Wiebke Lips, predstavnica firme Adobe, uputila je na postojanje sigurnosnog nedostatka u radu programskog paketa Flash Player. Zlonamjerni napadači mogu iskoristiti problem kako bi naveli korisnike elektroničke pošte Gmail na posjetu zlonamjerno oblikovane poveznice koju dobiju u obliku elektroničke poruke. Posljedica napada je postavljanje napadačeve elektroničke pošte kao adrese kojoj se ostale korisničke poruke prosljeđuju. Spomenuti napadi mogu utjecati na bilo koju web orijentiranu elektroničku poštu te na taj način zlonamjerni napadači mogu poduzimati radnje umjesto korisnika. Stručnjaci upozoravaju na mogućnost drugih vrsta napada koji još nisu zabilježeni. Korporacija Google je nadogradila programsku podršku paketa Flash Player koja se nalazi u pregledniku Chrome. Izdana je nadogradnja ranjivog sustava za Windows, Mac, Linux, Solaris i Android operacijske sustave, a stručnjaci Adobe tima još istražuju utjecaj ranjivosti na programsku komponentu „Authplay.dll“ koja pretvara Flash sadržaj u PDF (eng. Portable Document Format) dokumente. Detaljniji opis problema moguće je pronaći na stranicama portala CNET.

Istražitelji sa sveučilišta Stanford University pronašli su nedostatak u zvučnom signalu koji se koristi prilikom pristupa određenim web stranicama. Radi se o problemu u zvučnoj inačici dobro poznatog sustava za razlikovanje čovjeka i računala pod nazivom CAPTCHA (eng. Completely Automated Public Turing test to tell Computers and Humans Apart).

Za razliku od zvučne inačice, vizualni CAPTCHA je polje sa slovima ili brojkama (koja mogu biti i u raznim bojama, kosa i sl.), a računala obično imaju problema s prepoznavanjem teksta. Međutim John Mitchell i Elie Bursztein razvili su sustav koji dobro tumači zvučni CAPTCHA dizajniran za osobe sa poteškoćama u vidu. Postoji nekoliko metoda korištenih za distorziju zvuka prilikom izrade takvih sigurnosnih provjera, ali nisu sve jednako nesigurne. Kako je samo 1% svih registracija i pristupa web stranicama s takvim provjerama izveden preko zvučnih provjera, one nisu baš istraživane i unaprjeđivane. Sam interes za napad na takav sustava leži u marketinškoj isplativosti, jedan od primjera je glasanje za neki video na stranici YouTube preko velikog broja računala. Izvorna vijest objavljena je na stranicama sveučilišta Stanford University.

Christopher Soghoian, stručnjak za računalnu sigurnost na Sveučilištu Indiana, napravio je analizu sigurnosti popularnog servisa za sinkronizaciju i dijeljenje datoteka, Dropbox. Prema njegovom istraživanju Dropbox ne štiti tajnost podataka u skladu s onim što je navedeno u službenim uvjetima korištenja servisa.

Dropbox ima oko 25 milijuna korisnika. Često ga koriste korisnici iPhona i iPada za upravljanje datotekama, jer iOS ne nudi tu mogućnost. Korisnici servisa suočeni su s povećanim rizikom od otkrivanja podataka i krađe identiteta, jer podaci nisu kriptirani prema sigurnosnim standardima. Soghoian tvrdi da za razliku od sličnih servisa kao što su SpiderOak i Wuala, Dropbox omogućava svojim zaposlenicima pristup nekriptiranim kopijama korisničkih kriptiranih podataka. To se bitno razlikuje od onog što je navedeno na službenom blogu tvrtke. Nakon što se našao na udaru kritika, Dropbox izjavljuje da samo manji broj zaposlenika ima pristup korisničkim podacima iz razloga koji su navedeni u sigurnosnoj politici tvrtke. 

Izvor: NacionalniCERT.

Veliki broj uređaja na operacijskom sustavu Android tvrtke Google podložni su napadima koji omogućuju krađu korisničkih imena i lozinaka za pristup kalendaru, kontaktima i drugim osjetljivim podacima.

Ranjivost je uzrokovana nepravilnim provođenjem protokola za autorizaciju poznatog pod nazivom ClientLogin, a problem leži u tome što korisnik za autentikaciju koristi niz znakova (eng. token). Ukoliko napadač presretne takvu informaciju, može ju iskoristiti za neovlašten pristup računu. Spomenuto otkriće nastavak je istraživanja Dana Wallacha sa sveučilišta Rice University koji je slične nedostatke otkrio u kalendarima tvrtki Twitter, Facebook i Google. Sigurnosni propusti na platformi Android ispravljeni su početkom mjeseca, iako je potvrđeno kako preko 99% uređaja i dalje obavlja izmjenu podataka sa sustavom Picasa preko nešifriranih kanala. Zanimljiva je činjenica da mobilni operateri i dalje svojim korisnicima prodaju uređaje sa inačicama sustava Android koje sadrže poznate sigurnosne nedostatke. Prošli tjedan tvrtka Google najavila je kako će ponuditi korisnicima noviju inačicu sustava, a do tada se preporuča korištenje samo zaštićenih mreža na kojima ovi napadi nisu mogući. Originalnu vijest moguće je pronaći na web stranicama portala The Register.

WFA (eng. Wi-Fi Alliance) grupa najavljuje povlačenje algoritma WEP (eng. Wired Equivalent Privacy) i protokola TKIP (eng. Temporal Key Integrity Protocol) iz bežičnog mrežnog standarda IEEE 802.11.

Uloga WFA grupe je ispitivanje sukladnosti Wi-Fi (eng. Wireless-Fidelity) uređaja sa standardima IEEE. Ona izdaje certifikat „Wi-Fi certified“ za uređaje koji prođu ispitivanje kako bi se osiguralo da uređaji različitih proizvođača mogu međusobno surađivati. Sigurnosni problem u standardu WEP je u tome što je njegovu kriptografsku metodu moguće probiti u manje od jedne minute. Japanski istražitelji kasnije su preradili tu metodu napada za primjenu na bilo kojoj implementaciji standarda. WFA planira onemogućiti uporabu protokola TKIP za nove pristupne točke (eng. access points) od siječnja 2011. godine te u svim Wi-Fi uređajima nakon 2012. godine. Također, od 2013. godine, neće se dozvoliti korištenje WEP standarda na pristupnim točkama, a godinu kasnije standard se planira povući sa svih Wi-Fi uređaja. Dodatno, WPA2-Mixed način rada, u kojem se pristupnim točkama dopušta uporaba protokola TKIP kao sekundarna opcija, povlači se 2014. godine pa će od tada biti dopuštena uporaba samo standarda WPA2-AES. Izvorna vijest o izmjenama standarda objavljena je na stranicama portala H-online.

Idi na vrh