Za sigurnjake

Konzorcij za web standarde W3C predstavio je prvi Javni radni nacrt (eng. Public Working Draft) za integraciju web kriptografije API (eng. Application programming interface) sučela u web preglednike. Sučelje za programiranje aplikacija JavaScript pružit će značajke kao hashing, stvaranje ključa i provjeru te šifriranje i dešifriranje. Na primjer, omogućit će web aplikaciji provjeru identiteta korisnika između web preglednika i HTTP (eng. Hypertext Transfer Protocol) poslužitelja na sigurniji način nego što je sada moguće. Ova tehnologija moći će se koristiti u upravljanju privilegijama za čitanje i pisanje kodiranih dokumenata u računarstvu u oblaku. Konzorcij za web standarde W3C kaže kako će sučelje za programiranje aplikacija u web kriptografiji omogućiti da komunikacija između preglednika i poslužitelja bude kodirana i s drugim metodama osim SSL/TLS (eng. Secure Sockets Layer/ Transport Layer Security). Radni nacrt koji je upravo objavljen je rana inačica te radna grupa web kriptografije traži povratne informacije. Izvorna vijest dostupna je na stranicama portala The H Security.

Izvor: LSS Security

Razvojni programer zloglasnog alata za iskorištavanje „Blackhole“ objavio je novu inačicu s kojom je teže staviti na crnu listu URL (eng. Uniform resource locator) adrese koje ukazuju na web stranice sa zlonamjernim programom. Nova inačica programa Blackhole 2.0 predstavljena je nedavno na ruskoj web stranici „Malware don't need Coffee“. Ovaj alat koji je popularan među računalnim kriminalcima sadrži određeni broj novih značajki koje služe za izbjegavanje otkrivanja. Ostala unaprjeđenja uključuju podršku za operacijski sustav Windows 8 i neodređene mobilne platforme. Program „Blackhole“ postao je popularan zbog toga što brzo daje kod za iskorištavanje novo otkrivenih ranjivosti. Alat je nedavno korišten za iskorištavanje kritične ranjivosti programa Java koja je bila poznata nekoliko dana prije nego je objavljena nadogradnja. Sigurnosni stručnjaci kažu kako je najzanimljivija nova značajka mogućnost stvaranja kratkotrajnih i slučajnih URL adresa koje upućuju na zlonamjerne web stranice. Ove adrese stalno se mijenjaju te je web tražilicama, vlasnicima web stranica i sigurnosnim tvrtkama teško identificirati zlonamjerne web stranice. Najbolja obrana protiv programa Blackhole i ostalih popularnih programa za iskorištavanja kao što su „Phoenix“ i „Eleonore“ je održavanje stalna primjena nadogradnje programa. Izvorna vijest objavljena je na stranicama portala Network World.

Izvor: LSS Security

Program koji koristi tvrtka Microsoft na Novom Zelandu za registraciju sudionika na konferenciji TechEd izložio je lozinke delegata. Tvrtka Cross Kiwis kontaktirala je web stranicu za tehnološke vijesti The Register kako bi istaknuli elektroničke poruke od drugih tvrtki koje nude URL (eng. Uniform resource locator) adresu za ispis barkoda za registraciju na konferenciju. No, URL adrese koje su podijeljene uključuju lozinke s kojima delegati otvaraju račun kako bi se registrirali za konferenciju. Elektronička poruka uključuje i identifikacijski broj s kojim se može doći do detalja za registraciju ostalih sudionika. Ovo znači kako lozinke gotovo sigurno nisu kodirane u bazi podataka. Da stvar bude gora, lozinke delegata su još i ispisane kao dio barkoda na njihovim ulaznicama. Tvrtka Microsoft uvidjela je problem u četvrtak te su napisali objavu na svom korisničkom računu socijalne mreže Twitter kako su svjesni problema te rade na njegovom rješavanju. U izjavi su rekli kako su svim delegatima poslali novu poveznicu na njihove barkodove elektroničkom poštom. Tvrtka Microsoft na Novom Zelandu ispričava se zbog propusta, ali uvjerava kako neće doći do poteškoća prilikom prijave. Originalna vijest objavljena je na stranicama portala The Register.

Izvor: LSS Security

Sigurnosna tvrtka Security Explorations tvrdi kako je tvrtka Oracle znala za opasan sigurnosni propust koji je naveo korisnike da isključe svoje dodatke za Java paket. Security Explorations tvrdi kako su oni objavili 31 sigurnosni propust Java paketa, uključujući i trenutni sigurnosni propust, no kako je tvrtka Oracle u svojoj kritičkoj nadogradnji (eng. Critical Patch Update, CPU) ispravila samo 2 propusta s te liste. Adam Gowdiak, izvršni direktor i osnivač tvrtke Security Explorations, navodi kako Oracle uobičajeno izdaje 3 takve kritične nadogradnje godišnje te kako se posljednja ovogodišnja nadogradnja očekuje tek polovicom desetog mjeseca. Tvrtka Oracle nastavila je suradnju s tvrtkom Security Explorations te su im nedavno rekli da su ispravili sve osim 6 propusta s njihove liste. Budući da još uvijek nema naznake o izdavanju izvanredne službene nadogradnje, Gowdiak smatra kako još uvijek nisu uspjeli ispraviti najopasniji propust. Ovako dugački razmaci između objave nadogradnji ponekad su potrebni kako bi računalni stručnjaci mogli kvalitetno proučiti i pronaći rješenje za propuste, no također istovremeno i ugrožavaju korisnike. Izvorna vijest objavljena je na web stranicama portala TheRegister.

Izvor: LSS Security