Online Tržište

Alat za ispitivanje da li je firewall Web aplikacija (WAF) osetljiva na oko 150 protokol-level tehnika za izbegavanje, pokrenut je juče na Black Hat SAD 2010 bezbednosnoj konferenciji. Alat i istraživanje delo su Ivana Ristića, direktora inženjeringa u bezbednosnoj kompaniji Qualys, i originalnog autora popularne firewall ModSecurity Web aplikacije.

Firewall web aplikacija dizajnirana je za zaštitu Web aplikacije od poznatih napada kao što su SQL Injection napadi, koji se najčešće koriste za kompromitovanje Web sajtova. Oni to čine presretanjem zahteve poslatih od strane klijenata i sprovođenjem strogih pravila o njihovom oblikovanju. Međutim, postoje razne metode sa kojima se zlonamerni zahtevi koji krše ova pravila mogu provući pored WAF izmenom određenih delove u njihovom zaglavlju ili puteva zahtevane URL adrese. Oni su poznati kao protokol-level tehnike izbegavanja, a WAF u ovom trenutku nisu odgovarajuće opremljeni da bi se nosili sa njima jer ove tehnike nisu dobro dokumentovane.

Istraživači su testirali tehnike izbegavanja koje je Ivan Ristić otkrio prvenstveno protiv ModSecurity i Firewall-a open source Web aplikacija. Ivan Ristić naveo je da je tokom faze istraživanja podelio neke od tehnika sa drugima koji su ih uspešno testirali na nekim komercijalnim WAF proizvodima.

Erwin Huber Dohner, šef za istraživanje i razvoj u Ergon Informatik, Švajcarskog WAF proizvođača, nakon prezentacije Ivana Ristića potvrdio je da su tehnike izbegavanja veliki problem za industriju. Objavom svog istraživanje Ivan Ristić se nada da će inicirati raspravu u industriji oko protokol-level i drugih vrsta tehnika izbegavanja.

Ako proizvođači i bezbednosni istraživači ne dokumentuju i objave probleme, WAF programeri će i dalje praviti iste greške.Pored toga, sa ovim alatom za testiranje korisnici će moći otkriti koji WAF proizvodi su ranjivi pa će moći vršiti pritisak na proizvođače da ih poprave. Proizvođači imaju različite prioritete i obično ne popravljaju stvari ukoliko ne postoji realna opasnost za njihove klijentima, rekao je Ivan Ristić.

Želite li da sačuvate vaše e-mail poruke bezbednim od radoznalih očiju? Encipher.it je besplatan alat sa kojim možete da šifrirate e-mail, ili bilo koji blok teksta koji unesete na sajt.

Bilo bi dobro da Encipher.it sačuvate u svoj Bookmark bar kako bi mu veoma lako pristupali kad go vam zatreba.

Kada budete spremni da ga koristite, pokrenite svoj web bazirani e-mail u vašem pregledniku, i sastavite poruku. Kliknite na Encipher.it u Bookmark baru i od vas će biti zatraženo da unesete ključ za šifrovanje vaše poruke. U ključ za šifrovanje možete uključiti bilo koji niz brojeva i slova (što je duži i komplikovaniji vaš ključ za šifrovanje to je bolje). Naravno, ključ za šifrovanje je nešto što morate zapamtiti ili imati negde zapisan s obzirom da bez njega vaš e-mail neće biti čitljiv, tj. neće se moći dešifrovati.

Kada ste uneli ključ za šifriranje, kliknite na dugme Encript, i tada će se primeniti 256-bitni AES (Advanced Encription Standard) algoritam koji radi u realnom vremenu. Treba reći da je 256-bitna enkripcija vrsta zaštite podataka koju koriste web sajtovi mnogih banaka i Vladinih službi.

Encipher.it će transformisati vašu poruku u blok besmislica i kreirati link ka sajtu Encipher.it tako da ga primaoci vašeg e-maila mogu koristiti za dešifrovanje poruka. Dešifrovanje je vrlo jednostavan proces za primaoce kada imaju vaš ključ za šifrovanje. Ključ za šifrovanje sa kojim će primaoci dešifrovati vaš e-mail možete poslati u odvojenom e-mailu, SMS-om ili da obavite telefonski poziv i kažete primaocu ključ sa kojim će dešifrovati e-mail. Samo oni koji imaju vaš ključ mogu čitati vaše e-mail poruke.

Na ovaj način možete zaštititi vaše privatne podatke na javnim računarima, ali takođe može da zaštiti i vas ako neko hakuje vaš e-mail nalog.

Treba reći da Encipher.it nije ograničena samo na e-mail, sa njim se može šifrovati skoro sav tekst koji kucate u pregledniku uključujući i poruke koje se šalju preko Facebook-a i drugih društvenih mreža.

Bookmarklet pokreće savKod lokalno na računaru, tako da nema bojazni da će Encipher.it osoblje ili neko drugi da osluškuje vaše poruke dok se prenose na server za šifrovanje / dešifrovanje.

Microsoft za Windows 8 priprema novi način prijavljivanja na Tablet računara tako što će korisnicima omogućiti pokrete na ekranu umesto kucanja slova i brojeva. Korisnik će izabrati fotografiju sa nekim ličnim značenjem za njega, i kreirati niz linija i krugova koji se moraju obaviti kako bi se otključao računar.

Očigledno pitanje je da li je ovaj sistem siguran kao i kucanje lozinki na tastaturi. S obzirom da veliki broj korisnika sada koristi jednostavne lozinke, sistem koji se bazira na gestikulaciji može obezbediti mnogo veću sigurnost ovim ljudima. Microsoft priznaje da bi mrlje na ekranu ili uređaju za snimanje teoretski mogli omogućiti da ovakva lozinka budu kompromitovana, ali, navode da je takav rizik veoma mali.

Međutim, e slažu se svi sa Microsoft-om po ovom pitanju. Kenneth Weiss, tvorac RSA SecurID token, koji sada vodi Universal Secure Registry, poznat po tri faktora autentifikacije, ističe da ovo nije nikakva "ozbiljna bezbednost," da se gestovi koje neko radi na ekranu vrlo lako mogu snimiti sa distance.

Microsoft priznaje mogućnost da ovakve lozinke mogu budi kompromitovane, ali isto tako navodi i da je broj kombinacija koje ovakav sistem lozinki dozvoljava toliko veliki da on kao takav pruža dodatnu sigurnost. Na primer, Microsoft navodi da se slikovna lozinka sastavljen od pet gestova može napraviti na 398 trilion načina. Nasuprot tome, lozinka od pet karaktera sa slovima i drugim karakterima “samo” 182 miliona kombinacija, a lozinka od osam karaktera, 9 trilion kombinacija.

Ako se ovakva slikovna lozinka sastoji samo od linija, onda je ona znatno lakša za pogoditi. Microsoft navodi da kombinaciju crtanja linija i krugova, a dodirom na određene tačke na ekranu, eksponencijalno povećava broj načina na koji se lozinke može završiti.

Zach Pace, program menadžer u kompaniji Microsoft, demonstrirao je ovaj sistem prijavljivanjem na Tablet sa porodičnom fotografijom na kojoj je zaokružio glavu svog oca, postavljajući liniju između noseva njegovih sestara, a zatim tapnuo na nos svoje majke. Kako ovo izgleda možete videti na slici.

Microsoft je kritičarima koji smatraju da mrlje na ekranu mogu da kompromituju ovakvu lozinku odgovorio i da kucanje PIN-a može ostaviti mrlje na mestima gde korisnik dodiruje tastaturu na ekranu. Povlačenje linija i krugova će sigurno ostaviti neke tragove, ali to neće otkriti redosled kojim su oni pravljeni, a takođe, oni mogu biti i dosta nerazumljivi jer će korisnik raditi i druge radnje na svom ekranu osetljivom na dodir, poput korišćenje aplikacija ili surfovanja.

U stvarnosti je veoma teško iskoristiti mrlje na ekranu za kompromitovanje lozinke. Kada smo uzeli Tablet-e koje su ljudi koristili nekoliko dana, bilo je isuviše mnogo mrlja da bi se čak i moglo pretpostaviti koji bi pokreti mogli biti korišćeni za lozinku,

navodi kompanija Microsoft.

Microsoft je takođe ponudio i nekoliko saveta potencijalnim korisnicima operativnog sistema Windows 8, pa tako navode da bi trebali da koriste fotografiju na kojoj se vide lica osoba ili na kojima postoji neka druga vrsta orijentira, da koriste nekoliko vrsta gestova, sekvenci i pravaca, kao i da često čište ekran.

Baš kao i sa današnjim alfanumeričkim lozinkama, bezbednost u velikoj meri zavisi od sposobnosti korisnika da kreira složene sekvence i sačuva svoje uređaje od krađe ili gubitka.

Imate točno tri lozinke, zar ne? Prva je ona koju koristite za neke prijave koje vam nisu toliko vrijedne i na kojima ne mislite držati ništa važno. To može biti lozinka koju koristite za prijavu na neke web sajtove koje možda nikada nećete više posjetiti, ili pak kada je potrebno da se registrirate da bi preuzeli neki sadržaj i slično.

Druga je može se reći srednje sigurnosti. Ona je vjerojatno kraća od osam znakova. Obično sadrži ili samo slova ili samo brojeve i vrlo rijetko sadrži posebne znakove. Također je vjerojatno da koristite ovu lozinku i za e-mail i za Facebook.

Treći lozinka je ona koju koristite za svoje bankovne račune.

Najgora moguća varijanta je da imate samo jednu lozinku koju koristite za sve.

Previše ljudi ponavlja svoje lozinke a nedavno hakiranje Sony-a trebalo bi da posluži kao poziv svima na akciju ka promjeni ne samo samih lozinki već i metoda kojima se služimo za njihovo kreiranje i pamćenje.

Softver arhitekt i Microsoft MVP Troy Hunt obavio je nezavisnu analizu podataka lozinki koje su procurile nakon što je hakiran Sony i to potom usporedio sa drugim skupom podataka koji je postao dostupan nakon što je hakirana Gawker-ova baza komentara u prosincu 2010 godine.

Jedna od najšokantnijih stvari do koji je došao sa svojom analizom jeste da 88 ljudi imalo i Gawker i Sony korisnički račun sa istom e-mail adresom, a 67 posto njih koristilo je i istu lozinku. To je mali uzorak, ali je ipak vrlo zanimljiv. Tomu u prilog ide i studija sigurnosti, objavljena prošle godine u kojoj se navodi da 75 posto ljudi koristi istu lozinku i za Facebook i za svoj e-mail.

Štoviše, kada je Troy Hunt pregledao Sony datoteke otkrio je da među korisnicima koji su imali dva Sony računa (npr., Sony PlayStation i SonyPictures), s istom e-mail adresom, 92 posto njih je koristilo istu lozinku za oba računa.

Problem je u tome što mnogi koriste ovaj sistem tri lozinke. Ako e malo bolje razmisli, to je i logično jer ljudi misle slično i dolaze do sličnih planova, a ovaj se čini najefikasnijim i najlakšim. E, to i jeste problem.   Pogledaj kompletan post »

Prvi komercijalno dostupan skup alata za probijanje enkripcija i lozinki na iOS uređajima dolazi od strane Ruske sigurnosne tvrtke ElcomSoft. Jedan dio njihovog softvera je za razbijanje lozinki, dok je drugi dio, dostupan samo za policiju i Sudske agencije, u mogućnosti da ekstrahtuje brojeve korištene za kreiranje šifriranih ključeva za iOS podatke kako bi renderovao dešifriranu sliku uređaja.

Alat za dešifriranje omogućava da se nekoliko različitih vrsta ključeva izvuče iz uređaja, uključujući i jedinstveni ključ uređaja (UID) i deponovani ključ dobiven korištenjem UID i deponovanih uparenih zapisa. Ako je uređaj zaštićen samo sa 4-znamenkastim passcode, program onda samo treba da probije ​​sebi put kroz to, da bi dobili pristup svim šifriranim informacija.

iOS nikada nije važi za sigurnosnu tvrđavu, pa čak i ovaj novi alat koristi varijacije prethodno otkrivenih načina. Charlie Miller, iz Pwn2Own i glavni konzultant istraživanja Accuvant, čak je ukazao da je i Fraunhofer Institut za sigurne informacijske tehnologije, detaljno objasnio vrlo sličan metod u znanstveni radu objavljenom u veljači. Međutim, njihov alat nije za prodaju.

Ovaj komercijalno dostupan alat vam omogućava da svoj telefon ili Tablet na prilično jednostavan način zaštitite mnogo složenijom lozinkom od 4-znamenkastog koda, za zaštitu svojih podataka. ElcomSoft metod dolazi sa alatom za razbijanje lozinki, ali njegova prevashodna učinkovitost proizlazi iz definiranja granica mogućeg nagađanja, kao što je varijacija na određene riječi.

Aplikacija za mobilne telefone za koju se navodi da identifikuje odrasle koji se predstavljaju kao deca, uskoro će da bude objavljena.

Tim koji stoji iza “Odbrane Deteta” navodi da aplikacija može da analizira jezik kako bi generisala profil dobi, i identifikuje potencijalne pedofile.

Isis Forensics je razvio alatku uzimajući u obzir roditeljsku zabrinutost da njihova deca pristupaju sajtovima putem svojih mobilnih telefona.

Međutim, stručnjaci za zaštitu dece upozoravaju da ovakva tehnologija može da zavara ljude i da im da lažni osećaj bezbednosti.

Vođa projekta “Odbrane Deteta” James Walkerdine navodi: "Ovaj softver poboljšava šanse da će deca prepoznati da nešto nije u redu. Roditelji su nam rekli da bi voleli da vide neko softversko rešenje koje bi osnažilo i edukovalo njihovu decu i pomoglo im da se zaštite."

Svakako da je ovo softversko rešenje od velike pomoći, ali ono treba da bude jedno oruđe iz mnogo šireg arsenala za borbu protiv seksualnog zlostavljanja dece, navodi Chris Cloke šef za zaštitu dece.

Statistika Dečije SOS telefonske linije za 2009-2010 godinu pokazuje da je 1.054 dece zvalo u vezi problema na Internetu a od toga u vezi maltretiranje je bilo 39%, 10% je zvalo zbog problema sa prijateljima a 10% je prijavilo seksualno zlostavljanje.

Nakon nekoliko odgoda Mozilla Firefox 3.6.4, najnovija verzija popularnog web preglednika, je sada dostupna. Nova verzija dolazi sa jednim velikim dodatkom, zaštitom od pada sustava zbog plugin-a treće strane od kojih je najpoznatiji Adobe Flash.

Mozilla Firefox 3.6.4 također dolazi sa desecima ispravki i nadogradnjom stabilnosti. Ono što je najbitnije za prosječnog korisnika je Firefox zaštita od pada sustava, što je istaknuta osobina Google Chrome-a.

Zaštita od pada sustava radi tako što plugin-e trećih strana (konkretno Flash, Quicktime, i Silverlight) koristi u odvojenom procesu. Uz zaštitu od pada sustava, "preglednik će ostati raditi dok će dijelovi web stranice pod kontrolom plugin-a biti isključeni." Potrebno je samo osvježiti stranicu za ponovno pokretanje plugin-a.

Twitter je potvrdio postojanje bug-a koji može da natera jednog korisnika da prati drugog. Bug je prvobitno primetio turski blog, a zatim blog Vebrazzi koji ga je uspešno testirao i prisilio Facebook osnivača Mark Zuckerberg i direktora Twitter-a da prate glupi profil. Mana dozvoljava članovima da dodaju sledbenike na svoje naloge, tweeting "accept" sledi "@" i svako Twitter korisničko ime.

Twitter portparol Sean Garrett kaže da je greška "nažalost" stvarna,

Mi smo fokusirani na popravljanje te greške a nadam se da ćemo znati mnogo više o specifičnostima kada sve završimo.

Još nije poznato koliko je dugo greška postojala ili da li je potencijalno mogla dati Twitter korisnicima pristup sadržaju "zaštićenih" računa u kojoj su svi tweet-ovi privatni.

Kada industrija zabave SAD-a gleda u Indiju, vidi jedan gigantski problem oko autorskih prava. Zato želi da Indija ostane na prioritetnoj listi praćenja američke vlade, za problem sa intelektualni vlasništvom u 2010, i to je razlog zašto su napadnuti novi prijedlozi autorski prava.

Ali što se događa kada pogledate Indiju iz perspektive kulture i potrošača? Sa te strane Indija je zemlja broj jedan. To je rezultat Consumers International "IP Watchlist 2010" istraživanja koji se nada da će balansirati između perspektive industrije zabave gledanjem na iste probleme diljem svijeta sa aspekta građanskih prava i pristupa znanju.

Potrošački interes je još uvijek marginaliziran dok sa druge strane oni koji prave zakone žure u susret beskrajnim zahtjevima lobista zabave i medijskih konglomerata, koji oblikuju domaće i međunarodne zakone sa svojim pričama oko piratstva, krađe i organiziranog kriminala.

Na primjer, IIPA (koja predstavlja RIAA, MPAA i mnoge druge) u zadnje vrijeme se požalila američkoj vladi da mnoge zemlje širom svijeta nemaju dovoljnu posvećenost anti-kamkorder pravu. Internacionalni potrošači ističu da je korištenje kamere u kinu već kršenje autorskih prava u većini zemalja. Iako industrija možda želi da vidi određene krivične kazne u takvim slučajevima, takve tvrdnje ne odnose se na standarde postavljene  međunarodnim pravom, a sigurno ne bi trebao predstavljati osnovu da SAD stavi zemlju na neku industrijsku listu praćenja.

Kada se zemlje rangiraju sa aspekta potrošača, po autorskom režimu kompanije Consumers International, Indija, Libanon, Izrael, SAD, Indonezija su na vrhu popisa. U donjem dijelu popisa zemalja su Velika Britanija, Kenija i Japan. Pritom se rangiranje ne veže za nacionalno bogatstvo, ali najbolje rangirane zemalje imaju "copyright iznimke koje su široke i općenite", a ne ograničene i posebne iznimke.

Autori studije nisu naivni o piratstvu, ali oni očito ne vide svoju snagu kroz isti objektiv koristeći se velikim autorskim pravima.

Istina je da je kršenje autorskih prava, osobito u obliku fizičkih medija, rasprostranjeno u Indiji, ali to se mora uzeti u kontekstu da je Indija, iako je brzo rastuća, jedna od najsiromašnijih zemalja u svijetu.

kažu Indijska izvješća.

Kada se radi o problemu stvorenom slobodnim dijeljenjem sadržaja zaštićenog autorskim pravom putem Interneta, Consumers International preporučuje novi poslovni model kao što je dozvola za glazbu, prodaju fizičke robe, javno ili korporativno pokroviteljstvo ili licenciranje djela za korištenje u TV emisijama, filmovima, itd.

Svi ovakvi poslovni modeli su dobri i imaju ideje koje treba ispitati, iako se u izvješću ponekad osjeća previše odbacivanja stvarnih izazova koji omogućuju on-line prekršaje, te je opći utisak da takvo kršenje ima podršku same "copyright" ideje.

Kad IIPA pogleda Indiju, ove godine, vidi jednog od najgorih prijestupnika autorskih prava na svijetu, koji treba korektivnu pomoć američke vlade da bi radila stvari na pravi način. Kada se Indija posmatra iz druge perspektive, onda ona izlazi na vrha iz potpuno različitih razloga.

Industrija zabave i Internacionalni potrošaći se slažu da SAD ima jedan od najboljih sustava intelektualnog vlasništva na planeti. Taj nalaz podupire Specijal 301, ideja da SAD stvarno treba poticati druge zemlje da usvoje u mnogim dijelovima njihov sustav, ali to također znači da za razliku od ACTA, SAD treba izvoziti sve dijelove tog sustava.

Klikom na linkove koje vam različiti ljudi često šalju mogu biti veoma ružno iskustvo, s obzirom da postoje različiti vidovi prevara, kao naprimer prevare sa računima i slično. Iz tog razloga je Twitter pokušavao da to ružno iskustvo učini manje opasnim proveravajući a ponekad prepravljajući linkove koji se nalaze u direktnim porukama i e-mail obaveštenjima.

Del Harvey, direktor za poverenje i sigurnost na Twitter-u, objasnio je da je pokrenut novi servis da bi se zaštitili korisnici od phishing napada i drugih prevare.

rekao je Del Harvey.

Ovaj potez će uznemiriti neke korisnike jer menja tekst u privatnim porukama, što je veoma smeo korak. Bezbedno okruženje je u svačijem interesu, za redovne korisnike, marketing pa i Twitter u celini.

Nadamo se da nova funkcija dobro radi i da ne stvara lažni osećaj sigurnosti.