduše, aby vám udělala radost?

AI nevymýšlí nové chyby, vyrábí je ve větším tempu.

U vibe codingu často nejde o úplně nové typy chyb. Jsou to věci, které známe už dlouho: uživatel vidí data někoho jiného, soubor je dostupný bez přihlášení, citlivé údaje skončí v databázi v čitelné podobě, aplikace zapomene ověřit, kdo má k čemu přístup, nebo se do projektu přidá knihovna, které nikdo nerozumí.
Nové je hlavně tempo. Dřív člověk takovou chybu napsal ručně v jedné části aplikace. Dneska AI během pár minut přidá login, upload, export, sdílení a API – a stejný typ chyby se může objevit na více místech najednou.

AI není nový druh chyby. AI je zrychlovač starých chyb.

(Téměř) Fuck Up ze života

Nejsem programátor. Sice už jsem v životě několik málo věcí naprogramoval, ale nikdy jsem se tomu dlouhodobě nevěnoval. A podle toho to vypadalo. Moje výtvory „nějak“ fungovaly, ale spíše jen pro moje osobní použití, peníze bych si za to brát asi nemohl.

S nástupem AI nástrojů jsem se rozhodl „přepsat“ jeden můj starší projekt do obecně použitelné podoby. A protože to znamenalo i nakládání s daty uživatelů, chtěl jsem to mít nastavené tak, že ani já jako provozovatel serveru nemám být schopný data uživatelů číst.

Takže jedno ze základních zadání nebylo jen „nějak tam dej šifrování“. Byl to konkrétní požadavek na koncové (end-to-end) šifrování. Protože nejenom, že mě data uživatelů nezajímají. Já je nechci mít v čitelné podobě i pro případ, že by ze serveru unikly, což je riziko, které nesou všichni, kdo nakládají s daty uživatelů, ať jde o malý projekt jednoho autora, nebo velké mezinárodní korporace. Stát se to prostě může – a stává se to.

Vývoj pokračoval poměrně dobře, AI programovala jak divá, všechno tak nějak fungovalo podle očekávání.

Později jsem přidal export do internetového kalendáře. Praktická funkce, celkem normální požadavek. AI funkci naprogramovala. Fungovalo to.

Po nějaké době jsem chtěl vědět, jestli je opravdu vše v databázi zašifrováno. Data z aplikace šifrovaná byla. Ale vedle těch dat byla tabulka s daty pro export do internetového kalendáře. V čitelné podobě. Ta samá data, která byla „vedle“ bezpečně šifrovaná.

Export do kalendáře totiž není možné koncově šifrovat. Můj požadavek (z mojí neznalosti) šel proti jednomu ze základních pravidel.

AI implementovala funkci, splnila úkol. Ale že tím porušila jedno ze základních pravidel, mi jaksi zapomněla oznámit.

Je to jako dát na dveře kvalitní zámek, ale pak kvůli pohodlí udělat vedle druhé dveře bez zámku. Ten první zámek pořád existuje. Jen už nechrání celou cestu.
Šifrování nebylo prolomené. Bylo obejité. Ne hackerem. Vývojářem.

Mojí výhodou je, že se bezpečností zabývám. Takže nejenže vím, jak si to zkontrolovat, ale hlavně vím, co si mám kontrolovat. A že si to mám kontrolovat. Takže jsem se s tím mohl vypořádat a automatický export do kalendáře jsem vypnul.

Ale pokud bych to neudělal, sliboval bych svým zákazníkům něco, co není pravda. A pravděpodobně by se na to časem přišlo. A to bych vážně nerad:)

Don’t vibe. Verify.

Nechci tím říct, že nemáme vibe codovat. Já to taky dělám. AI je skvělá na rychlé prototypy, refactoring, hledání řešení, generování částí kódu nebo vysvětlování problémů. Problém není vibe coding. Problém je, když zůstane jen vibe – když přijmu výsledek, protože vypadá dobře, ale neověřím, co se změnilo.

V kryptu známe „Don’t trust, verify“. Neznamená to „nikdy nikomu nevěř, nikdy nic nepoužívej“. Znamená to: důvěra není kontrola.

A přesně to samé platí pro AI. Don’t vibe. Verify neznamená „nepoužívej AI“. Znamená to: nepřijímej výsledek jen podle dojmu. Ověř sliby, data, oprávnění a nové dveře, které jsi právě vytvořil.

Everyone knows that debugging is twice as hard as writing a program in the first place. So if you’re as clever as you can be when you write it, how will you ever debug it?

— Brian Kernighan, The Elements of Programming Style, 2nd edition, chapter 2

The post Promptpunk I. – Don’t vibe. Verify. appeared first on DIGITÁLNÍ SEBEOBRANA.

Kryptoanarchie bývá často porovnávána se společenskými ideologiemi jako anarchokomunismus, anarchokapitalismus a dalšími. Toto srovnání nemůže fungovat z jednoho prostého důvodu. Kryptoanarchie není ideologie, která společnosti navrhuje (nebo nařizuje), jakým způsobem má být řízena a jaká pravidla by společnost měla dodržovat. Kryptoanarchie totiž není společenský systém.

Aby fungovala demokracie, anarchokomunismus, anarchokapitalismus nebo třeba monarchie je potřeba síla k tomu, aby se takový systém udržel. Bud dostatečné množství lidí, kteří se spoji dohromady nebo velmi silný (ať už ekonomicky nebo sociálně) jedinec či skupina. Dostatečně silný jedinec může ovládnout demokratickou společnost bez ohledu na názor většiny (např. KSČ stačilo pro ovládnutí celého Československa na 40 let získat ve volbách v roce 1946 “pouhých” 31,2 % hlasů). Podobně je neudržitelný koncept anarchokapitalismu, pokud není možnost vynucovat tzv. Non-Agressive Principle. Komunisté si nevynutí odevzdání soukromého majetku na dostatečně silném subjektu.
Kryptoanarchisté se většinou nesnaží měnit společnost. Jejich cílem je taková míra soukromí a bezpečnosti, která zajišťuje dostatečnou míru svobody. A samotná míra dostatečné svobody je individuální.

Kryptoanarchie je tedy spíše soubor nástrojů a technik, které pomáhají zachovat si takovou míru soukromí a bezpečnosti, která je pro jednotlivce nebo společenství dosažitelná nebo cílená. Základním nástrojem kryptoanarchie je šifrování informací. Použití takových technik, které znemožní tomu, před kterým informace skrýt nejen danou informaci získat, ale ani se o existenci takové informace dozvědět. Ať už se jedná o komunikaci, elektronická data nebo třeba finanční transakci. Tyto nástroje nemusí být nutně vysoce sofistikované nebo vyžadující výkonnou výpočetní techniku. Chcete spolužákovi sedícímu vedle vás v lavici poradit s těžkým příkladem při písemce tak, aby to učitel nevěděl, nebo chcete svému partnerovi sdělit něco velmi soukromého, ale jste obklopeni dalšími lidmi? Použijete velmi jednoduchou techniku – pošeptáte mu to.

Tento soubor technik a nástrojů není a pravděpodobně nikdy nebude definitivní. Nelze napsat Bibli kryptoanarchie, která by platná navěky. Stejně jako se vyvíjí společnost a technologie, vyvíjí se i kryptoanarchie. Potřeba soukromí byla jiná (možná žádná) v prvotně pospolné společnosti, jiná ve starém Římě, jiná je dnes v době digitální revoluce a opět jiná bude v budoucnosti (například při pobytu ve vesmírných lodích nebo při osidlováni jiných kosmických objektu). Stejně tak se vyvíjejí i technologie, které se snaží šifrované informace odhalit. Šifrovací techniky, které byly považovány za bezpečné před dvaceti lety jsou dnes většinou nepoužitelné, prolomit se dají v řádu minut. Ptát se, kdy bude kryptoanarchie “hotová”, je podobné jako ptát se, kdy bude hotový Internet.

Kryptoanarchie může navíc nabourávat jakýkoliv sociální systém. Vyřazuje ze hry státní i soukromé soudy, policii a armádu. Pokud neznáte pachatele, nemůžete ho soudit a/nebo odstranit (zavřít či zabít) pro porušení zákona nebo NAP (princip neagrese). Kryptoanarchie neřeší otázku volného či regulovaného trhu. Volný trh je vlastně její pevnou součástí. Nelze regulovat něco, o čem se regulátor nedozví a nemůže trestat někoho, koho nezná.

Sociální systémy jsou založeny na právech a povinnostech. Jediné přirozené povinnosti jsou ty, které jsou pudové. Například přirozená povinnost matky postarat se o své potomky. A ani ta není mimo sociální systém nijak vymahatelná. Vše ostatní, jak povinnosti, tak práva jsou umělý konstrukt, který je vymáhán sociálním systémem.

Jediné “právo”, které platí univerzálně, je právo silnějšího. Jak v přírodě (živé i neživé), tak ve společnosti.

Proč máme povinnost platit daně, podrobovat se rozsudkům soudů a sdílet svá soukromá data s vládci? Silnější tak rozhodl. V tomto případě je ten silnější dostatečné množství lidí (což nutně neznamená většina), kteří jsou schopni tyto povinnosti vymáhat pod hrozbou násilí. Neplatí to pouze pro lidská společenství, příklady najdeme i v přírodě. Proč má mravenčí královna (která je ve skutečnosti spíše otrokem) za povinnost celý svůj život strávit plozením nových generací v malém prostoru hluboko v mraveništi? Protože pokud by se této povinnosti vzepřela, mravenčí společnost by ji potrestala. Taková královna by měla život kratší, než je životnost slibů politiků po volbách.

Neexistuje žádné přirozené právo na život. Vymyslela ho lidská společnost a dohodla se (ať už dobrovolně nebo nedobrovolně), že ho bude vynucovat. Stejně tak právo na osobní vlastnictví nebo “důstojný život”. V přírodě se antilopa před lvem neohání listinou základních práv a svobod zvířat. Ví, že musí utéct, nic jiného jí nezbývá.

Kryptoanarchie jsou nástroje, pomocí kterých se jedinec může vyhnout tlaku společnosti na plnění pravidel a/nebo dodržování práv ostatních. Pohnutky pro to mohou být “dobré” i “zlé” (hodnocení je ale vždy individuální). Pro člověka, který je zvyklý dodržovat pravidla, které mu nastavil někdo jiný to může znít jako nebezpečné chování, ale to je opět jen individuální hodnocení. Často takové bezpodmínečné dodržování pravidel umíme vyhodnotit až s odstupem času. Velké části (nejen) německé populace přišly tzv. Norimberské zákony v pořádku a bylo normální je dodržovat. A dnes nám to přijde nepochopitelné. Stejně tak se můžeme za několik desítek let dívat například na současné regulace trhu, kriminalizaci uživatelů drog nebo zločin vlastizrady.

Neznamená to, že kryptoanarchista nedodržuje žádná pravidla a porušuje všechny zákony. Hraje zde roli mnoho faktorů, jako například otázka vlastní bezpečnosti, morálka nebo třeba ekonomický zisk. A i když se to možná na první pohled nezdá, většina lidí nemá zájem škodit. Proč si v obchodě, když se prodavač nedívá, většina(!) z nás prostě nestrčí lahev z regálu do tašky? Není to ze strachu ze zákona (a trestu). Je to pro to, že máme v sobě zakódované jakýsi morální kodex. Obrat někoho o jeho majetek nám prostě nepřijde správné bez ohledu na to, zda je na to nějaký zákon.

Smyslem kryptoanarchie tedy není – jak by se mohlo zdát – primárně porušovat pravidla. Smyslem je udržet si takovou míru svobody, která je pro nás důležitá a ochránit sebe a své blízké před nebezpečím, které může hrozit, pokud se k našim informacím dostane někdo, kdo je chce (a umí) použít proti nám. Historie nám ukázala, že toto nebezpečí není nereálné.

The post Kryptoanarchie – šifrou ke svobodě appeared first on DIGITÁLNÍ SEBEOBRANA.

Tento dokument slouží jako osobní threat model zaměřený na kybernetickou bezpečnost v oblasti kryptoměn. Jeho cílem je identifikovat potenciální hrozby a zranitelnosti a navrhnout opatření k jejich minimalizaci.

2. Identifikace aktérů a cílů

Aktéři

• Hackeři
• Regulátorní orgány
• Konkurence
• Blízcí

Cíle

• Krypto peněženka
• Transakční historie
• Investiční strategie

Aktéři a Cíle: Detailní Pohled

V této části threat modelu je klíčové podrobně identifikovat aktéry, kteří by mohli představovat hrozbu, a cíle, které by mohli chtít kompromitovat. Každý aktér a cíl by měl být podrobně rozveden, včetně motivací, schopností a způsobů útoků.

Hackeři

• Motivace: Finanční zisk, reputační důvody, ideologické přesvědčení
• Schopnosti: Malware, ransomware, phishingové útoky
• Způsoby útoků: Infiltrace do peněženky, keylogging, SIM swapping

Regulátorní orgány

• Motivace: Dohled a regulace, zajištění dodržování zákonů
• Schopnosti: Legální opatření, přístup k veřejným a soukromým databázím
• Způsoby útoků: Soudní příkazy, konfiskace majetku, audit

Konkurence

• Motivace: Získání konkurenční výhody, finanční zisk
• Schopnosti: Průmyslová špionáž, social engineering
• Způsoby útoků: Infiltrace, dezinformace, manipulace trhu

Blízcí

• Motivace: Osobní zájmy, možná finanční zisky
• Schopnosti: Přístup k osobním zařízením, znalost osobních informací
• Způsoby útoků: Použití známých hesel, přístup k nezabezpečeným zařízením

Cíle

Krypto peněženka

• Důležitost: Vysoká
• Typy útoků: Phishing, malware, fyzický přístup
• Opatření: Hardwarová peněženka, 2FA, silná hesla

Transakční historie

• Důležitost: Střední
• Typy útoků: Sledování IP adresy, kompromitace směnárny
• Opatření: Použití VPN, decentralizované směnárny

Investiční strategie

• Důležitost: Střední až vysoká
• Typy útoků: Social engineering, průmyslová špionáž
• Opatření: Omezení sdílení informací, použití šifrované komunikace

3. Zranitelnosti

Používání online peněženek s nízkým zabezpečením

• Popis: Online peněženky jsou často cílem útoků, zejména pokud nejsou správně zabezpečeny.
• Aktéři: Hackeři, konkurence
• Typy útoků: Phishing, brute-force útoky
• Opatření: Přechod na hardwarovou peněženku, použití 2FA

Nezabezpečená Wi-Fi síť

• Popis: Používání nezabezpečených Wi-Fi sítí může umožnit útočníkům snadný přístup k vašim datům.
• Aktéři: Hackeři, blízcí
• Typy útoků: Man-in-the-middle útoky, sniffing
• Opatření: Použití VPN, připojení pouze k důvěryhodným sítím

Používání neaktualizovaného software

• Popis: Starý nebo neaktualizovaný software může obsahovat zranitelnosti, které mohou být využity k infiltraci.
• Aktéři: Hackeři, regulátorní orgány
• Typy útoků: Exploitace známých zranitelností
• Opatření: Pravidelné aktualizace software, použití bezpečnostních záplat

Nedostatečná dvoufaktorová autentizace (2FA)

• Popis: Absence nebo špatná implementace 2FA může vést k snadnému přístupu k citlivým údajům.
• Aktéři: Hackeři, blízcí
• Typy útoků: Brute-force útoky, SIM swapping
• Opatření: Aktivace a správná konfigurace 2FA

Nedostatečná opsec (operational security)

• Popis: Nedostatečná opsec může zahrnovat špatné zacházení s hesly, klíči a dalšími citlivými údaji.

čná opsec může zahrnovat špatné zacházení s hesly, klíči a dalšími citlivými údaji.

• Aktéři: Všichni
• Typy útoků: Social engineering, phishing
• Opatření: Vzdělání v oblasti kybernetické bezpečnosti, použití správce hesel

4. Vektory útoků

Phishingové útoky

• Popis: Útoky, které se snaží získat citlivé informace prostřednictvím podvodných e-mailů nebo webových stránek.
• Aktéři: Hackeři, konkurence
• Zranitelnosti: Nedostatečná opsec, používání online peněženek s nízkým zabezpečením
• Opatření: Vzdělání v oblasti kybernetické bezpečnosti, použití 2FA

Man-in-the-middle útoky

• Popis: Útoky, kdy útočník odposlouchává nebo manipuluje s komunikací mezi dvěma stranami.
• Aktéři: Hackeři, regulátorní orgány
• Zranitelnosti: Nezabezpečená Wi-Fi síť, neaktualizovaný software
• Opatření: Použití VPN, šifrování komunikace

Social Engineering

• Popis: Manipulace s lidmi k získání citlivých informací nebo přístupu k systémům.
• Aktéři: Konkurence, blízcí
• Zranitelnosti: Nedostatečná opsec, nedostatečná 2FA
• Opatření: Vzdělání v oblasti kybernetické bezpečnosti, omezení sdílení informací

SIM Swapping

• Popis: Útok, při kterém útočník získá kontrolu nad cílovou SIM kartou.
• Aktéři: Hackeři
• Zranitelnosti: Nedostatečná 2FA, nedostatečná opsec
• Opatření: Použití hardwarové 2FA, vysoká úroveň opsec

5. Opatření

Použití hardwarové peněženky

• Popis: Hardwarové peněženky poskytují vysokou úroveň zabezpečení pro ukládání kryptoměn.
• Aktéři: Hackeři
• Vhodné pro: Ochrana krypto peněženky
• Jak implementovat: Zakoupení důvěryhodné hardwarové peněženky, jako je Ledger nebo Trezor, a přesunutí kryptoměn na ni.

Použití VPN

• Popis: VPN poskytuje anonymitu a zabezpečení při procházení internetu.
• Aktéři: Regulátorní orgány, hackeři
• Vhodné pro: Ochrana transakční historie, zabezpečení Wi-Fi
• Jak implementovat: Vybrání důvěryhodného poskytovatele VPN a aktivace při připojení k internetu.

Aktivace a správná konfigurace 2FA

• Popis: Dvoufaktorová autentizace poskytuje dodatečnou vrstvu zabezpečení.
• Aktéři: Hackeři, blízcí
• Vhodné pro: Ochrana krypto peněženky, zabezpečení online účtů
• Jak implementovat: Aktivace 2FA na všech důležitých účtech a použití aplikace jako Google Authenticator nebo hardwarového klíče jako YubiKey.

Vzdělání v oblasti kybernetické bezpečnosti

• Popis: Vzdělání a osvěta jsou klíčové pro rozpoznání a odvrácení útoků.
• Aktéři: Všichni
• Vhodné pro: Ochrana proti všem typům útoků
• Jak implementovat: Absolvování kurzů kybernetické bezpečnosti, čtení aktuálních zpráv a článků, účast na webinářích a konferencích.

6. Závěr

Tento osobní threat model je prvním krokem k zajištění mé kybernetické bezpečnosti v oblasti kryptoměn. Plánuji pravidelně aktualizovat tento dokument a implementovat nová bezpečnostní opatření podle aktuálního vývoje hrozeb.

The post Osobní Threat Model appeared first on DIGITÁLNÍ SEBEOBRANA.

Chappeho telegraf

V roce 1794 přišel francouzský vynálezce Claude Chappe se systémem vizuálních semaforových telegrafů. Pomocí nastavení ohebných ramen umístěných na věži (stožáru) bylo možno zobrazit písmena, čísla i některé speciální znaky, jako například začátek a konec komunikace nebo vymazání posledního znaku při překlepu. V tomto případě spíše „přeohnutí“.

Jednotlivé věže byly od sebe vzdáleny tak, aby bylo z jedné vidět na další. A tak se zpráva mohla šířit z jedné věže na druhou až do cílové destinace. Uvádí se, že rychlost přenosu zprávy byla až 500 km za hodinu.

Ve Francii byla během 19. století vybudována síť Chappeho vizuálních telegrafů pro potřeby státu (a hlavně armády). Například mezi Paříží a Brestem bylo na trase 58 stanic. Běžní občané služby této komunikační sítě ale využít nemohli.

V komunikaci se dokonce používalo end-to-end šifrování. Vzhledem k tomu, že pomocí sítě telegrafů byla přenášena vojenská tajemství, nebylo příliš vhodné, aby si komunikaci mohl číst kdokoliv, kdo měl výhled na telegrafní věž. Odesílatel a příjemce tak měli dohodnutý klíč, pomocí kterého šifrovali své zprávy. Operátoři věží po cestě jen šifrovanou zprávu opakovali znak za znakem aniž by dokázali rozluštit, co je obsahem zprávy. Odesílatel a příjemce zprávy tak měli v roce 1800 více soukromí než uživatelé Facebook Messengeru v roce 2021 (o šifrování messengerů více zde).

François a Louis Blanc

Bratři Blancové obchodovali se státními dluhopisy na burze v Bordeaux. Při takovém obchodování je rychlost informací stěžejní – kdo má rychlejší zprávy z centrálního bodu dění (v tomto případě Paříž), má nad ostatními obchodníky výhodu, protože může lépe předvídat pohyby na burze.

Zprávy z Paříže do Bordeaux byly tradičně posílány dostavníkem, což trvalo pět dní. Někteří obchodníci se snažili zkrátit tuto dobu používáním poštovních holubů nebo najímáním poslů. To bylo sice rychlejší, ale ne nijak výrazně. Bratrům Blancovým to rozhodně nestačilo. Věděli, že existuje výrazně rychlejší způsob komunikace na dlouhé vzdálenosti. Ten byl ale vyhrazen armádě, obchodníci jej využít nemohli. A tak většina obchodníků nadále přemýšlela nad zlepšováním aerodynamiky holuba. Ale bratři Blancové byli hackeři (i když to o sobě na Twitteru podle dostupných zdrojů netvrdili). Takže se myšlenky na využití Chappeho telegrafní sítě nevzdali.

Plán

Operátoři telegrafů nebyli asi nejlépe placení zaměstnanci ve Francii. Takže řešením by mohla být stará dobrá a osvědčená korupce.
Pokud by ale chtěli bratři Blancové posílat zprávy standardním způsobem, museli by podplatit všechny operátory po cestě z Paříže do Bordeaux. Což už by se mohlo prodražit.
Museli tedy přijít na to, jak tuto drahou nepříjemnost vyřešit.
Jak bylo zmíněno výše, systém obsahoval symbol pro vymazání posledního znaku – operátor zapisuje znaky tak, jak je vidí na semaforu a pokud uvidí symbol pro vymazání, prostě poslední znak smaže a pokračuje dál.
Právě toho se rozhodli hackeři využít. Budou posílat tajné zprávy tak, že po „jejich“ znaku vloženém do běžné armádní zprávy pošlou znak pro vymazání. Kdokoliv, kdo vidí semafor tento znak může vidět, ale operátor koncové věže ho z papíru vymaže (případně vůbec nenapíše). Tak bude zpráva předána a zároveň po ní nezůstane písemný důkaz.

Ponožky jako datový nosič

Bylo potřeba ještě vyřešit jeden problém. Po cestě z Paříže do Bordeaux byla ještě věž v Tours (přibližně 200 km od Paříže), kde byly zprávy dekódovány a přeposílány dál bez chyb. Takže zprávy musely být posílány odsud. A musely se do Tours dostat nějak nenápadně.
Naštěstí nebylo potřeba posílat nějaké rozsáhlé romány (to by při tomto scénáři ani nebylo možné), stačilo pár domluvených signálů. A tak byly do Tours z Paříže posílány poštovní balíčky, které obsahovaly oblečení. Druh oblečení (rukavice, ponožky, kravaty), který byl označen v průvodním dopise označoval, zda nějaký titul na burze klesá nebo roste a barva zase výši změny.

Hack

Hackování mohlo začít. Komplic v Paříži podle změn na burze poskládal oblečení do balíku a odeslal do Tours. Tam podplacený operátor telegrafu (dostal jednorázově 1500 franků za zapojení do konspirace, poté každý měsíc 150 franků a navíc ještě bonus 20 franků za každou předanou zprávu) odeslal zprávu s vloženými „chybami“.
U věže poblíž Bordeaux čekal další komplic s dalekohledem, sledoval telegraf a zapisoval znaky, které byly označeny jako chybné. A tím se dostaly zprávy k našim obchodníkům, kteří tak měli před ostatními několik dní náskok.

Odhalení

Systém perfektně fungoval dva roky. Odesláno bylo takto celkem 121 zpráv (a balíků s oblečením). Podezření kupodivu nevzbudilo ani náhlé zbohatnutí operátorů telegrafu (běžná denní mzda operátora činila 1,50 franku).
Pravda vyšla najevo až ve chvíli, kdy jeden z operátorů onemocněl a před smrtí se s celou záležitostí svěřil příteli.
Bratři Blancové ale překvapivě nenesli žádné následky. Francouzská legislativa jednoduše nezakazovala vkládání vlastních zpráv do telegrafního systému. Tehdejší zákonodárce to vůbec nenapadlo.
A tak se z nich později mohli stát úspěšní provozovatelé kasin (včetně kasina Monte Carlo v Monaku).

Jak je vidět už z prvního zdokumentovaného hackerského útoku, nejslabším článkem zabezpečení bývá člověk.

Zdroje:

https://fr.wikipedia.org/wiki/T%C3%A9l%C3%A9graphe_Chappe
https://en.wikipedia.org/wiki/Fran%C3%A7ois_Blanc
https://www.schneier.com/blog/archives/2018/05/1834_the_first_.html
https://gallica.bnf.fr/ark:/12148/bpt6k4393846/f1.item

The post O původu hackerů appeared first on DIGITÁLNÍ SEBEOBRANA.

Kdo jsou tedy ti obávaní hackeři, můžu je nějak poznat a co mají společného?

Hackeři pocházejí z různých prostředí, z různých částí světa a z různých sociálních vrstev. Nedá se obecně říct, že typický hacker je pětadvacetiletý běloch, závislý na kofeinu z energy drinků, který si nerozumí se svými vrstevníky a veškerý svůj volný čas tráví v tmavém sklepě obklopen počítači.
Co ale má většina hackerů společného je schopnost používat věci jiným způsobem, než jak bylo zamýšleno a obcházet překážky. Ať jde o fyzické, technologické nebo psychologické.
Na začátku bývá zvědavost. Jak funguje svět okolo nás, jak fungují různé nástroje a jak funguje lidská mysl. A jestli má daný předmět zájmu ve svém designu nějaké slabiny, které se dají využít nebo zneužít (to je často spíše subjektivní hodnocení).

Otevíráme zámek

Když chcete otevřít klasický zámek, je dobré nejdříve vědět, jak funguje jeho mechanismus. Poté můžete použít nástroje a techniky, jak ho otevřít bez klíče. Nebo prostě použijete trhavinu. To sice může být efektní, ale má to několik menších nevýhod. Někdo si toho může všimnout a mít zvláštní otázky jako jestli jsou ty dveře vaše, proč si normálně neodemknete a kde jste vzali tu nezdaněnou výbušninu. Někdy se může hodit i to, aby majitel zámku ani v budoucnu nezjistil, že byl odemčen (po použití výbušniny se celkem špatně zamyká). No a také se může stát, že výbuchem zničíte to, co je za tím zámkem a kvůli čemu to vlastně celé děláte. Nemluvě o tom, že při neopatrném zacházení se může radikálně snížit počet vašich oblíbených končetin.
Proto je celkem výhodné vědět, že v zámku je mechanismus, který se dá otevřít poměrně rychle, tiše a bez dalších následků. Proto hackeři obvykle velmi dobře znají systémy, na které útočí. Jak si ukážeme později, neznamená to, že hacker musí být počítačový génius. Skoro v každé oblasti se dá najít prostor pro hackery.
Hacking totiž není jen to, že se dostáváme někam, kam bychom se dostat neměli. Může jít i o schopnost používat věci jinak. Např. v poslední době oblíbený biohacking není o tom, že se vkrademe do (nejlépe) vlastního těla a něco si tam vezmeme. Spíše se snažíme vylepšit procesy, které se tam dějí.
Já se budu držet popisu hackerství v tom nejznámějším IT sektoru, ale v podstatě cokoliv se dá nějakým způsobem aplikovat i jinde.

Hackeři, móda a stát

Protože svět potřebuje škatulky, začali se i hackeři dělit na skupiny: black hat, white hat a grey hat. Toto označení bylo převzato z Hollywoodských westernů dvacátých let 20. století, kde byla nepsaná konvence, že hrdinové nosí bílé a padouši černé klobouky. Aspoň to tedy tak píší na Wikipedii.

Black hat hackeři jsou ekvivalent záporných hrdinů divokého západu. Využívají své znalosti ke svému obohacení případně k poškození své oběti. Black Hat hacker se nabourá do vašeho bankovního účtu a sebere peníze, nainstaluje do vašeho počítače program pro sledování webkamery nebo shodí webové stránky vaší firmy.

Zvláštní podskupinou black hat hackerů jsou státem organizovaní hackeři. Většinou jsou to zaměstnanci nebo kontraktoři tajných služeb nebo armády, kteří mají za úkol cyber útoky na cíle mimo území daného státu. Oproti samostatným hackerům mají velkou výhodu v tom, že mají přístup k nejlepší technice či dalším zdrojům a můžou si tak dovolit útoky, které jsou pro ostatní nedostupné. Toto téma si ale zaslouží vlastní článek. Tak o tom víc někdy příště.

White hat hacker se do webových stránek vaší firmy nabourá také. Ale je tu jeden podstatný rozdíl. On to udělá jen s vaším souhlasem. Proto se jim také říká etičtí hackeři. Proč byste ten souhlas dávali? Právě proto, že chcete vědět, jestli je vaše firma proti takovému útoku zabezpečena. Pokud se white hat hackerovi takový průnik podaří, nic zlého vám neprovede. Naopak, dostanete od něj přesný popis toho, co je potřeba opravit, aby se tam nikdo jiný už nedostal. A vy mu za to zaplatíte. Takovému hackingu se říká penetrační testování. White hat hackeři často zakládají firmy, které pomáhají svým zákazníkům zvyšovat bezpečnost jejich systémů.

Grey Hat hacker – často se tvrdí, že jsou něco mezi. Málokde se ale dozvíte, co to znamená být něco mezi. Může být někdo jenom trochu zloděj? Spíše je to tak, že je ta hranice mezi white hat a black hat nejasná. Hacker se sice tváří jako white hat, ale existuje podezření, že svoje znalosti a um používá i neeticky. Případně útočí na firmy, organizace nebo třeba státy bez jejich souhlasu a vědomí, ale vedou ho k tomu (někdy subjektivně) dobré důvody. Může to být ekologický aktivista, bojovník za lidská práva nebo třeba náboženský fanatik.

Legálnost versus etičnost

Zároveň je potřeba rozlišovat mezi legalitou a etikou. Zákony jsou různé v různých částech světa. Například zde v Evropě platí téměř každých 500km jiná pravidla. Co je legální v Praze, může být trestné ve Vídni. A protože Internet hranice nemá, je to pro posuzování ještě složitější. V zemích, jako je třeba Severní Korea je například ve většině případů ilegální jakékoliv použití počítače. Proto není možné posuzovat hackery podle lokálního národního práva. Zvláště v době, kdy národní státy začínají ztrácet smysl.

Střelci naslepo a nestátní armády

Existuje ještě jedna skupina. Nejsou to hackeři v pravém slova smyslu. Spíše rádoby hackeři. Vžilo se pro ně označení „Script kiddies“. Dnes je totiž na Internetu velké množství hackerských nástrojů, které jsou volně ke stažení. A vypadat před kámošem jako hacker může být lákavé. Stáhnout nějaký prográmek, stisknout pomyslné tlačítko „Hackni to!“ není složité. Útočník ale většinou nic nezíská. Protože i s těmito nástroji je potřeba pracovat cíleně a s přesným nastavením. Na druhou stranu, i když nic nezíská, může přeci jen napáchat nějaké škody (poškodit databázi, smazat důležité soubory, zahltit síť atd.). Proto je důležité chránit systémy i před takovýmito amatérskými útoky.

V cyber světě můžeme najít i nestátní organizované hackerské skupiny. Jsou to vlastně takové malé armády hackerů, kteří mají nějaký společný cíl a kterého se snaží dosáhnout spojením svých sil. Neznamená to ale nutně, že se tyto skupiny scházejí někde na tajných místech a odtud provádějí své útoky (etické či neetické). Jednotlivý členové se mezi sebou často osobně vůbec neznají. Můžou být rozeseti po celém světě, operují pod přezdívkami a vše, co o sobě navzájem potřebují vědět jsou jejich schopnosti. To mj. zajišťuje i jejich fyzickou bezpečnost. Když je nějaký člen skupiny odhalen, nemůže o svých kolezích prozradit nic důležitého.

Chci se stát hackerem

Častá otázka je, jak se člověk může stát hackerem. Odpověď na ni není jednoduchá a rozhodně ne univerzální. Hackerství je o každodenním učení a prohlubování svých znalostí. V podstatě každý, kdo je expertem ve svém oboru a má touhu se dál zlepšovat a pronikat do každého detailu, se může stát hackerem. Neexistuje ani jasná hranice, kdy o sobě (nebo o někom jiném) můžeme říci, že je hacker. Existují sice různé kurzy a certifikáty, ale ani to není nutná podmínka. Certifikát z vás nutně hackera neudělá, pokud se tomu dál nevěnujete a na druhou stranu jeho absence (stojí to čas a peníze) neznamená, že hackerem nejste.

No a jak tedy otevřu ten zámek?

Není to těžké a po natrénování to může jít poměrně rychle. Toto je ovšem jen taková základní technika, víceméně je to svým způsobem sport (ano, pořádají se v tom soutěže). Profesionální zloději ji téměř nevyužívají.

Návod naleznete ve videu, jak ubránit vaše digitální zámky vám řeknu já

The post Hackeři – proti komu se bráníme? appeared first on DIGITÁLNÍ SEBEOBRANA.

Video sérii naleznete na tomto odkazu

Jednotlivé díly:

The post Videosérie Digitální Sebeobrany appeared first on DIGITÁLNÍ SEBEOBRANA.

Klávesová zkratka

1. V textovém editoru vytvoříme skript, který zavolá okamžité vypnutí počítače. Pro otestování prozatím zakomentujeme příkaz pro vypnutí a vložíme kód pro zapsání textu do souboru killswitch.sh:
   #!/bin/bash
t=$(date);
echo $t > /home/ross/tools/killswitch/test;
#sudo poweroff -f

2. Pomocí příkazu chmod nastavíme právo pro spuštění:
   $ chmod +x ./killswitch.sh
3. Zkontrolujeme práva:
   $ ls -al
total 12
drwx------ 2 ross ross 4096 31. led 16.23 .
drwx------ 5 ross ross 4096 26. led 15.35 ..
-rwx------ 1 ross ross 100 31. led 16.17 killswitch.sh

4. Nastavíme klávesovou zkratku, která zavolá náš skript. Toto se může lišit podle prostředí. Toto je příklad pro Gnome: Settings -> Keyboard Shortcuts -> + (úplně dole)
   1. Name: cokoliv
   2. Command: Cesta k našemu skriptu
   3. Shortcut: po kliknutí stiskněte požadovanou klávesovou zkratku
   4. Klikněte na „Add“
5. Test: stiskněte vybranou klávesovou zkratku. Nově vytvořený soubor test by měl obsahovat aktuální čas. Pokud ne, něco je špatně:)
6. Upravíme skript pro „ostrý provoz“:
   #!/bin/bash
#t=$(date;echo $USER);
#echo $t > /home/ross/tools/killswitch/test;
sudo poweroff -f
7. Pro zavolání příkazu sudo poweroff -f jsou potřeba administrátorská práva. To můžeme obejít vložením nasledujícího řádku do souboru /etc/sudoers:
   ross ALL = NOPASSWD: /sbin/poweroff
   (poweroff -f zabrání vyskakování potvrzovacích oken a vypne počítač okamžitě)
8. Uložíme rozdělanou práci a otestujeme klávesovou zkratku.

 Vypnutí po odpojení USB zařízení

1. Připojíme do USB portu zařízení, které chceme použít jako náš killswitch.
2. Spustíme monitoring připojení zařízení:
   $ udevadm monitor --property
3. USB zařízení odpojíme z počítače, v terminalu by se měl zobrazit výpis podobný tomuto:
   (...)
UDEV [18888.225725] remove /devices/pci0000:00/0000:00:14.0/usb1/1-2 (usb)
ACTION=remove
DEVPATH=/devices/pci0000:00/0000:00:14.0/usb1/1-2
SUBSYSTEM=usb
DEVNAME=/dev/bus/usb/001/038
DEVTYPE=usb_device
PRODUCT=950/6535/110
TYPE=0/0/0
BUSNUM=001
(...)
4. V textovém editoru vytvoříme pravidlo pro zařízení (jako root):
   $ sudo vim /etc/udev/rules.d/85-my_killswitch_rule.rules
5. Do souboru vložíme následující řádek:
   ACTION=="remove", ENV{PRODUCT}=="950/6535/110", RUN+="/root/killswitch.sh"(obsah proměnné ENV{PRODUCT} zkopírujeme z výpisu příkazu udevadm monitor --property)
6. Aktualizujeme pravidla (root):$ sudo udevadm control --reload-rules
7. Jako root vytvoříme v textovém editoru skript /root/killswitch.sh s tímto obsahem:
   #!/bin/sh
t=$(date);
echo $t > /root/test
#shutdown now
   (pozor, skript bude se spouštět pod uživatelem root! Pokud by se někdo dostal k tomuto skriptu, mohl by ho upravit a získat administrátorská práva. Proto musí být pro „běžného“ uživatele nedostupný pro zápis.)
8. Přidáme atribut pro  spuštění
   # chmod +x /root/killswitch.sh
9. Otestujeme.
10. Ve skriptu odkomentujeme poslední řadek (vymazáním #).
11. Připraveno k ostrému testu.

The post Killswitch pro Linux appeared first on DIGITÁLNÍ SEBEOBRANA.

1. Nastavte si automatické zamykání

Váš telefon nebo notebook nikdy nenechávejte odemčený na veřejně přístupných místech, jako třeba v restauraci (kavárně, baru) na stole.
Nastavte si ve vašem telefonu automatické zamykání po dostatečně krátkém čase. 1 minuta by měla být akorát, aby to nebylo moc dlouho a na druhou stranu by vám to nemělo příliš snižovat komfort při používání.
Notebook se naučte zamykat pokaždé, když se od něj vzdálíte. Třeba jen když vstanete v kavárně od stolu, abyste si došli pro cukr. Ve Windows (a většině Linux distribucích) na to můžete použít klávesovou zkratku Win + L. Na MacBooku by měla stejně zafungovat kombinace kláves Command+Control+Q.

2. Kvalitní heslo nebo PIN je základ

Pro odemykání telefonu nebo notebooku používejte dostatečně dlouhé a unikátní heslo nebo PIN. Vyhněte se „provařeným“ heslům jako např. „password“ nebo „iloveyou“. Stejně tak PIN „0000“ nebo „1234“ není nejlepší nápad.
Odemykání telefonu pomocí gesta (spojováním bodů na obrazovce) může být rizikové, prsty na displeji zanechají stopu.

Tip: Používejte hesla v češtině (slovenštině).

3. Pozor na veřejné Wi-Fi sítě

Znáte to, přiletíte do země mimo EU a potřebujete si přečíst email, poslat fotku na Instagram nebo si najít ubytování. A platit za datový roaming se vám moc nechce. Takže hned na letišti vyhledáte nejbližší veřejnou (a bezplatnou) Wi-Fi síť a připojíte se.
A víte co? Hackeři vědí, že to lidé na letištích dělají. A není pro ně problém takovou Wi-Fi síť s názvem např. „Airport Free Internet“ spustit ze svého zařízení. A pak už jen počkat, kdo se k nim připojí a začít těžit data.
To samé platí i pro restaurace nebo kavárny. Proto je lepší si za roaming připlatit. A pokud to z jakéhokoliv důvodu opravdu není možné, aspoň použijte VPN. Ta vaše data zašifruje tak, že je útočník nemůže přečíst.

4. Neoznamujte světu, že je váš byt nebo dům prázdný

Nutkání pochlubit se svým přátelům, že si právě užíváte dovolenou je sice těžké odolat, ale zkuste to vydržet. Fotka z Bibione nebo Mt. Blancu může být skvělým tipem pro zloděje, který se tak dozví, že ho při vloupání nebude nikdo rušit.
Na Instagram nebo Facebook lze fotky nahrát i po návratu. Navíc si dovolenou bez sociálních sítí užijete pravděpodobně mnohem víc.

Tip: Buďte offline, je to fajn

5. Opatrně s fotkami dětí

Fotky vašich dětí z pláže, které sdílíte na sociálních sítích se mohou objevit na stránkách, kde se sdružují pedofilové, je to to pro ně velké lákadlo. Pokud chcete tyto fotky sdílet s rodinou nebo přáteli, pošlete je raději emailem nebo ještě lépe nějakým messengerem (ideálně přes Signal Messenger).

6. Zapněte šifrování disku

Pokud během dovolené přijdete o svůj notebook, bude určitě lepší, když data na disku nebudou čitelná pro někoho, kdo by je mohl zneužít.
Ve Windows k tomu slouží aplikace BitLocker, na Apple zařízeních FileVault a v Linuxu sytém LUKS. Případně můžete použít open source software VeraCrypt.

7. Letištní kontroly a erotika

V některých zemích po vás mohou celníci požadovat hesla k vašim zařízením, případně sociálním sítím. Pokud do takové země cestujete, dejte si pozor na to, co máte ve svém zařízení uloženo. Jsou země, kde vás může dostat do problémů např. uložený erotický obsah.
Mnoho lidí při cestách do těchto zemí používá jiný („čistý“) notebook a telefon.

8. Záloha před dovolenou

Pokud během dovolené o své zařízení přijdete, bude se vám záloha vašich souborů nebo kontaktů určitě hodit. Nepodceňujte to.

V případě, že bude váš telefon nebo notebook opravdu ztracen nebo odcizen, zde je několik rad, jak postupovat pro minimalizaci škod.

The post 8 tipů pro digitálně bezpečnější dovolenou appeared first on DIGITÁLNÍ SEBEOBRANA.

Zvyšuje se tak riziko ztráty nebo krádeže těchto zařízení. A protože člověk, který právě zjistil, že přišel o své zařízení často propadá panice (je to velmi stresová situace) a v prvních chvílích není schopen si v klidu uvědomit, co vše je potřeba udělat, je dobré mít tyto kroky připravené dopředu.

Zde je takový kontrolní seznam kroků, které by měly následovat po ztrátě či krádeži telefonu nebo notebooku. Můžete si ho stáhnout zde (pdf), vytisknout a odškrtávat si jednotlivé kroky.

1. Najít polohu
   • Android: android.com/find
   • iPhone: icloud.com/find
2. Zkusit poslat sms na telefon
   • pokud se zprávy zobrazují na displeji, můžete tím dát zprávu případnému nálezci
   • iPhone: zapnout režim ztráty
3. Kontaktovat IT oddělení
   • je třeba pro účty zablokovat přístupy do interních systémů firmy nebo organizace
4. Vzdálená záloha
   • Pokud má váš telefon aplikaci pro vzdálené zálohování, proveďte zálohu
5. Zamknout a vymazat
   • Android: v android.com/find klikněte na Aktivovat funkce uzamčení a vymazání
   • iPhone: v icloud.com/find vyberte zařízení a klikněte na Vymazat
6. Odhlásit z účtů
   • Z jiného zařízení se přihlašte do svých účtů, na kterých jste přihlášeni na ztraceném zařízení a tyto účty na ztraceném zařízení odhlašte
     • Facebook, Twitter, Gmail, Alza atd.
     • Nechte se dočasně odstranit ze společných konverzací (např. na Signalu, Telegramu, Threemě, WhatsAppu, Slacku atd.), kde mohou být citlivé informace (vaše nebo dalších diskutujících).
7. Změnit hesla na účtech přihlášených na ztraceném zařízení
8. Přeposlat kryptoměny na novou adresu
   • pokud máte zálohu peněženky, obnovte ji, vytvořte novou a na tu si přepošlete vaše kryptoměny
9. Kontaktovat operátora
   • Pro zablokování SIM karty
10. Zablokovat platební karty uložené v aplikacích zařízení
    • V některých aplikacích nebo stránkách může být uložena vaše platební karta
11. Upozornit přátele a/nebo zákazníky
    • Vaše účty mohou být zneužity pro phishingové útoky, upozorněte své přátele na tuto možnost

The post Ztracený nebo ukradený telefon/počítač appeared first on DIGITÁLNÍ SEBEOBRANA.

Útočník navíc nemusel spoléhat na nějaký chybný krok uživatele (například kliknutí na odkaz nebo otevření přílohy), instalace software proběhla poté, co útočník své oběti na WhatsApp zavolal. Uživatel hovor ani nemusel přijmout, škodlivý kód obsahovalo již ono zavolání. Záznam o volání mohl být poté vymazán, takže uživatel zpětně nemá běžným způsobem možnost zjistit, zda se stal obětí takového útoku.

Jak bylo zmíněno výše, chyba je již opravena, proto neváhejte s aktualizací WhatsAppu na nejnovější verzi.
Nebo prostě přejděte na bezpečnejší Signal Messenger

Verze, kterých se zranitelnost týká:

Android: v2.19.134 a nižší, WhatsApp Bussines v2.19.44 a nižší
iOS: v2.19.51 a nižší, WhatsApp Business v2.19.51 a nižší
Windows Phone: v2.18.348 a nižší
Tizen: v2.18.15 a nižší

Jak aktualizovat WhatsApp?

Android:

• Otevřete Google Play
• Otevřete menu v levém horním menu
• Otevřete Moje aplikace a hry
• Pokud nebyl WhatsApp automaticky aktualizován, je u něj tlačítko „Aktualizovat“. V opačném případě nabídka aktualizace chybí, místo něj je pouze tlačítko k otevření.

iOS:

• Otevřete App Store
• Ve spodní části displeje klepněte na „Aktualizace“
• Pokud nebyl WhatsApp automaticky aktualizován, je u něj tlačítko „Aktualizovat“. V opačném případě nabídka aktualizace chybí, místo něj je pouze tlačítko k otevření

The post 0-day zranitelnost ve WhatsApp appeared first on DIGITÁLNÍ SEBEOBRANA.