Za sigurnjake
Istraživači sa sveučilišta Ruhr University in Bochumiz Njemačke otkrili su niz sigurnosnih propusta u samoj arhitekturi mrežnih usluga, prvenstveno uslugama kao što udaljena pohrana podataka. Propust koji omogućuje napadačima da steknu administratorske ovlasti te pristupe svim korisničkim podacima prvotno su otkrili u mrežnim uslugama Amazon Web Services. Tvrtku Amazon su obavijestili o svojim otkrićima nakon čega su navedeni propusti uklonjeni, ali istraživači misle kako je situacija vrlo slična većini ostalih mrežnih usluga. Glavna prepreka boljoj sigurnosti su potrebe za brzinom usluge. Prilikom istraživanja prvenstveno su koristili nesigurnosti u XML (eng. Extensible Markup Language) enkripciji te XSS (eng. cross-site scripting) ranjivosti, u kojima jedan poslužitelj isporučuje korisniku dio sadržaja s drugog poslužitelja bez korisnikovog znanja. Poslije istraživanja, u suradnji s tvrtkom Amazon ranjivosti su ispravljene te je objavljena preporuka korisnicima kako koristiti mrežne usluge na najsigurniji način. Iz tvrtke Amazon su napomenuli da prilikom istraživanja niti jedan korisnik nije oštećen. Detaljniji opis moguće je pronaći na web stranicama portala COMPUTERWORLD.
Izvor: LSS Security
Znanstvenici su uspjeli prevariti tako zvani Bellov test te tako ozbiljno narušiti povjerenje u neprobojnost kriptografskog sustava koji koristi metode kvantne mehanike. Naime, prema toj teoriji, samo promatranje čestica utječe na njihovo kretanje pa su znanstvenici željeli to svojstvo iskoristiti u kriptografiji. Tako bi ključ sastavljen od kvantnih čestica, koji dvije strane dijele, bio promijenjen ako ga je treća strana presrela odnosno „pogledala“, te on više ne bi dozvoljavao pristup podacima. Znanstvenici su, međutim, uspjeli proći Bellov test s tako promijenjenim ključem koristeći laser te doslovno zasljepljujući prijamnik ključa. U teoriji ni takav način varanja prijamnika ne bi trebao dozvoljavati pristup podacima, međutim Bellov test dozvoljava određen postotak grešaka, jer u protivnom niti dio nepromijenjenih ključeva ne bi odgovarao svom paru. Prema riječima stručnjaka za kvantnu optiku, Christiana Kurtsiefera s Nacionalnog Sveučilišta u Singapuru, u teoriji kvantna kriptografija jest vrlo sigurna, međutim zbog praktičnih ograničenja to baš nije tako jednostavno. Dodatne informacije moguće je pronaći na web stranicama portala The Register.
Izvor: LSS Security
Skupina računalnih entuzijasta i aktivista THC (eng. The hacking outfit) izdala je alat koji su nazvali „THC-SSL-DOS“, čije samo ime otkriva i pravu namjenu. Naime, navedeni alat može srušiti poslužitelje koji koriste SSL (eng. secure socket layer) enkripciju, s običnog računala. Dovoljna je snaga prosječnog prijenosnika, a napad koji izvodi je klasičan DOS (eng. denial of service) napad. Namjera skupine THC jest skrenuti pažnju na nesigurnosti u SSL enkripciji, točnije na mogućnost napadača da ipak prisluškuje ili preuzme nadzor nad ovom „sigurnom“ vezom. Ovdje skupina THC prvenstveno misli na poslužitelje koji koriste „SSL renegotiation“, tj. ponovno uspostavljanje veze, te opasnosti koje on donosi prosječnom korisniku. Njihov alat s lakoćom ruši upravo takve poslužitelje, međutim sposoban je srušiti i druge SSL poslužitelje, ali za to je ipak potrebno više računala i računalne snage. Još 2009. godine, jedan Turski student uspješno je demonstrirao korištenje spomenute funkcionalnosti za krađu korisničkih podataka s društvene mreže Twitter. Cijelokupna vijest objavljena je na web stranicama portala ComputerWorld.
Izvor: LSS Security
Istraživači s njemačkog sveučilišta University of Ruhr, Juraj Somorovsky i Tibor Jager, probili su popularnu i često korištenu enkripciju za zaštitu podataka, XML enkripciju. Ta metoda enkripcije se najviše koristi u mrežnoj komunikaciji, a koriste je sve velike tvrtke poput Microsofta, Red Hata i IBM-a (eng. International Business Machines). Da bi njihov napad uspio uopće nije važno koji algoritam je korišten za samo kriptiranje podataka, tj. čak i sam AES (eng. Advanced Encryption Standard), kao jedan od najsigurnijih, može se zaobići. Istraživači će svoje nalaze detaljnije predstaviti na konferenciji o računalnoj i komunikacijskoj sigurnosti ACM koja se odvija kasnije ove godine. O svojim otkrićima su obavijestili sve velike tvrtke, a iz Microsofta su izjavili kako detaljnije istražuju je li navedenom ranjivošću uopće ugrožen neki njihov program te da su obavijest proslijedili svim manjim razvijateljima računalnih programa. Juraj Somorovsky i Tibor Jager izjavili su kako jednostavan način da se ranjivost riješi ne postoji te da je potrebno u potpunosti napustiti standard XML enkripcije. Izvorna vijest objavljena je na stranicama portala computerworld.
Izvor: LSS Security
Napadači su kreirali novu inačicu zlonamjernog programa Flashback.C za operacijski sustav tvrtke Apple, Mac OS X. Ovaj trojanski konj da se radi o nadogradnji za program Flash Player tvrtke Adobe, a sposoban je ugasiti program za zaštitu računala koji tvrtka Apple izdaje s operacijskim sustavom Mac OS X, imena XProtect. Iz tvrtke koja se bavi računalnom sigurnošću F-Secure izjavili su da takvo ponašanje nije ništa novo u svijetu zlonamjernih programa. Logično je da napadači pokušaju onesposobiti najkorišteniji program za zaštitu operacijskog sustava, a kako za sustav Mac OS X postoji već ugrađen program, on je naravno i najčešći. Opasnost za sigurnost prosječnog korisnika je mala, kao i od ostalih virusa iz obitelji Flashback. Razlog tomu je što svi zahtijevaju administratorske ovlasti za svoju instalaciju, pa samim time i administratorsku lozinku od korisnika. Redom su inačice Flashbacka bile sve naprednije, pa su tako od prošle inačice Flashback.B sposobne prepoznati operacijski sustav Mac OS X koji je instaliran u virtualnoj mašini te se ne instalirati na njega, prvenstveno jer se takvi strojevi koriste i za istraživanje zlonamjernih programa i učenje o njima. Više podataka dostupno je na web stranicama portala SC Magazine.
Izvor: LSS Security
Tražilica portala
Powered by: 
Copyright © 2011 CIS.hr - Centar informacijske sigurnosti. Sva prava pridržana.
Posljednje sigurnosne preporuke