Za sigurnjake

Organizacija NIST (eng. National Institute of Standards and Technology) izdala je smjernice za sigurno korištenje računarstva u oblaku (eng. cloud computing). U dokumentu se korisnicima savjetuje da se ne oslanjanju samo na pružatelje usluga računarstva u oblaku kada je u pitanju sigurnost njihovih podataka. Većina dokumenata organizacije NIST usmjerena je na korisnike u javnom sektoru, ali ovaj je dovoljno općenit da ga mogu koristiti i obični korisnici. Dokument opisuje nekoliko rizika u korištenju računarstva u oblaku. Na primjer, veliki i kompleksni sustavi imaju veći rizik napada zbog velike mogućnosti iskorištavanja, a sama činjenica da su dostupni preko Interneta omogućuje prijetnje koje inače nisu prisutne u zatvorenoj tvrtkinoj mreži. Prije korištenja ovog oblika računarstva, dokument predlaže specifikaciju željenih zahtjeva za pružatelja usluge računarstva u oblaku kako bi se odabrao servis koji pruža željenu razinu sigurnosti. Nakon toga, trebalo bi procijeniti rizike ovisno o tipu podataka koji će čuvati u „oblaku“. U posljednjem koraku, organizacije bi trebale potpisati ugovorne obveze s pružateljem usluge računarstva u oblaku, u kojima se navode obveze svake od strana. Originalna vijest objavljena je na stranicama portala InformationWeek.

Izvor: LSS Security

Poznato natjecanje hakera „Pwn2Own“ dobilo je novi oblik nakon što je sponzor HP/TippingPoint DVLabs povećao nagradni fond. Za razliku od prethodnih godina, timovi se neće natjecati tko će prije otkriti zero-day ranjivost. Ove godine, sve četiri mete su Internet preglednici: Microsoft Internet Explorer, Mozilla Firefox, Google Chrome i Apple Safari. Timovi će imati nekoliko izazova koje će morati riješiti kako bi pobijedili. Prva tri tima ukupno će dobiti 105 tisuća dolara nagrade. Dodatno, tvrtka Google je ponudila dodatnu nagradu za otkrivanje sigurnosne ranjivosti u njihovom pregledniku u iznosu od 20 tisuća i 10 tisuća dolara, ovisno o ozbiljnosti otkrivene ranjivosti. Natjecatelji će imati još jedan izazov: pronaći način iskorištavanja programske nadogradnje za poznatu ranjivost. Ove godine neće postojati izazovi za otkrivanje ranjivosti mobilnih uređaja. Kao i prethodnih godina, proizvođači programskih paketa koji sudjeluju u natjecanju dobit će izvještaje o novim sigurnosnim ranjivostima, a pobjednici će, uz novčanu nagradu, dobiti nove prijenosnike. Izvornu vijest moguće je pročitati na web stranicama portala DarkReading.

Izvor: LSS Security

Sigurnosni istraživači su izložili sigurnosne propuste u programima koji se koriste za kontrolu kritičnih industrijskih sustava za naftu, plin, vodu i električna postrojenja na sigurnosnom znanstvenom simpoziju SCADA (eng. Security Scientific Symposium) 2012. godine. Ranjivosti su u rasponu od otkrivanja podataka i pogreške dobivanja privilegija do udaljenog uskraćivanja usluga (eng. Denial of Service) i propusta za izvođenje proizvoljnog programskog koda. Istraživački tim, čiji su članovi Reid Wightman, Dillon Beresford, Jacob Kitchel, Rubén Santamarta i još dva istraživača koji žele ostati anonimni, radi kao dio projekta koji se naziva Basecamp, a sponzorira ga tvrtka za industrijsku kontrolu sustava Digital Bond. Testirani proizvodi su Control Microsystems' SCADAPack, General Electric D20ME, Koyo/Direct LOGIC H4-ES, Rockwell Automation's ControlLogix i MicroLogix,  Schneider Electric Modicon Quantum i Schweitzer's SEL-2032. Najsofisticiraniji zlonamjerni program koji se naziva Stuxnet iskorištava propuste u SCADA Siemens programima kako bi ubacio zlonamjerni kod u komponente PLC (eng. Programmable Logic Controller) koji se koriste za kontrolu obogaćivanja urana u nuklearnom objektu Natanz u Iranu. Mnogi sigurnosni problemi koje je otkrio projekt Basecmap proizlaze iz propusta, a SCADA proizvodi imaju nedokumentirane značajke koje se mogu koristiti za zlonamjerne svrhe. Stručnjaci navode da je potreban aktivniji pristup i uzimanje sigurnosti u obzir pri projektiranju ovih proizvoda SCADA. Izvorna vijest objavljena je na web stranicama portala Techworld.

Tvrtka Google je objavila dokument s načelima sigurnosti preglednika Chromea koji može pomoći u razumijevanju kako preglednik radi. Cilj pri projektiranju sigurnosne arhitekture preglednika Chromea je napraviti slojevitu obranu i izbjeći pojedine točke neuspjeha. Arhitektura Sandbox predstavlja jedan od najučinkovitijih dijelova ove strategije. Uz nju se nalazi i najbolja dostupna tehnologija protiv iskorištavanja (kao što je ASLR, DEP, JIT hardening i SafeSEH), zajedno s prilagođenim tehnologijama kao što su sigurnosno pretraživanje, blokiranje dodataka koji nisu ažurirani i tiho automatsko ažuriranje. Tvrtka Google kaže kako ovom objavom ne želi umanjiti sigurnosni učinka, nego pružiti korisnicima i administratorima informacije koje im trebaju kako bi mogli točno procijeniti rizik. Javno otkrivaju ranjivosti koje su popravljene u pregledniku Chrome, bilo da su te ranjivosti otkrivene unutar tvrtke ili ih je netko izvana otkrio. Ističu da niti jedan program nije savršen i sigurnosni propusti se nađu čak i u najboljim procesima za razvoj i pregled.  Zbog toga su zahvali za rad koji obavljaju samostalni sigurnosni istraživači koji im pomažu pronaći i popraviti ranjivosti. Računalni korisnici bi uvijek trebali tražiti način kako smanjiti mogućnosti gdje napadači mogu napasti. Dodatni opis moguće je pronaći na stranicama portala ZDNet.

Izvor: LSS Security