Vijesti za svakoga

Grupa sigurnosnih istraživača je otkrila da računalni napadi na SCADA (eng. supervisory control and data acquisition) sustave i PLC (eng. programmable logic controller) kontrolore mogu izazvati propuste u sigurnosnom sustavu zatvora. Točnije rečeno ako sustavi SCADA i PLC pokažu određenu ranjivost, to će se odraziti i na sustave koje oni kontroliraju. Glavni problem leži u činjenici da čak ni odgovorne osobe u zatvoru nisu svjesne zaduženja IT (eng. Information technology) sektora.  PLC kontrolori se koriste u zatvoru zbog kompleksnosti zadaća koje mogu obavljati. Naime, potrebno je ustanoviti određena pravila kao na primjer koja vrata mogu biti otvorena dok su paralelno druga zatvorena, koji znakovi uzbune su potrebni za otvaranje određenih vrata i kombinacije istih i sl. Napadač, koji uspije ubaciti crva Stuxnet u računalni zatvorski sustav, u mogućnosti je blokirati određene alarme, otvarati vrata ili čak ošteti sam sustav. U planu je iznošenje dotične ranjivosti na konferenciji Defcon koja se održava sljedeći tjedan. Izvornu vijest moguće je naći na web stranicama portala The Register.

Novi trojanski konj na operacijskim sustavima Android zapisuje telefonske razgovore u AMR (eng. Adaptive Multi-Rate) formatu te pohranjuje snimke na SD (eng. Secure Digital) kartici, dok je njegov prethodnik bio u stanju držati podatke o dolaznim i odlaznim pozivima, kao i o vremenu trajanja pojedinog poziva. Zlonamjerni programski kod sadrži konfiguracijsku datoteku s informacijom o udaljenom poslužitelju što upućuje na mogućnost postavljanja snimaka razgovora na isti poslužitelj. Trojanski konj je ispitan u kontroliranim uvjetima s dva mobilna emulatora. Rezultati istraživanja upućuju da do instalacije trojanskog konja može doći samo ako korisnik pritisne gumb za instalaciju koji se nalazi u poruci nalik regularnim instalacijskim upozorenjima. Korisnici pametnih telefona se upućuju na oprezniju instalaciju i poštivanje osnovnih sigurnosnih principa. Slobodna instalacija aplikacija na Android telefonima, u odnosu na iPhone uređaje, povećava rizik od sigurnosnih ranjivosti i propusta. Kako do spomenutih problema ne bi došlo korisnicima se preporuča instalacija antivirusnih programa na mobilne telefone. Originalnu vijest moguće je pronaći na stranicama portala Tech World.

Popularna društvena mreža, Facebook, izdaje program za otkrivanje grešaka u vlastitom sustavu na način da stimulira nalaznike sigurnosnih propusta na stranicama iznosom od minimalno 500 dolara. Taj iznos podrazumijeva poštivanje Facebook pravilnika o javnom očitovanju, odnosno potpisivanje ugovora kojim se obvezuju da neće javno obznaniti ranjivost dok firma ne objavi sigurnosnu zakrpu. Neki od najboljih inženjera su dobili posao u dotičnoj firmi baš na način da su ukazali na postojeće sigurnosne probleme na stranici. Sigurnosni istraživači mogu stvarati ispitne račune kako ne bi utjecali niti kršili prava ostalih korisnika. Bitno je napomenuti da su firme Google i Mozilla prve krenule s takvim načinom zaštite vlastitih sustava. Korporacija Microsoft je ponudila nagrade od 250 000 dolara za informacije koje bi mogle dovesti do uhićenja tvoraca virusa, no ne plaća istraživače za traženje grešaka u vlastitom sustavu. Istraživači dobivaju veći iznos za greške koje je teže otkloniti u usporedbi s na primjer web orijentiranim propustima. Više informacija nalazi se na web stranicama portala Cnet News, gdje je objavljena izvorna vijest.

Ugrađeni kontrolni uređaji na baterijama za prijenosna računala podložni su napadima zbog činjenice da proizvođači ne mijenjaju početnu lozinku postavljenu prilikom proizvodnje, koja je jednaka za sve uređaje. Rezultati se prije svega odnose na tvrtku Apple, a ispitivanje je proveo istražitelj računalne sigurnosti Charlie Miller, koji će održati govor s detaljnim podacima tog istraživanja na nadolazećoj konferenciji za računalnu sigurnost, Black Hat. Lozinka kontrolnih uređaja omogućuje tvrtki Apple da prilikom ažuriranja instalira novu inačicu programa za upravljanje baterijom (eng. firmware). Miller tvrdi da je, znajući tu lozinku, moguće izvoditi razne programe, što zlonamjerni korisnici mogu zlouporabiti. Prilikom ispitivanja, istražitelj je pokušao navesti baterije da se zapale ili eksplodiraju, međutim uspio je samo pokvariti ih. Također tvrdi da bi se program za upravljanje baterijom mogao iskoristiti kao mjesto pohrane zlonamjernog koda prilikom formatiranja i nove instalacije. Provjeravajući baterije drugih proizvođača prijenosnih računala početne lozinke nisu pronađene, što znači da su ove vrste napada onemogućene. Predstavljeni nalazi ukazuju na novo doba kada napadači na računalne programe mogu koristiti, ali i oštetiti, fizičke dijelove računala. Više informacija moguće je pročitati na web stranicama portala dark reading, gdje je objavljena izvorna vijest.