Online Tržište

Milijuni Android korisnika još uvijek su osjetljivi na Heartbleed bug, ranjivost u OpenSSL koju cyber kriminalci mogu iskoristiti za krađu lozinki, podataka o kreditnoj kartici i drugih osjetljivih podataka sa Web servera.

Kao što smo već pisali u članku “Heartbleed bug: Bezbednosni OpenSSL propust koji utiče na 70% sajtova”, Heartbleed se smatra jednim od najozbiljnijih sigurnosnih propusta ikada pronađenih, dijelom zato što je ostao neotkriven više od dvije godine. Stručnjaci procjenjuju da oko dvije trećine Web servera u svijetu koristi verzije najpopularnijeg softvera za šifriranje na Internetu OpenSSL koji sadrži grešku.

Prošli tjedan Google je objavio da su sve verzije Androida imune na Heartbleed, s izuzetkom Android 4.1.1. Podaci za rješavanje problema sa verzijom Android 4.1.1 se distribuira proizvođačima uređaja i mobilnih operatera, koji su odgovorni za objavljivanje ažuriranja.

Kompanija Google je u kratkom vremenskom roku objavila zakrpe za svoje Web servise kao što su Google Search, Gmail, YouTube, Wallet, Play, Apps, App Engine, AdWords, DoubleClick, Maps, Maps Engine i Earth, međutim ne postoji jednostavno rješenje za korisnike Androida.

Android ima problem fragmentacije u ekosustavu, milijuni korisnika još uvijek koriste verziju 4.1.1, koja je objavljena u 2012 godini. Prema Google-ovimpodacima, oko 34 posto svih Android korisnika trenutno koristi Android verzije 4.1.1 i 4.1.2.

Jedan od najvećih problema sa Android-om je taj što njegov ciklus ažuriranje traje suviše dugo. Zbog toga su proizvođači uređaja i telekom operateri prisiljeni da rješavaju problem, a taj proces obično jako dugu traje,

navode stručnjaci.

Kompanija BlackBerry priopćila je da će zbog uočene Heartbleed sigurnosne prijetnje do petka objaviti sigurnosnu nadogradnju za njen BBM messaging softver za Android i iOS uređaje.

Također, mnoge kompanije među kojima su Cisco, HP, IBM, Intel, Juniper Networks, Oracle i Red Hat upozoravaju kupce da mogu biti u opasnosti. Mnoge su već objavile sigurnosne zakrpe dok druge, kao što jeBlackBerry, žure kako da to urade.

Ovog mjeseca kompanija Google platila je znanstveniku koji se bavi sigurnosti na Internetu rekordnih 31.336 dolara za obavještavanje o tri greške u tražilici Chrome.

Rekordni iznos Google-ovog “bug bounty” programa isplaćen je Ralf-Philipp Weinmann-u, znanstveniku suradniku na Sveučilištu u Luksemburgu. “Bug bounty” programa podrazumijeva da kompanija Google novčano nagradi svakoga tko otkrije grešku u njenom softveru.

Drago nam je što možemo objaviti da smo novčano nagradili Ralf-Philipp Weinmann-a sa 31.336 dolara u okviru Chromium nagradnog programa, otkrivanjem tri greške u kodu tražilice Chrome. Greške su demonstrirane i vrlo detaljno opisane,

navodi u priopćenju Ben Henry, Google tehnički voditelj Bug Bounty programa.

Ove tri greške iskorištavaju O3D, a JavaScript API (Application Programming Interface) dizajnirano za kreiranje interaktivnih 3D Web aplikacija. API i dodatak za podržanu tražilicu kreirani su od strane Google-a.

Važno je reći da su sve tri greške označene kao visokorizične, druge po ozbiljnosti na Chrome-ovom sustavu rangiranja ozbiljnosti ranjivosti.

Ova novčana nagrada je nešto veće nego što je to bilo uobičajeno za otkrivanje sličnih grešaka u Chrome međutim, prošlog kolovoza je kompanija najavila da će povećati novčane nagrade kako bi potakla ljude na otkrivanje i prijavljivanje grešaka u Chrome.

Google navodi da je u ovoj godini do sada isplatio gotovo 188.000 dolara nagrada za otkrivanje grešaka i propusta u Chrome i Chrome OS, uključujući i one na Pwn2Own i Google-ovim vlastitim Pwnium natječajima.

Web analitička kompanija Spider.io izvestila je da Microsoft ne planira da popravi potencijalnu ranjivost (bug) u svom Internet Explorer-u koja omogućava svim vlasnicima Web sajtova, među njima i oglašivače i hakere, da prate kretanje kursora miša svojih posetilaca. Microsoft-ov bezbednosni tim priznao je problem i na tome se završilo, bez bilo kakvog obaveštenja o mogućnosti da se ranjivost zakrpi.

Pre nekoliko meseci Spider.io otkrio je i objavio zanimljiv “propust” u Internet Explorer-u. Ono što najviše zabrinjava jeste to što ovaj “propust” ne pogađa samo prozoru pretraživača, već nastavlja da prati kretanje kursora miša na ekranu korisnika, iza IE, čak i kada je prozor minimiziran. Ovaj “propust” pronađen je na IE6, IE7, IE8, IE9 i na novom IE10.

Mnogi smaraju da ovaj “propust” ima očigledne implikacije na privatnost korisnika ali da predstavlja i ozbiljan bezbednosni rizik koji se posebno odnosi na korisnike virtuelne tastature i keypad-a koji su stvoreni za borbu sa već široko rasprostranjenim “keylogger-om” koji hakeri koriste za krađu lozinki i drugih informacija koje se unose preko tastature.

Treba reći da lozinke nisu sigurne dok Microsoft je zakrpi ovaj “propust”. Nažalost, izgleda kao da Microsoft nema planove to da uradi.

Pomalo je smešno da kompanija koja tako odlučno podržava “Do Not Track” funkcionalnost, koje je u stvari Web zaglavlje koje sajtu govori da korisnik ne želi da se njegovo ponašanje prati, omogućava vlasnicima sajtova da uz pomoć ovog “propusta” prate ponašanje Internet Explorer korisnika.

Kompanija Microsoft objavila je privremenu softversku zakrpu za novootkrivenu greške u Internet Explorer-u. Ovo je itekako veliki problem koji utiče na stotine miliona korisnika Internet Explorer-a. Napadači ovu grešku koriste za instaliranje trojanca Poison Ivy koji se koristi za krađu podataka ili za daljinsku kontrolu računara.

Microsoft je brzo reagovao u adresiranju problema saopštivši da je greška otkrivena i da se ubrzano radi na njenoj ispravci.

Takozvane “zero-day”, ili novootkrivene ranjivosti su retke. Bezbednosna kompanija Symantec navodi da je samo osam takvih grešaka registrovano u 2011 godini. One su veoma opasne upravo iz razloga što su nove, jer za njih nema raspoložive zakrpe.

Prema navodima bezbednosnih stručnjaka, ova ranjivost je prisutna kod svih verzija Internet Explorer-a, od Internet Explorer 6 pa do prošlogodišnjeg Internet Explorer 9. Jedini izuzetak je Internet Explorer 10 koji će imati svoj debi u oktobru kada bude predstavljen Windows 8. Sve u svemu, ovo znači potencijalnu opasnost za 53% Internet korisnika.

Microsoft savetuje korisnicima da preuzmu besplatnu zakrpu, Enhanced Mitigation Experience Toolkit (EMET), kao privremeno rešenje dok kompanija ne izađe sa potpunom zakrpom.

Korisnici treba da blokiraju napade sa EMET 3.0, povećaju bezbednosnu zonu u IE na "high" i konfigurišu browser tako da prikazuje upozorenja pre izvršavanja skripti,

saopštio je Microsoft.

Međutim, stručnjaci upozoravaju da korisnici ovu privremenu zakrpu moraju preuzeti i manuelno konfigurisati, što je malo prekomplikovano za mnoge obične korisnike.

EMET je alatka namenjena naprednim korisnicima, koja manuelnim konfigurisanjem omogućava tehnologije koje mogu da se izbore sa ovakvim sigurnosnim propustima kao što su ASLR (address space layout randomization) i DEP (data execution prevention). EMET 3.0 može se preuzeti sa Microsoft-ovog sajta.

Neki bezbednosni stručnjaci savetuju korisnicima da se prebace na neki alternativni pretraživače, kao što su Google Chrome ili Mozilla Firefox dok Microsoft ne zakrpi ovaj propust u svom Internet Explorer-u. Većina stručnjaka smatra da će kompaniji Microsoft biti potrebno najmanje nedelju dana da napravi odgovarajuću ispravku.

IPad je već krekovan za korištenje nepotpisanih aplikacija, i to tek samo par dana nakon početka prodaje. Dan nakon lansiranja, MuscleNerd iz iPhone Dev-Team je objavio da je krekovao iPad koristeći bezbednosne propuste koji su ostali iz prethodnih iteracija iPhone OS, iPhone 3.1.3 (preko MacNN).

MuscleNerd na OS iPad, iPhone 3.2, je varijacija kreka "Spirit", sa 3.1.3 koja omogućava korisnicima da dobiju pristup preko pregledača i da pokrene nepotpisane aplikacije na iPad-u. Između verzije iPhone OS, Apple je obično krpio sve rupe koje dozvoljavaju hakerima da krekuju njihove uređaje, ali ovaj put Apple je zaboravio na neke bezbednosne rupe na iPhone 3,2 Safari, dozvoljavajući da neki stari krekovi prođu.

Malo je nejasno kako lako varijacije Spirit-a prolaze u automatizovane programe, a verovatno da će Apple zakrpiti ove rupe u bliskoj budućnosti, mada je neverovatno za Apple da je ostavio takve propuste na verziji 3.2 koji tako propuštaju krekove na njihov novi dragocjeni proizvod. Kompanija je morala da zna da je samo pitanje vremena pre nego što korisnici počnu da kopaju okolo, tražeći neke mane i propuste.