Kod analize sigurnosnih propusta u kodu primjenom alata za automatsku analizu koda programeri se često susreći sa stotinama prijavljenih propusta. Logičan način njihovog popravljanja bio bi od onih koji predstavljaju najveću sigurnosnu prijetnju prema onima koji predstavljaju manju prijetnju. Međutim, odrediti takav poredak nije niti jednostavan niti kratak zadatak. Osim toga, određen sigurnosni propust može predstavljati u nekom programu i okruženju kojem se on koristi veliku sigurnosnu prijetnju, a u drugom okruženju biti posve beznačajan.

Projekt CWE (eng. Common Weakness Enumeration) bavi se kategorizacijom i opisivanjem najčešćih propusta u programima. Dio tog projekta su i susutav CWSS (eng. Common Weakness Scoring System) i okruženje CWRAF (eng. Common Weakness Risk Analysis Framework). Sustav CWSS se bavi ocjenjivanjem sigurnosnih propusta i određivanjem njihovog prioriteta, dok okurženje CWRAF omogućuje korisniku da "personalizira" CWSS rezultat i prilagodi ga okruženju u kojem koristi program.

  

Web servisisu proizvod novog načina projektiranja informacijskih sustava. Širenje ideje o raspodijeljenoj obradi podataka i dijeljenju funkcionalnosti s drugim organizacijama uzrokovao je ubrzani razvoj samog weba. Računarstvo zasnovano na uslugama kao paradigma postoji već neko vrijeme i koristi se u različite svrhe. Jedno od konzistentnih tumačenja ove paradigme je pristup izradi informacijskih sustava koji označava podjelu ukupnih zahtjeva na niz manjih. Novom metodologijom razvoja, organizacije određeni dio vlastitog poslovanja otvaraju zajednici i čine ga dostupnim široj javnosti. Ipak, dijeljenje funkcionalnosti znači i dijeljenje njezinih ranjivosti i nedostataka. Točnije, sigurnosne ranjivosti jednog servisa sada imaju utjecaj i na poslovanje organizacija koje taj servis koriste. Porast uporabe web servisa u svakodnevnom poslovanju povećava potrebu za konkretnim metodologijama sigurnosnog testiranja istih.

Trenutno ne postoji jedinstvena metodologija sigurnosnog ispitivanja web servisa koja obuhvaća sve moguće scenarije. No, postoje određeni prijedlozi metodologija i preporučenih koraka koji olakšavaju postupak testiranja servisa. Neke od tih metodologija su vrlo slične onima za testiranje web aplikacija.

  

Potrebno je napraviti Internet sigurnijim. Danas nije sigurno pretraživati web i zbog toga se razvija puno programa koji pokušavaju povećati sigurnost, a jedan od tih pokušaja je i web tripwire. Web tripwire dio je JavaScript koda koji je postavljen na promatranu web stranicu i koji se šalje na web preglednik te se tamo pokreće. Promjene web stranica koje se događaju su brojne i raznolike i često rezultiraju značajnim problemima za korisnike i izdavače ili za oboje. Najviše izmjena događa se kod samog klijenta, alatima za blokiranje reklama i prozora koji iskaču. Izmjenama web stranica dolazi i do sigurnosnih ranjivosti koje su puno veći problem. Sigurnosni propusti na strani klijenta događaju se kada web posrednici mijenjaju sadržaj web stranice.

Napadač zbog XSS (eng. Cross Site Scripting) ranjivosti dobiva mogućnost umetanja vlastitog koda na nečiju web stranicu. Postoje ciljevi koje bi web tripwire morao zadovoljiti kako bi bio funkcionalan. Neki od ciljeva su otkrivanje bilo koje promjene HTML koda web stranice i točno mjesto izmjene. Pri tome se ne smije utjecati na funkcionalnost web stranice. Ova tehnologija se još uvijek razvija, a za daljnje širenje potrebno je omogućiti otkrivanje i sprječavanje izmjena web stranica u prijenosu mrežom.

Moderni automobili ispod svoje površine sadrže mnogobrojna računala koja upravljaju i nadziru senzore, različite dijelove automobila te vozača i putnike. Najnovije procjene govore da prosječan automobil sadrži više od 100 MB binarnog koda raspodijeljenog između pedeset do sedamdeset međusobno povezanih nezavisnih računala. Sav ovaj napredak sa sobom je donio velik broj potencijalnih prijetnji i rizika. Stoga se današnje metode zaštite i osiguravanja automobila sve više približavaju metodama zaštite računala. Kod napada na automobile napadači pokušavaju preko nekih kritičnih dijelova sustava (napadačkih površina) zadobiti određeni nadzor nad sustavom i nanijeti mu štetu.

Razmatrano je i opisano više napadačkih površina. Skupina istraživača s dva ugledna američka sveučilišta provela je ispitivanje kojim je uz pomoć priključka OBD-II uspjela simulirati napade na gotovo sve računalne dijelove automobila. Zasad ne postoji velika opasnost od hakerskih napada na automobile, no uvijek treba biti na oprezu. Kao glavne premise ovog zaključka navode činjenice da je za hakiranje automobila potrebno puno vremena, truda i novaca. U budućnosti će se nastaviti razvoj računalnih i mrežnih sustava za automobile te će usporedno s njihovim razvojem biti potrebno razvijati učinkovite sustave njihove zaštite.

  

Cyber kriminal u posljednja je dva desetljeća doživio vrlo velik rast. Zbog toga se njegovom suzbijanju počelo pristupati puno ozbiljnije nego prije, korištenjem tehnika upotrebljivanih u „klasičnom“ kriminalu. Jedna od njih je i profiliranje kriminalaca, postupak kojim se pokušavaju odrediti neke psihološke osobine počinitelja. Za to se mogu koristiti statistike iz prijašnjih sličnih zločina (induktivno profiliranje) ili dokazi, tragovi i način na koji je zločin počinjen (deduktivno profiliranje). S obzirom na specifičnost cyber kriminala (dokazi, mjesto zločina, počinitelj iz drugih zemalja, zakonske prepreke) potrebno je malo prilagoditi postojeće metode profiliranja. Još uvijek se radi na prilagodbi opisanih metoda za profiliranje cyber kriminalaca, ali zasad se čini da će u skoroj budućnosti  postati važno oruđe u suzbijanju cyber kriminala i traženju počinitelja.


Ovaj dokument ukratko opisuje proces profiliranja te donosi pregled najčešćih motiva i osnovnih profila cyber kriminalaca.

  

Idi na vrh