Online Tržište

Otkriven je novi Android trojanac koji snima vaše telefonske razgovore, navode tim zadužen za bezbednost u kompaniju CA Technologies.

Prethodni trojanac kojeg je CA otkrio prikupljao je detalje dolaznih i odlaznih telefonskih poziva kao i trajanje poziva, malware identifikovan ove nedelje beleži stvarne telefonske razgovore u AMR formatu i smešta snimak na SD karticu uređaja.

Malware takođe kreira i konfiguracijski fajl koji sadrži ključne informacije o udaljenom serveru i parametrima, što ukazuje na to da bi ti snimljeni razgovori mogli biti otpremljeni na server napadača, navodi Dinesh Venkatesan iz kompanije CA.

Dinesh Venkatesan je testirano ovaj trojanac u "kontrolisanom okruženju sa dva mobilna emulatora koji rade zajedno sa simuliranim Internet servisom". Rezultati pokazuju da se trojanac može instalirati samo ako vlasnik Android uređaja klikne na "Install" dugme koje se nalazi na poruci koja izgleda veoma slično instalacijskom ekranu legitimnih aplikacija.

Nakon što su malware i fajl sa konfiguracijom udaljenog servera instalirani na Android uređaj, telefonski poziv je okidač koji aktivira snimanje poziva i njegovo čuvanje na SD kartici.

Android omogućava mnogo veću fleksibilnost od iPhone-a kada je u pitanju dozvoljavanje instaliranja aplikacija drugih proizvođača, čak i onih koje nisu odobrene za Android Market, a ova sloboda donosi i znatno veći bezbednosni rizik.

Proizvođač bezbednosnog softvera AVG Technologies je kupio Izraelsku firmu DroidSecurity od njegovih osnivača i investitora za 4,1 miliona dolara plus moguća zarada koja bi prema procenama trebala da bude oko 5,3 miliona dolara.

DroidSecurity nudi proizvode koji imaju za cilj da zaštite vlasnike smartphone telefona, Tablet-a i ostalih uređaje koji rade na Google Android operativnom sistemu od virusa i malware-a. Kompanijina bezbedonosna aplikacija za mobilne uređaje na Android platformi ANTIVIRUSFree, premašila je 4,5 miliona preuzimanje prošlog meseca, i najbolje je rangirana aplikacija.

AVG navodi da ova kupovine omogućava njegovom Mobile Solutions Team-u da proširi svoju sadađnju ponudu bezbednosti za više od 110 miliona korisnika te da se intenzivnije uključi u prostor bezbednosti mobilnih uređaja.

Najnoviji izveštaji pokazuju da je udeo Android-a na tržištu sada skočio na preko 25 procenata, što znači da je on trenutno drugi najpopularniji mobilni operativni sistem u svetu.

Po završetku transakcije, koja je predmet uobičajenih uslova zatvaranja i regulatornih odobrenja, DroidSecurity će u potpunosti postati filijala u vlasništvu AVG-a čije će sedište i dalje biti u Tel Avivu, Izrael. Njen izvršni direktor i suosnivač, Eran Pfeffer, će postati generalni menadžer AVG Mobile Solutions Team-a.

DroidSecurity je osnovan 2009 godine od strane Eran Pfeffer, Dror Shalev i Omri Sigelman.

Novi sigurnosni propust Twitter-a široko je eksploatisao na hiljade Twitter računa, preusmeravaući korisnike na sajtove trećih strana bez njihovog odobrenja. Kompanija Twitter je izdala saopštenje pre nekoliko trenutaka, rekavši da je sigurnosni propust identifikovan i sada potpuno zakrpljen.

Bug je bio posebno nezgodan jer radi samo na mouseover, što znači da pop-up prozori i nezavisni sajtovi mogu da se otvore čak i ako samo pređete mišem preko linka.

Propust je koristio JavaScript funkciju koja se zove onMouseOver koja kreira događaje kada se mišem pređe preko dela teksta a takođe je zloupotrebljavan pokretanjem jednostavnih pop-up prozora, preusmeravanja korisnika na neke druge sajtove (uključujući i porno sajtove).

Možete da vidite primer tweet-a koji pokreće pop-up prozora kada pređete mišem preko teksta koji se nalazi ispod prozora.

Sada kada je novi Twitter ponovo bezbedan tu su se našle i dve nove funkcije, odnosno “odgovori svima” i auto-kompletiranje korisničkih imena. Da, sa ovim funkcijama ste upoznati posredstvom klijenata trećih strana ili web aplikacija, koje ih odavno koriste.

Odgovori svima (Reply to all)

Sada, kada kliknete na dugme odgovor na tweet-u koji sadrži više od jednog korisničkog imena, svi oni će biti navedeni u okvir za odgovor (možete naravno da izbrišete koga želite).

Automatsko kompletiranje (Auto-complete)

Ovo je sasvim sigurno nedostajalo svima. Sada, kada želite da tweet-ujete nekome, jednostavno možete početi sa ‘@’ i otkucajte prvo slovo njegovog imena posle čega će se prikazati padajući meni sa relevantnim korisničkim imenima.

Google je predstavio još jednu sigurnosnu mogućnost za Google Apps Account verifikaciju u dva koraka. Kompanija Google navodi da se sa ovom mogućnosti "značajno povećava bezbednost Cloud-a."

Verifikacija u dva koraka je jednostavna za postavljanje, upravljanje i korišćenje. Kada je omogućena od strane administratora, zahteva dva načina identifikacije da bi se prijavili na Google Apps nalog, nešto što vam je već poznato: lozinka, i nešto što imate: mobilni telefon. Ne zahteva nikakve posebne tokene ili uređaje. Nakon unosa lozinke, verifikacioni Kod se šalje na vaš mobilni telefon putem SMS poruke, govornog poziva ili se generiše putem aplikacije koju možete instalirati na vaš Android, BlackBerry ili iPhone uređaj. Čak i ako neko ukrade lozinku bit će mu potrebno više od toga da bi pristupio vašem nalogu. Takođe, možete naznačiti da, kada koristite računar u koji imate poverenje, ne želite da budete upitani za proveru Koda sa tog računara u budućnosti,

navodi direktor Google Apps bezbjednosti Eran Feigenbaum.

Administratori za Google Apps Premier, Education i Government Editions mogu sada aktivirati verifikaciju u dva koraka iz engleske verzije Admin Control Panel. Korisnici mogu očekivati Standard Edition u narednim mesecima.

Google-ova mobilna autentifikacija je open source, tako da kompanije mogu da je prilagode.-Listen

Kako navode glasine, HP je potpisao ugovor za kupovinu bezbednosno softverske kompanije Arcsight za 1,5 milijardi dolara, ili 43,50 dolara po deonici. Ova akvizicija dolazi nakon HP-ove 2,3 milijardi dolara vredne kupovine kompanije za skladištenje podataka 3PAR. Sama kupovina kompanije 3PAR je bila dramatično nadmetanje sa kompanijom Dell.

Arcsight obezbeđuje sigurnosno upravljački softver kojim se identifikuje i ublažava poslovni rizik za kompanije, MSSPs i vladine agencije. Softverski proizvodi su dizajnirani tako da zaštite kompanije od spoljnih napada na bezbednost, unutrašnje pretnje i ostalo narušavanje sklada.

HP navodi da će kupovina ArcSight-a "omogućiti stvaranje nove vrste bezbednosnih rešenja, ona koja će služiti modernim kompanijama". Očekuje se da se akvizicija zatvori do kraja 2010 godine.

Intel kupuje giganta Internet bezbednosti McAfee Inc. za oko 7,68 milijardi dolara. Intel je pristao da plati 48 dolara po akciji u gotovini, objavila je kompanija danas. Upravni odbori direktora obe firme imaju odobren aranžman koji bi trebalo da se zatvori nakon što akcionari i regulatorna tela daju svoje odobrenje.

Ovo je jako velik i značajan posao za Intel koji je pre svega hardverska kompanija koja se sada odlučila da kupi bezbednosno orijentisanu softversku kompaniju, a posebno je bitno što je ta kompanija takvo ime i veličina kakav je McAfee. Intel veruje da je bezbednost postala sastavni deo računara i da treba da je prihvati kao svoj posao, što sa ovom akvizicijom i čini.

Sa brzom i velikom ekspanzijom rasta raznih Internet uređaje, sve više i više elemenata našeg živote se seli online. U prošlosti, energetski efikasne performanse i povezivanja su definisali zahteve računara. Gledajući napred, bezbednost će im se pridružiti kao treći stub onoga što ljudi traže od računara,

izjavio je Paul Otellini, predsednik i izvršni direktor Intel-a.

Činjenica da je McAfee doživeo fantastičan rast u poslednjih nekoliko kvartala verovatno je podstakao Intel da uđe u ovaj posao. Sa ovom kupovino Intel je nesumljvo postao jedan od lidera tržištu, bilo da se radi o poboljšanoj bezbednosti hardvera ili čistoj proizvodnji bezbednosnog softvera.

Posle skandala oko seksualnog uznemiravanja u kojem je učestvovao sada već bivši generalni direktor Mark Hurd, HP je objavio da je kupio softversko bezbednosnu kompaniju Fortify. Detaljni uslovi sporazuma nisu objavljeni.

Fortify proizvod Software Security Assurance i servis štite kompanije od potencijalnih pretnjih bezbednosti u poslovnim softverskim aplikacijama. Softver kompanije Fortify ocenjuje i testira softverski Kod na bezbednosne propuste, dok se programi još razvijaju. Fortify je ranije sarađivao sa HP-om, integrišući svoj softver sa HP proizvodima u junu 2009 godine.

HP navodi da će Fortify raditi kao samostalni entitet i da bi kompanija eventualno mogla biti pridodana HP-ovim softverskim i poslovnim rešenjima. Fortify proizvodi će postati deo Business Technology Optimization portfolio aplikacija koji je na raspolaganju kroz HP-ov prodajni i servisni kanal.

Jasno je da je kupovina kompanije Fortify za HP jako ozbiljna stvar. HP-ove poslednje dve akvizicije, Melodeo, Lala konkurent, i smartphone proizvođač Palm, nalaze se u prostoru potrošača i hardvera.

Kako ljudi provode sve više vremena na Internetu, zahtjeva se i veća kontrola nad tim ko ima pristup njihovim online komunikacijama. Mnoge Internet usluge koriste ono što je poznato kao Secure Sockets Laier (SSL) veze za šifrovanje podataka koji putuju između vašeg računara i njihove usluge. Obično se prepoznaju po web adresi koja počinje sa "https" ili pregledač ima katanac ikonu. Ova tehnologija se redovno koristi na online bankarskim sajtovima i e-commerce web stranicama. Drugi sajtovi mogu da implementiraju SSL na više ograničeni način, na primer, zaštita lozinke kada unesete informacije za prijavljivanje.

Pre nekoliko godina Google je dodao SSL enkripciju u svoje proizvode od Gmail-a do Google Docs i drugih. Kao što su bankarstvo i e-commerce web stranice, tako i Google enkripcija prevazilazi lozinku za prijavljivanje I odnosi se na celu uslugu. Ovakvo šifrovanje je značajna prednost u odnosu na sistem koji samo šifrira login stranice i informacije o kreditnoj kartici.

Početkom ove godine, napravili smo važan iskorak tako što smo postavili SSL kao podrazumevanu postavku za sve korisnike Gmail. I danas postepeno pokrećemo novi izbor za bezbedniju pretragu na adresi https://www.google.com/ ,

rekli su u Google-u.

Kada pretražujete na https://www.google.com/, šifrovana veza se stvara između pretraživača i Google-a. Ovaj sigurni kanal pomaže u zaštiti vaših uslova pretrage i da stranice sa rezultatima pretrage ne budu presretnute od strane trećih lica na vašoj mreži. Usluga obuhvata modifikovan logo koji ukazuje na to da koristite SSL u pretrazi i da možete naići na nešto drugačije Google iskustvo pretrage.

Današnje izdanje dolazi sa "beta" oznakom iz nekoliko razloga. Prvo, trenutno pokriva samo osnovnu Google web pretragu. Da biste izbegli nerazumevanja, kada pretražujete pomoću SSL nećete videti linkove ka ponudama kao što su pretraživanje slika i mape koje najvećim delom ne podržavaju SSL u ovom trenutku. Takođe, pošto SSL veze zahtevaju dodatno vreme za podešavanje enkripcije između pretraživača i udaljenig web server, pretragom preko SSL može biti malo sporija od redovnog Google pretraživanja. Ono što se neće promeniti je da ćete i dalje dobiti iste rezultate pretrage.

Nekoliko napomena treba imati na umu: Google će i dalje održavati podatke za pretragu radi poboljšanja kvaliteta pretrage i obezbeđenja bolje usluge. Pretraživanje preko SSL ne umanjuje podatke poslate na Google-u, samo krije podatke od trećih lica, koji ih traže. Klikom na neke od web rezultata, uključujući i Google univerzalne rezultate pretrage za usluge koje nisu podržane kao što su Google Images, može vas izvesti iz SSL moda.

Eksponiranje kreditne kartice i online kupovina sa prijateljima na Internetu zvuči rizično što i jeste. Upravo je otkriveno da je nekoliko transakcija kreditnih kartica korištenih na društvenoj mreži Blippy eksponirano u Google-ovim rezultatima pretrage, uključujući pune brojeve kreditnih kartica.

Kucajući u pretraživač, sajt: blippy.com + "from card", vraća se rezultat pretrage koji prikazuju detaljne informacije o kupovini za tu transakciju. Svaki rezultat ukazuje da je transakcija debitne kartice ili transakcija kartice, iznos koji je potrošen, određenu lokaciju (ukljućuje adresu) i puni broj kartice (kao što se vidi na slici).

Blippy korisnici koji razmenjuju svoje kreditne kartice i podatke o bankovnom računu rade to sa pretpostavkom da će ove informacije biti samo za privatnu upotrebu.

Blippy je veoma zabrinut za čuvanje tajnosti korisničkih ličnih informacija. Mi zapošljavamo administrativne, fizičke i elektronske mere zaštite korisničkih podataka od neovlašćenog pristupa. Mi ćemo učiniti sve da otkrijemo bilo koje kršenje bezbednosti, poverljivost, integriteta ili korisničkih elektronskih ličnih podatke I obavestiti korisnike putem e-maila u što kraćem roku i bez nerazumnog odlaganja, u skladu sa potrebama legitimnog sprovodjenja zakona. Takođe ćemo učiniti sve potrebne mere da se utvrdi obim kršenja i vraćanje neeksponiranih podataka u sistem,

rekli su u Blippy-ju.

Na žalost, izgleda da postoji greška u toj administrativnoj, fizičkoj i elektronskoj meri koja osigurava privatnost, s obzirom da je Blippy bezbednosni sistem prekršen na javan i veoma nesrećan način.

Pitanja koja se koriste kao bezbedonosna provera na sajtovima treba da budu zamenjena složenijim testovima za utvrđivanje identitet osobe, kažu istraživači. Studija je pokazala kako je lako pogoditi odgovor na najčešća pitanja.

Napadači su u mogućnosti da uhakuju 1 od 80 naloga ako su imali tri šanse da pogode odgovore.

Brojke su mnogo gore nego što smo mislili,

rekao je Joseph Bonneau, vođa istraživačke studije.

Mnogi sajtovi, uključujući banke, firme za kreditne kartice, web adrese provajdera i drugi, koristite dodatna pitanja kada se izvršavaju promene na nalogu. U slučaju mnogih e-mail provajdera, pitanja se mogu koristiti za zamenu postojeće lozinke a da pri tome i ne znaju koja je.

Jedna studija istraživača sa Carnegie Mellon i Microsoft je istraživala koliko je lako je za prijatelje i članove porodice da pogode odgovore na pitanja bezbednosti. Oni su utvrdili da 17 % odgovora može pogoditi onaj koji poznaje tu osobu.

Webmail nikada nije bio stvarno namenjen samo za bezbednost, ali je imao na prilično važnu bezbednosnu ulogu. Kada imate nalog e-pošte možete uraditi mnogo drugih stvari sa njim,

rekao je Joseph Bonneau.

Mnogi bezbednosni istraživači sada traže načine da pitanja sigurnosti budu teža za pogoditi. Neki razmišljaju o tri pitanja pre nego što se resetuje lozinka.

Mogućnost da se pogode tri pitanja prilično je niska,

rekao je gospodin Bonneau.

Neki drugi, poput Google-a, šalju lozinke putem tekstualne poruke.

Neki su eksperimentisali sa izradom web pošte tako da korisnici imenuju pet prijatelja koji će biti kontaktirani u slučaju da zaborave lozinku. Tek kada kontaktiraju troje od njih i dobiju informaciju mogu da resetuju lozinku.

Ovo možda deluje kao puno posla, rekao je gospodin Bonneau, ali takođe može da podstakne ljude da budu oprezniji sa pitanjima i odgovorima koje su izabrali.