Za sigurnjake
Stručnjaci za sigurnost upozoravaju kako internetske stranice nekih kompanija nisu dovoljno zaštićene. Većina njihovih stranica ima samo podignutu tako zvanu WAF (eng. Web application firewall) zaštitu. Tvrtke ne bi smjele slijepo vjerovati dobavljačima takve vrste zaštite da je ona dovoljna za zaštitu njihovih internetskih aplikacija odnosno stranica. Problem je što dobar poznavatelj ovakve zaštite može vrlo jednostavno, ponekad i izmjenom samo jednog znaka, zaobići postavljene zaštitne mehanizme WAF zaštite. No, ne treba u potpunosti zapostaviti korištenje WAF zaštite jer je moguće postaviti zaštitu za obranu od najčešćih i najvjerojatnijih napada. Tako se primjerice zaštita može ispitivati te se može prilagoditi kako se pronađeni propusti u budućnosti ne bi mogli iskoristiti. Također napadači mogu neke vrste napada provest jedino uz vrlo dobro poznavanje sustava te se zaštita može prilagoditi takvim uvjetima. WAF zaštita pruža dodatne slojeve zaštite, no za njihovu kvalitetnu izvedbu potrebno je dobro poznavanje te zaštite. Izvornu vijest moguće je pročitati na web stranicama portala DarkReading.
Izvor: LSS Security
Projekt tvrtke Google pod nazivom „Projekt otvorenog koda za operacijski sustav Android“ (eng. Android Open Source Project) objavio je pregled sigurnosnih mogućnosti operacijskog sustava Android. U objavljenom dokumentu objašnjeni su principi kao što je primjena sigurnosnog mehanizma „sandbox“, dozvola za upravljanje sustavom i međuprocesna komunikacija. Ostale teme koje se nalaze u dokumentu uključuju sučelja za programiranje aplikacija, kao što su ona koja imaju pristup pozivima i tekstualnim porukama (eng. Application programming interface) te njihova cijena i odredbe u operacijskom sustavu za vođenje osobnih podataka na uređajima. U vezi nadogradnji, koje su osjetljive zbog sigurnosti, u dokumentu se objašnjava proces koji prolaze tvrtka Google i Projekt otvorenog koda za operacijski sustav Android kako bi popravili ranjivosti u kritičnim komponentama operacijskog sustava. Na nekoliko mjesta u dokumentu nalaze se poveznice na kojima se mogu pronaći rasprave o mogućnostima kao što je primjena kodiranja u operacijskom sustavu Android. Za više informacija moguće je posjetiti stranice portala H Security.
Izvor: LSS Security
Sumnja se da sustav prodaje i distribucije aplikacija za uređaje tvrtke Apple ima sigurnosne propuste koji se mogu iskoristiti za nedozvoljeno besplatno preuzimanje aplikacija. Tako je jedan ruski korisnik uređaja tvrtke Apple, pod aliasom ZonD80, pronašao način kako besplatno preuzimati aplikacije koje se inače plaćaju te je objavio video na stranici YouTube s detaljnim uputama i objašnjenjima. On navodi kako nema smisla kupovati aplikacije, iako se naravno, programeri i stvaratelji aplikacija s tim ne slažu. Ovo je potpuno nov način nedopuštenog preuzimanja aplikacija. Do sada se moglo ilegalno preuzimati aplikacije jedino ukoliko se provede tako zvani JailBreak uređaja prilikom čega bi se izgubila garancija nad uređajem. Ovaj novi pristup zahtjeva jedino instalaciju pojedinih certifikata i postavljanjem određene IP adrese. Za razliku od prijašnjeg načina, kod ovog postupka je praktički nemoguće odrediti način na koji je pojedina aplikacija preuzeta. Iako se ovim načinom ne mogu preuzimati sve aplikacije koje su u ponudi, u tvrtki Apple zabrinuti su zbog ovakvog propusta te intenzivno rade na njegovom rješenju. Više podataka moguće je pročitati na stranicama portala TheRegister.
Izvor: LSS Security
Drugi svjetski skup o računalnoj sigurnosti u Centru za sigurne informacijske tehnologije (eng. Centre for Secure Information Technologies - CSIT) održan na kraljičinom Sveučilištu Belfast u ožujku ove godine rezultirao je objavom novog plana za borbu protiv računalnog kriminala. Na skup je pozvano 80 sigurnosnih stručnjaka. Glavni rezultat skupa su četiri dokumenta koja pokrivaju četiri osnovne teme, a njihovom kombinacijom može se osigurati strateški plan za borbu protiv računalnog kriminala te baza za daljnje istraživanje. Sve četiri teme zasnivaju se na adaptivnim tehnologijama za računalnu sigurnost, zaštiti pametnih mreža, sigurnosti mobilnih platformi i aplikacija te pristup u istraživanju računalne sigurnosti. Adaptivne tehnologije za računalnu sigurnost neophodne su za daljnji napredak. Zaštita pametnih mreža sve je važnija jer one postaju sveprisutne. Sigurnost mobilnih platformi i aplikacija jedno je od glavnih razmatranja za buduća istraživanja jer postaju sve prisutniji te uključuju puno aktera: potrošače, tvrtke, proizvođače, mobilne operatere, dobavljače operacijskih sustava i razvojne programere mobilnih aplikacija. Također, izbor najboljih prilika je važan kod pristupa za istraživanje računalne sigurnosti. Više informacija nalazi se na web stranicama portala Infosecurity.
Izvor: LSS Security
Sigurnosni istraživači pronašli su način kako poslati skrivene informacije ili proizvoljne naredbe pomoću slika koristeći društvene mreže. Razvili su sustav koji iskorištava promet koji se stvara prilikom komunikacije preko društvenih mreža. Tako su iskoristili društvene mreže i njihovu mogućnosti slanja fotografija kako bi unutar fotografije upisali proizvoljne informacije. S obzirom da se u digitalnom svijetu sve informacije sastoje od bitova, pa tako i fotografije, moguće je unutar fotografije ugurati skrivenu informaciju. Primjerice, ukoliko se promijeni nekolicina bitova neke slike, slika će i dalje ostati ista (s vrlo malim razlikama u nijansama boja). Tako je moguće na odrađenim mjestima unutar slike promijeniti nekolicinu bitova dovoljnu za pohranu informacija. Istraživači su razvili program koji bi mogao kodirati sliku te u nju ubaciti neku naredbu. Zatim bi neki drugi korisnik ili program, nakon što preuzme sliku s društvene mreže, mogao pročitati skrivenu informaciju ili izvesti skrivenu naredbu. Ovaj način slanja informacija vrlo je teško detektirati te je stoga bitno pronaći način kako se obraniti od ovakve vrste napada. Izvornu vijest moguće je pronaći na stranicama portala DarkReading.
Izvor: LSS Security
Tražilica portala
Powered by: 
Copyright © 2011 CIS.hr - Centar informacijske sigurnosti. Sva prava pridržana.
Posljednje sigurnosne preporuke