Vijesti za svakoga

Na simpoziju računalne sigurnosti USENIX Security Symposium stručnjaci su iznijeli čak tri načina na koje su mogli ukrasti tuđe podatke s mrežne usluge pohrane podataka, Dropbox. Rezultati su to istraživanja provedenog u posljednjih godinu dana, a svaki puta nakon otkrivanja ranjivost su prijavili Dropboxu i dopustili im da saniraju sigurnosni propust prije njegovog objavljivanja. Stručnjaci su lažiranjem odnosno pogađanjem hash vrijednosti (sažetka neke datoteke) uspjeli skinuti datoteku s proizvoljnog korisničkog računa. Znači dovoljno je pogoditi ili ukrasti sažetak podatka kojeg napadač želi ukrasti. Poslije toga stručnjaci su krađom jedinstvenog identifikacijskog broja nekog korisnika uspjeli skinuti sve njegove datoteke koje se nalaze u Dropboxu, a u oba slučaja žrtva napada uopće ne bi znala da se krađa dogodila. Nakon Dropboxovog ispravka navedenih propusta istraživači su ponovno uspjeli ukrasti podatke kombinacijom prva dva načina, odnosno poznavanjem sažetka podatka i identifikacijskog broja bilo kojeg Dropbox korisnika. Nije uopće bilo potrebno da je to broj vlasnika datoteke koju namjeravaju ukrasti. Međutim takav napad je ipak mogao proći otkriveno jer bi Dropbox primijetio neslaganje sažetka podataka i identifikacijskog broja njegovog vlasnika, ali ipak bi dozvolio pristup datoteci. Detaljnije informacije moguće je pogledati na stranicama portala COMPUTERWORLD.

Sigurnosni sručnjaci otkrili su da korištenje termalne kamere i računalnih algoritama može automatizirati proces krađe tajnih podataka korisnika bankomata. Na sigurnosnom simpoziju Usenix, koji je održan prošli tjedan, stručnjaci su izjavili kako ova metoda ima više prednosti u odnosu na korištenje tradicionalnih kamera. Jedna od njih je omogućavanje otkrivanje PIN-a kriminalcima i onda kada korisnici vlastitim tijelom svjesno ili nesvjesno zaklanjaju vidik kamere. Druga prednost toplinskih kamera je mogućnost obrade slike računalnim algoritmom što automatizira proces otkrivanja tajnog koda. Istraživanje se temelji na otkrićima sigurnosnog stručnjaka Michala Zalewskiog, koji je sada član Googleovog sigurnosnog tima. Prezenteri su na Usenix simpoziju testirali ovu metodu na 21 korisniku koji su koristili 27 nasumičnih PIN-ova. Rezultati su varirali ovisno o tipu tipkovnice bankomata i tjelesnoj temperaturi korisnika te u konačnosti ukazivali na priličnu preciznost ove metode. Najučinkovitija protumjera za ovaj tip napada je izrada tipkovnica koje imaju visoku toplinsku vodljivost.

Izvor: Nacionalni CERT

Najnoviji Internet preglednik tvrtke Microsoft, inačica 9, otkriva čak 96% zlonamjernih poveznica na Internetu, prema rezultatima istraživanja organizacije NSS Labs. U usporedbi s ostalim preglednicima ovaj rezultat zvuči još impresivnije. Na primjer preglednik tvrtke Google, Chrome 12, otkriva samo 13,2% poveznica. Zlonamjerne poveznice su jedna od tri najzastupljenije vrste napada na korisnike Interneta, uz phishing odnosno pokušaj da se navede korisnike na otkrivanje privatnih podataka te iskorištavanje sigurnosnih propusta u korisničkim programima. Navedena funkcionalnost Internet Explorera 9 nazvana je „SmartScreen“, a sadrži popis poznatih zlonamjernih poveznica koje preglednik odbija posjetiti. U Internet Exploreru 9 nalazi se i mogućnost nazvana „Application Reputation“, a sačinjava je popis programa koji su ocijenjeni kao dobri i kao loši. Ovo je prvi pokušaj da se popišu svi dobroćudni i zlonamjerni programi te poveznice na Internetu što bi se moglo pokazati kao jako dobra ideja. Međutim rijetko koja tvrtka ima resurse i mogućnosti za takav pothvat pa činjenica da je tvrtka Microsoft prva počela s razvojem ideje ne iznenađuje. Detaljniji opis nalazi se na web stranicama portala dark READING.

Lain Wood, vlasnik firme za postavljanje tepiha, osuđen je na zatvorsku kaznu od 15 mjeseci jer je iskoristio osobne podatke svojih susjeda za krađu novca s njihovih bankovnih računa. Zahvaljujući podacima prikupljenim putem društvene mreže Facebook, uspio je zatražiti izdavanje novih bankovnih kartica koje su dostavljene na njegovu adresu. U razdoblju od lipnja 2008. godine do lipnja 2010. godine prebacio je 35000£ s računa svojih „prijatelja“na svoj račun te sav ukradeni novac potrošio na kockanje. Njegova prijevara otkrivena je 2009. godine kada je službenik banke nazvao njegovog susjeda da provjeri prebacivanje 1500£ na tuđi račun. Tijekom izricanja presude sudac je izjavio da je prijevara bila vrlo dobro planirana, složena te pametno izvedena. Wood je priznao hakiranje i presretanje bankovnih računa te da je putem društvene mreže Facebook saznao moguće odgovore na sigurnosna pitanja (poput djevojačkog prezimena majke, datuma rođenja i dr.) i na taj način probijao lozinke. U prilog mu je išlo i to što su ljudi najčešće koristili iste lozinke a raznim web stranicama i uslugama. Više podataka dostupno je na web stranicama portala TECHWORLD.