Jump to content
Forum Kopalni Wiedzy

Search the Community

Showing results for tags 'bezpieczeństwo'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Nasza społeczność
    • Sprawy administracyjne i inne
    • Luźne gatki
  • Komentarze do wiadomości
    • Medycyna
    • Technologia
    • Psychologia
    • Zdrowie i uroda
    • Bezpieczeństwo IT
    • Nauki przyrodnicze
    • Astronomia i fizyka
    • Humanistyka
    • Ciekawostki
  • Artykuły
    • Artykuły
  • Inne
    • Wywiady
    • Książki

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Skype


ICQ


Jabber


MSN


AIM


Yahoo


Lokalizacja


Zainteresowania

Found 72 results

  1. Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby. Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011. W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%. Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego. Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal. Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych. Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych nic się w tym zakresie nie zmieniło. Wszystkie powyższe dane dotyczą USA.
  2. KopalniaWiedzy.pl

    Superbezpieczny Android

    Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy. Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
  3. Po skandalu Carrier IQ w Izbie Reprezentantów złożono projekt ustawy, która ma zapewniać lepszą ochronę klientom sieci telefonii komórkowych. Mobile Device Privacy Act został złożony przez Edwarda Markeya’a z Partii Demokratycznej. Ustawa przewiduje, że „konsumenci mają prawo wiedzieć jakie oprogramowanie, które zbiera i przesyła ich dane osobiste, jest obecne na urządzeniu przenośnym i mają prawo nie zgodzić się na jego obecność“. Przewidziano też, że w przyszłości zbieranie i przesyłanie danych nie będzie możliwe bez wyraźnej zgody użytkownika. Ponadto firmy, które chciałyby przekazać takie dane firmom trzecim, będą musiały uzyskać zgodę Federalnej Komisji Handlu i Federalnej Komisji Komunikacji. Ustawa nakłada też na sprzedawców urządzeń mobilnych informowanie użytkownika o tym, czy na urządzeniu zainstalowano oprogramowanie zbierające dane, jakie dane są zbierane, do kogo zostają wysłane i w jakim celu są używane. Firmy zbierające dane będą zaś musiały odpowiednio je zabezpieczyć. Teraz Markey musi znaleźć odpowiednie poparcie dla swojej ustawy, co pozwoli prowadzić nad nią dalsze prace.
  4. KopalniaWiedzy.pl

    Najlepsi kierowcy zdają dwukrotnie

    Najlepszymi kierowcami nie są, wbrew pozorom, osoby, które zdały egzamin na prawo jazdy za pierwszym razem. Zamówione przez firmę Continental Tyres badania pokazały, że najlepiej jeżdżą ci, którzy do egzaminu podchodzili dwukrotnie. W przeprowadzonej ankiecie wzięło udział 6200 kierowców, którzy mieli dokładnie opisać swoje umiejętności oraz doświadczenia związane z jazdą samochodem. Okazało się, że osoby, które zdały na prawo jazdy za drugim razem miały mniej punktów karnych, rzadziej wpadały we wściekłość podczas jazdy samochodem i były rzadziej zatrzymywane przez policję niż ci, którzy zdobyli prawo jazdy za pierwszym podejściem. Rzadziej też rozmawiali za kierownicą przez telefon komórkowy, uczestniczyli w mniejszej liczbie wypadków, a ich pasażerowie niezwykle rzadko doznawali uczucia strachu podczas jazdy z nimi. Najgorszymi kierowcami są natomiast te osoby, które podchodziły do egzaminu więcej niż dwa razy. Badania wykazały, że osoby takie częściej niż inni przejeżdżają skrzyżowania na czerwonym świetle, jeżdżą pod prąd, uderzają w przeszkody podczas parkowania i częściej korzystają z ubezpieczenia. W ankiecie wzięły udział osoby w wieku 20-65 lat i opisywały szczegółowo 20 aspektów prowadzenia pojazdów. Musiały one powiedzieć, czy czują się na siłach uczyć jazdy innych, jak często odrywają wzrok od drogi czy też ile dostały mandatów. Ci, którzy za pierwszym razem zdali egzamin byli najlepsi w bardziej skomplikowanych manewrach, takich jak parkowanie równoległe tyłem, ruszanie pod górę czy zawracanie. W ich przypadku było mało prawdopodobne, by zgasł im silnik i chętnie uczyliby innych jeździć. Z kolei osoby, które podchodziły do egzaminu dwukrotnie jeździły najbardziej płynnie. Badania wykazały też, że przeciętny kierowca w ciągu ostatniego miesiąca złamał przepisy czterokrotnie, ale uniknął kary. Ponadto ma on średnio trzy punkty karne, a od momentu zdania egzaminu do chwili, by poczuł się pewnie za kierownicą mijają średnio dwa lata. Ci, którzy zdawali dwukrotnie sprawują się na drodze lepiej, jeżdżą bezpiecznie i odpowiedzialnie. Być może wynika to z tego, że są bardziej skoncentrowani i biorą pod uwagę więcej czynników, lepiej oceniają warunki na drodze i zwracają uwagę na innych kierowców. Osoby, które zdały za pierwszym razem dobrze radzą sobie z samochodem, ale mogą być zbyt pewni siebie, co może prowadzić do lekkomyślności - mówi Guy Frobisher z Continental Tyres.
  5. Microsoft poinformował, że w bieżącym roku załatał rekordowo małą liczbę krytycznych dziur. Ostatnio tak mało luk znaleziono w produktach koncernu w 2005 roku. W całym bieżącym roku Microsoft wydał 99 biuletynów bezpieczeństwa, z czego 32% stanowiły biuletyny oznaczone jako „krytyczne". W drugiej połowie roku ich odsetek wynosił 20%. Zdaniem przedstawicieli Microsoftu, mniejsza liczba wykrywanych krytycznych błędów to efekt dobrej pracy poszczególnych grup produktowych. Przed dwoma dniami, we wtorek, koncern wydał ostatni w bieżącym roku zestaw łat. W jego skład weszło 13 biuletynów, poprawiających 19 dziur. Trzy biuletyny zyskały ocenę „krytyczne". Początkowo planowano publikację 14 biuletynów dla 20 dziur, jednak okazało się, że jedna z łat jest niekompatybilna z oprogramowaniem firmy trzeciej, zostanie więc udostępniona po rozwiązaniu problemu.
  6. KopalniaWiedzy.pl

    Androidowa wojna na słowa

    Przedstawiciel Google'a oskarżył firmy antywirusowe o sianie bezpodstawnej paniki i nazwał je szarlatanami i oszustami. Chrisa DiBonę zirytowały ostatnie raporty, które donoszą o szybkim wzroście liczby malware'u na system Android. Nie tylko Juniper Networks informuje o zaobserwowaniu takiego zjawiska. Także McAfee twierdzi, że niemal cały nowy szkodliwy kod, który pojawił się w III kwartale bieżącego roku, był przeznaczony na platformę Google'a. Firmy antywirusowe grając na strachu próbują sprzedać oprogramowanie zabezpieczające dla Androida, RIM-a i iOS-a. To szarlatani i oszuści. Jeśli pracujesz dla firmy, która sprzedaje programy antywirusowe dla Androida, RIM-a i iOS-a, to powinieneś się wstydzić - napisał na Google+ menedżer Google'a ds. open source i programów sektora publicznego. Komentarz DiBony ukazał się dzień po publikacji raportu Junipera, a dzień później swój raport zaprezentował McAfee. W dokumencie tym czytamy, że w bieżącym kwartale Android był jedynym celem twórców nowego złośliwego oprogramowania. Irytację DiBony musiał spowodować też raport Bit9, w którym wymieniono „Parszywą dwunastkę" najbardziej dziurawych urządzeń przenośnych. Wszystkie miejsca na liście zajmują urządzenia z Androidem. DiBona stwierdza, że żaden z dużych producentów telefonów komórkowych nie ma problemów z wirusami w tradycyjnym sensie, tak jak to widzimy w przypadku platform Windows czy Macintosh. Są pewne drobne problemy, ale rzeczy nie posunęły się daleko, dzięki modelowi ‚piaskownicy' oraz naturze jąder wykorzystywanych przez systemy mobilne. Specjaliści ds. bezpieczeństwa nie zgadzają się z DiBoną i martwi ich podejście Google'a do kwestii związanych z ochroną użytkowników. Dzisiaj szkodliwy kod dla Androida to jeden z największych problemów na rynku malware'u dla urządzeń przenośnych. W ciągu ostatnich 5 miesięcy zauważamy znaczący wzrost liczby szkodliwego oprogramowania dla Androida. W czerwcu odkryliśmy 112 modyfikacji, w lipcu 212, w sierpniu 161, we wrześniu 559, a w październiku 808 - mówi Denis Maslennikov, starszy analityk z Kaspersky Lab. Z kolei Trend Micro donosi o 1410 nowych fragmentach złośliwego kodu odkrytych w pierwszej połowie bieżącego roku. Malennikov podkreśla, że główną słabością Androida jest niedostateczna kontrola nad aplikacjami i brak mechanizmów, które zapobiegałyby umieszczaniu w Android Market zarażonych programów. Przypomina, że niektóre złośliwe aplikacje były rozpowszechniane za pomocą oficjalnego sklepu całymi tygodniami lub miesiącami, zanim zostały wykryte i usunięte. James Lyne, dyrektor ds. strategii w Sophosie mówi: Jeszcze nie czas, by panikować. Ale na pewno najwyższy czas, by zacząć się zabezpieczać, zamiast chować głowę w piasek i twierdzić, że nic złego się nie stanie, a urządzenia są w jakiś magiczny sposób bezpieczne.
  7. Juniper Networks ostrzega, że od lipca liczba szkodliwego kodu atakującego system Android wzrosła niemal pięciokrotnie. Nie widać też żadnych znaków spowolnienia aktywności cyberprzestępców, możemy się zatem spodziewać gwałtownego wzrostu liczby szkodliwych aplikacji. Aplikacje te tworzą zarówno zorganizowane grupy hakerskie, których aktywność od dawna widzimy na rynku PC, jak i ‚script kiddies", którzy ukrywają szkodliwy kod w oprogramowaniu - mówi Dan Hoffman z Junipera. Od lipca liczba szkodliwego kodu wzrosła o 472%, a większość tego wzrostu miała miejsce we wrześniu i październiku. Największe zagrożenie stanowią programy, w których ukryto szkodliwą zawartość. Niektóre z nich są pisane specjalnie, inne z kolei to szkodliwe wersje już istniejącego oprogramowania. Po przygotowaniu takiego programu przestępcy umieszczają go w oficjalnym Android Market lub na jednej z wielu witryn, z których można pobrać programy dla Androida. Gwałtowny wzrost szkodliwego kodu jest oczywiście związany z szybko rosnącą popularnością Androida. Ponadto Google, w przeciwieństwie do Apple'a, nie prowadzi ścisłej kontroli programów, które można uruchamiać pod kontrolą jego systemu operacyjnego. Stąd też użytkownicy iOS-a nie są tak bardzo narażeni na atak. To jednak, zdaniem Hoffmana, daje użytkownikom Androida wybór, gdyż mogą samodzielnie zdecydować czy i jaką ochronę zastosują, wybierając z szerokiej rynkowej ofery. Użytkownicy iOS-a muszą w kwestii bezpieczeństwa zdać się na Apple'a. Bardzo swobodna polityka jest też prowadzona w oficjalnym Android Market. Eksperci mówią, że w bieżącym roku przestępcy co najmniej trzykrotnie przeprowadzili ataki za jego pomocą. Miały one miejsce w marcu, czerwcu i lipcu, gdy udało im się umieścić szkodliwy kod w oficjalnym sklepie Google'a. Złośliwe programy zostały usunięte, jednak wcześniej pobrała je nieznana liczba użytkowników. Do jeszcze większej liczby ataków dochodzi za pośrednictwem sklepów nieoficjalnych, które są szczególnie popularne w Azji. Eksperci Junipera spekulują, że przestępcy, którzy dotychczas specjalizowali się w atakowaniu Symbiana czy Windows Mobile porzucili te platformy i atakują Androida. Taka decyzja nie powinna dziwić, gdyż rynkowe udziały Symbiana i Windows Mobile bardzo szybko spadają, podczas gdy popularność Androida rośnie.
  8. Izraelska firma Nyotron przygotowuje się do premiery przełomowej, jak twierdzi, technologii na rynku zabezpieczeń IT. Technologia Paranoid zrywa z obecnie wykorzystywanym paradygmatem zabezpieczeń, zgodnie z którym używamy oprogramowania antywirusowego, antyspamowego itp. Nie wymaga tworzenia i aktualizowania baz sygnatur szkodliwego kodu. U podstaw Paranoida leży nowy sposób prowadzenia analizy behawioralnej. Jak zapewnia Nyotron, Paranoid bezbłędnie rozróżnia działania „dobre" od „złych". Oprogramowanie działa w czasie rzeczywistym. Po zainstalowaniu staje się ono częścią systemu operacyjnego i skupia się całkowicie na analizie funkcji jądra. Podczas analizy wykorzystywany jest nowy język opracowany przez Nyotrona. Jest to podobno pierwszy język, który reprezentuje zasady kierujące działaniem aplikacji. Dzięki temu językowi Paranoid wie, jak w kontekście działania programu umieścić wszystkie podejmowane przezeń akcje. Potrafi też na każdym kolejnym kroku działania programu ocenić stwarzane przezeń zagrożenie. Paranoid rozumie porządek działań aplikacji, ich kontekst oraz zasady nimi rządzące.
  9. Agencja IARPA (Intelligence Advanced Research Projects Activity) sfinansuje zaawansowany projekt badawczy, którego celem jest opracowanie bezpiecznej technologii wytwarzania układów scalonych. Program TIC (Trusted Integrated Chips) ma umożliwić produkcję nowoczesnych chipów, a jednocześnie zapewnić maksymalną ochronę przed szpiegostwem przemysłowym. Zakłada on, że proces produkcji układów może zostać rozdzielony na dwa rodzaje fabryk. Pierwsze to Front-End-of-Line (FEOL), które zajmą się wstępną obróbką układów. Do grupy FEOL mogą należeć zakłady znajdujące się poza granicami USA. Z kolei grupa BEOL (Back-End-of-Line) będzie składała się z zaufanych fabryk pracujących na terenie USA. Takie rozwiązanie sprawi, że zakłady FEOL nie będą znały projektu chipa. FEOL będą obrabiały układ do nałożenia pierwszej warstwy metalizacji, która może zostać użyta do ukrycia prawdziwej architektury układu i jego wydajności, co pozwoli na ochronę własności intelektualnej projektanta. Można też założyć scenariusz, w którym FEOL tworzą jedynie część obwodów, a całość jest kończona w całkowicie bezpiecznych, zaufanych zakładach na terenie USA - czytamy w dokumentach IARPA. Zgodnie z założeniami TIC tak produkowane układy mają charakteryzować się najwyższą możliwą wydajnością, niemal 100-procentowym brakiem usterek oraz bezpieczeństwem wykonania. TIC ma być kompatybilny z najróżniejszymi rozwiązaniami, w których wykorzystuje się technologię CMOS. Rozpoczęty przez IARPA projekt badawczy potrwa przez pięć lat. W jego pierwszej fazie mają powstać układy produkowane w technologii 130 nanometrów. W ostatniej, trzeciej fazie, będzie wykorzystywana technologia 22 nanometrów. Koordynacją prac FEOL i BEOL zajmie się Sandia National Laboratories. IARPA powstała w 2006 roku z połączenia Disruptive Technology Office (NSA), National Technology Alliance (National Geospatial-Intelligence Agency) oraz Intelligence Technology Innovation Center (CIA). Jej zadaniem jest prowadzenie badań naukowo-technicznych na potrzeby różnych agend rządu USA oraz zapewnienie im przewagi technologicznej nad potencjalnym przeciwnikiem.
  10. Naukowcom z Virginia Tech udało się opracować nowatorską technologię bezpieczeństwa, która określa dostęp do danych zamykając je w... fizycznych granicach. Pomysł polega na nadawaniu smartfonom uprawnień w zależności od tego, gdzie się znajdują. Poza wyznaczonym obszarem dane byłyby całkowicie usuwane. Istnieją już urządzenia, które w pewnym ograniczonym zakresie korzystają z takich funkcji, ale żadne z nich nie pozwala na automatyczne usuwanie danych i nie daje całkowitej kontroli nad ustawieniami i aplikacjami dla smartfonów i tabletów - mówi Jules White, profesor na Wydziale Inżynierii Elektrycznej i Komputerowej. W praktyce może wyglądać to tak, że np. oficer będzie miał dostęp do tajnych informacji tylko w wyznaczonym pomieszczeniu. Będzie mógł do niego wejść ze smartfonem czy tabletem, zapoznać się z informacjami, a po wyjściu nie obawiać się zgubienia czy kradzieży urządzenia, gdyż po opuszczeniu pomieszczenia, wszystkie informacje zostaną automatycznie usunięte, a urządzenie nie będzie w stanie połączyć się ze źródłem informacji. Lekarze i pielęgniarki mogliby sprawdzać dane pacjentów tylko w określonych miejscach i nie mieliby możliwości ich wyniesienia na zewnątrz. Nowa technologia pozwoli też np. zdecydować, że w pewnych okolicznościach kamera smarfonu czy możliwość wysyłania SMS-ów mają być zablokowane. Można, na przykład, uniemożliwić działanie niektórych aplikacji na salach operacyjnych, dzięki czemu chirurg nie będzie rozpraszany, a pielęgniarka nie będzie mogła zrobić zdjęcia operowanemu. W ten sam sposób rodzice mogliby decydować kiedy i skąd dziecko może wysyłać SMS-y - dodaje uczony. Nowe oprogramowanie działa pod kontrolą systemu Android.
  11. Podczas konferencji Black Hat przedstawiciele Microsoftu ogłosili, że ich firma wypłaci 250 000 dolarów za zaprojektowanie najlepszej metody zabezpieczenia pamięci przed błędami. Główna nagroda za opracowanie nowatorskiej technologii ochrony podsystemu pamięci wynosi 200 000 USD. Konkurs Blue Hat ma w intencji Microsoftu nie tylko doprowadzić do stworzenia mechanizmów ochrony pamięci - takich jak np. DEP (Data Execution Prevention) - ale również skupić uwagę specjalistów zgromadzonych na Black Hat na szerszym problemie, a nie tylko na indywidualnych błędach w sprzęcie i oprogramowaniu. Ze szczegółowymi warunkami konkursu można zapoznać się na witrynie BlueHat Prize Contest. Zainteresowani mają czas na zaprezentowanie swoich osiągnięć do 1 kwietnia przyszłego roku. Zwycięzca konkursu zostanie ogłoszony podczas przyszłorocznej konferencji Black Hat. Zgłoszone technologie będą oceniane przez inżynierów Microsoftu. Za wpływ na bezpieczeństwo będzie można uzyskać do 40% punktów, kolejne 30% zostanie przyznane za funkcjonalność, a ostatnie 30% za odporność nowej technologii na ataki.
  12. Inżynierowe z MIT-u postanowili zabezpieczyć osoby z rozrusznikami serca i tym podobnymi urządzeniami przed potencjalnie śmiertelnym cyberatakiem. Na całym świecie miliony osób korzystają z wszczepionych defibrylatorów, rozruszników, pomp podających leki. Co roku 300 000 takich urządzeń trafia do ciał pacjentów. Wiele z nich posiada moduł łączności bezprzewodowej, dzięki czemu lekarze mogą zdalnie nadzorować stan pacjenta. Niestety, badania dowiodły, że możliwe jest przeprowadzenie ataku na takie urządzenie. W najgorszym przypadku napastnik może poinstruować je, by podało zbyt dużo leku lub zbyt duże napięcie, doprowadzając do śmierci właściciela. Badacze z MIT-u oraz University of Massachusetts-Amherst (UMass) pracują nad systemem, który zapobiega atakom. Ma on korzystać z drugiego nadajnika, który zagłusza nieautoryzowane sygnały nadawane na częstotliwości implantu. Tylko uwierzytelnieni użytkownicy mogą się połączyć z wszczepionym urządzeniem. Nadajnik będzie szyfrował transmisję i wymagał uwierzytelnienia. Dzięki temu, iż jest to osobne urządzenie, możliwe będzie wykorzystanie go przy już wszczepionych urządzeniach. Inżynierowe przewidują, że nadajnik, zwany przez nich tarczą, będzie na tyle mały, iż pacjent będzie go nosił jak naszyjnik lub zegarek. Urządzenie autoryzowane do łączności będzie przesyłało informacje do tarczy, ta je odszyfruje i prześle do urządzenia w ciele pacjenta. Obecnie stosowane implanty nie były projektowane z myślą o zapobieganiu atakom, zatem transmisja nie jest szyfrowane. Dina Katabi z MIT-u uważa, że i w przyszłości bardziej praktyczne będzie poleganie na zewnętrznym urządzeniu szyfrującym. Trudno jest wbudować mechanizmy szyfrujące w implanty. Są one bowiem naprawdę małe, więc ze względu na zużycie energii i ich architekturę, nie ma sensu wbudowywać weń mechanizmów szyfrujących - mówi Katabi. Co więcej, jak zauważa, mogłoby to być niebezpieczne. W sytuacji zagrożenia życia, gdy pacjent np. jest nieprzytomny, załoga karetki pogotowia mogłaby nie być w stanie połączyć się z implantem i sprawdzić jego danych lub wysłać doń instrukcji. Jeśli zaś wykorzystamy zewnętrzne urządzenie, jak wspomniana tarcza, to wystarczy, by ratownicy odsunęli je od pacjenta. Katabi pracuje nad tarczą wraz ze swoimi dwoma studentami oraz Kevinem Fu, profesorem z UMass i jego studentem Benem Ransfordem. Wykorzystują oni używane defibrylatory otrzymane od szpitali z Bostonu. Katabi wyjaśnia, że kluczowym elementem systemu jest nowa technika, która pozwala tarczy na jednoczesne wysyłanie i odbieranie sygnałów w tym samym paśmie częstotliwości. Standardowe urządzenia bezprzewodowe tego nie potrafią. Ostatnio uczeni z Uniwersytetu Stanforda zaprezentowali tego typu system, jednak wymaga on użycia trzech anten, których odległość od siebie zależy od częstotliwości sygnału. Dla urządzeń medycznych anteny musiałyby znajdować się w odległości 0,5 metra jedna od drugiej. Zespół z Massachusetts opracował system korzystający z dwóch anten, a dzięki odpowiedniemu przetwarzaniu sygnałów nie jest konieczne, by były one od siebie oddalone.
  13. Eksperci z firmy NSS Labs odwołali, na prośbę amerykańskich agend rządowych oraz Siemensa, zapowiadaną prezentację dotyczącą przemysłowych systemów kontroli SCADA. Podczas konferencji TakeDown w Dallas Dillon Beresford miał wygłosić odczyt pt.Chain reactions - hacking SCADA. Zapowiadano, że zostaną podczas niego zaprezentowane techniki skutecznego ataku na najlepiej chronione systemy przemysłowe na świecie oraz przedstawiona będzie instrukcja jak stworzyć wyspecjalizowane złośliwe oprogramowanie bez dostępu do sprzętu na którym uruchomiony jest system SCADA. Beresford to bardzo doświadczony specjalista. Przeprowadził on m.in. szeroko zakrojone badania systemów używanych w Chinach i wykazał, że nawet tajne sieci rządowe są podatne na atak. Teraz Rick Moy, jeden z menedżerów NSS Labs poinformował, że przedstawiciele amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego oraz Siemensa zgłosili poważne zastrzeżenia, wskazując na niebezpieczeństwa związane z prezentacją Beresforda. Dlatego też zdecydowano się odwołać jego wystąpienie. W przeszłości zdarzało się, że pod adresem specjalistów chcących ujawnić niedociągnięcia w systemach jakichś firm kierowano poważne ostrzeżenia prawne. Moy zapewnia jednak, że w tym przypadku nie było mowy o takiej sytuacji i prawnicy nie byli zaangażowani. Nie chowamy tych informacji na stałe. Tymczasowo wstrzymujemy się z ich upublicznieniem. Nie chcemy, by przedostały się one do opinii publicznej zanim właściciele systemów SCADA nie będą w stanie poprawić błędów - mówi Moy i dodaje, że nikt nie wywierał nacisków. Oni powiedzieli, że to zależy od nas, podali nam tylko liczbę instalacji kontrolowanych przez SCADA oraz poinformowali, gdzie się one znajdują.
  14. KopalniaWiedzy.pl

    TISSA zabezpiecza Androida

    Rosnąca popularność smartfonów wywołuje coraz większe obawy o prywatność użytkowników i ich bezpieczeństwo. Grupa uczonych z North Carolina State University opracowała narzędzie, która daje użytkownikom systemu Android większą kontrolę nad tym, co dzieje się z ich telefonem. W dokumencie Taming Information-Stealing Smartphone Applications for Android [PDF] uczeni opisują oprogramowanie, które jest pośrednikiem pomiędzy smartfonem a zainstalowanym na nim aplikacjami. Narzędzie to pozwala użytkownikowi na konfigurowanie zezwoleń dla każdej aplikacji tak, by miała ona tylko i wyłącznie taki dostęp do prywatnych informacji użytkownika, na jaki ten wyraził zgodę. Ponadto użytkownik ma też możliwość dostarczenia aplikacjom nieprawdziwych informacji na temat np. swojej lokalizacji. Niestety, narzędzia stworzonego na NCSU nie znajdziemy w Android Market, gdyż jest to jedynie prototyp badawczy. TISSA pozwala na bardzo precyzyjne ustalenie, danych do jakich ma dostęp konkretna aplikacja. Gdy jakiś program poprosi o dostęp do danych, użytkownik będzie mógł zdecydować, czy może go uzyskać, czy ma korzystać z danych fałszywych, z takich, z których usunięto wszelkie informacje osobiste, czy też w ogóle nie może korzystać z żadnych informacji. TISSA zostało przetestowana na telefonie Nexus One z aplikacjami, o których wiadomo, że udostępniają na zewnątrz dane użytkownika. Jego twórcy twierdzą, że bardzo dobrze się sprawdziło.
  15. KopalniaWiedzy.pl

    Z SSD nie można bezpiecznie usunąć danych

    SSD powoli zdobywają popularność i odbierają rynek HDD. Wciąż są od nich sporo droższe, jednak szybszy transfer danych i większa niezawodność przekonują do tych urządzeń coraz więcej osób. Okazuje się jednak, że SSD mają poważną wadę, która jest szczególnie ważna dla przedsiębiorstw czy agend rządowych. Badania przeprowadzone przez naukowców z Laboratorium Systemów Nieulotnych (Non-Volatile Systems Laboratory - NVSL) z Uniwersytetu Kalifornijskiego w San Diego dowodzą, że z SSD znacznie trudniej jest usunąć dane niż z HDD. Ma to olbrzymie znaczenie, gdy chcemy pozbyć się starego SSD. Nasze badania dowodzą, że naiwne zastosowanie w SSD technik przeznaczonych do skutecznego usuwania danych z HDD, takich jak nadpisywanie czy używanie wbudowanych komend bezpiecznego kasowania, jest nieskuteczne i czasem może powodować, iż dane pozostaną nietknięte. Co więcej, niszczenie informacji zawartych w pojedynczym pliku jest znacznie trudniejsze na SSD niż na tradycyjnych dyskach twardych - czytamy w raporcie z badań. Podczas jednego z eksperymentów wobec plików zastosowano 14 różnych metod usuwania danych. Wykorzystano m.in. algorytmy amerykańskich sił zbrojnych (US DoD 5220.22-M, US Air Force 5020, US Army AR380-19), rosyjski GOST P50739-19, brytyjski HMG ISS, Schneier 7 Pass i inne. Żaden z nich nie usunął pliku całkowicie, pozostawiając na SSD od 10 do 1000 megabajtów informacji. Uczeni z NVSL pracują teraz nad technikami, które umożliwią dokładne kasowanie danych z SSD. Ostrzegają, że dopóki technologie takie nie zostaną opracowane, właściciele SSD powinni zachowywać szczególną ostrożność podczas pozbywania się dysków wykorzystywanych do przechowywania istotnych danych.
  16. KopalniaWiedzy.pl

    Android - mniej bezpieczny bo opensource'owy?

    Android, jako że jest platformą opensource'ową, jest bardziej narażony na ataki hakerów i działanie szkodliwego kodu od Apple'owskiego iOS. Tak przynajmniej uważa Steve Chang, szef Trend Micro, największego na świecie producenta systemów zabezpieczających dla serwerów korporacyjnych. Android jest opensource'owy, co znaczy, że przestępcy mogą również poznać jego architekturę i kod źródłowy - mówi Chang i dodaje, że niektóre typy szkodliwego kodu nie mogą działać na iOS. Szef Trend Micro jest pewien, że użytkownicy Androida będą musieli stosować coraz więcej oprogramowania zabezpieczającego. Smartfony to kolejne pecety i gdy zostaną szeroko zaakceptowane w przedsiębiorstwach, ochrona danych stanie się kluczowym problemem - stwierdził Chang. Warto tutaj wspomnieć, że przed tygodniem w ofercie Trend Micro znalazła się aplikacja Mobile Security for Android. Jej zadaniem jest blokowanie szkodliwego kodu. Producent sprzedaje ją w cenie 3,99 USD.
  17. KopalniaWiedzy.pl

    Superdrogi - bezpieczniejsze i szybsze

    Uczeni z North Carolina State University wykonali najszerzej zakrojone w historii badania ruchu na tzw. superdrogach (superstreet). Wykazały one, że specyficzna architektura tych dróg powoduje, że czas podróżny znacząco się skraca i dochodzi na nich do mniejszej liczby wypadków. Superdrogi projektowane są tak, że kierowcy z bocznych dróg, chcący skręcić w lewo, najpierw muszą pojechać w prawo. Zaraz za miejscem, w którym z superdrogą łączy się droga boczna, zaczyna się pas przeznaczony do zawracania. Kierowca, pragnący z drogi bocznej pojechać w lewo, wjeżdża na superdrogę skręcając w prawo, następnie przez kilkadziesiąt metrów jedzie pasem do zawracania i w wyznaczonym miejscu zawraca. "Badania wykazały, że taka architektura, w porównaniu z drogami o tradycyjnych skrzyżowaniach, pozwala na skrócenie czasu potrzebnego na przebycie skrzyżowania o 20%. Odkryliśmy również, że na skrzyżowaniach superdróg dochodzi do 46% mniej wypadków i 63% mniej wypadków, w których zostają poszkodowani ludzie, w porównaniu z tradycyjnymi drogami" - mówi jeden z badaczy, profesor Joe Hummer. Wszystkie badania przeprowadzono na skrzyżowaniach wyposażonych w sygnalizację świetlną.
  18. KopalniaWiedzy.pl

    Windows bezpieczniejszy od Mac OS X?

    Eksperci z Panda Labs twierdzą, że system Mac OS X jest obecnie mniej bezpieczny niż Windows. Do takich wniosków skłoniła ich rosnąca liczba luk i szkodliwego kodu atakującego system Apple'a. Jeszcze w 2009 roku w systemie Mac OS X odkryto 34 dziury. W bieżącym roku liczba ta wzrosła do 175. Ponadto platforma Apple'a może być zaatakowana jednym ze 170 000 wirusów makr dla Windows. Istnieje też 5000 rodzin szkodliwych kodów, które powstały specjalnie z myślą o atakowaniu Mac OS X. Ivan Fermon, wiceprezes Panda Labs stwierdził: "Możemy dzisiaj nawet powiedzieć, że system Windows jest bezpieczniejszy od systemu Mac, ponieważ Microsoft od wielu lat pracuje nad bezpieczeństwem swoich produktów". Dodaje przy tym, że "jako, że system Apple'a nie został jeszcze poważne zagrożony, może się okazać, że zawiera on błędy, o których jeszcze nie wiemy, a one mogą być wykorzystywane podczas ataków typu zero-day, podobnych do tych, przeprowadzanych przeciwko Windows". O problemach z bezpieczeństwem systemu Mac OS X mówi się od kilku lat. Zaczęto na nie zwracać uwagę, gdy Mac OS X zyskiwał coraz większe udziały rynkowe. Wówczas okazało się, że system, o którym mówiono niegdyś, że jest najbezpieczniejszy na świecie, boryka się z poważnymi problemami. Już w roku 2007 dziennikarze serwisu ZDNet opublikowali alarmujące statystyki. Wynikało z nich, że o ile przez cały rok w Mac OS X nie pojawiła się żadna skrajnie krytyczna luka (w Windows XP i Vista były w tym czasie 4 takie dziury), to już luk wysoce krytycznych było 234 (w Windows 23), umiarkownie krytycznych 2 (w Windows 3) i 7 mało krytycznych (w Windows 4).
  19. KopalniaWiedzy.pl

    BLADE na ataki

    Na Georgia Institute of Technology powstało oprogramowanie BLADE, które chroni przed infekcjami dokonywanymi za pomocą coraz popularniejszej techniki "drive-by downloads". Technika ta, ogólnie mówiąc, polega na wgraniu na komputer ofiary, bez jej wiedzy i zgody, szkodliwego oprogramowania. W sieci istnieją setki tysięcy witryn, które działają w taki sposób. Bardzo często są to zaufane witryny, które same wcześniej padły ofiarą cyberprzestępców. BLADE (Block All Drive-By Download Exploits) jest oprogramowaniem niezależnym od przeglądarki i zużywającym niewiele zasobów komputera. Jego twórcami są Wenke Lee i Long Lu z Georgia Tech oraz Philip Porras i Vinod Yeneswaran z SRI International. Prace nad BLADE sfinansowały amerykańska Narodowa Fundacja Nauki, Biuro Badań Armii Amerykańskiej oraz Amerykańskie Biuro Badań Morskich, które koordynuje prace naukowe Marynarki Wojennej i Korpusu Marines. BLADE to skuteczny środek zwalczania wszelkich typów ataków drive-by downloads, ponieważ działa niezależnie od wykorzystywanych przez nie luk w oprogramowaniu - mówi jego twórcy. Przetestowali oni BLADE w różnych konfiguracjach programowych i sprzętowych, zarówno na komputerach z zainstalowanym Firefoksem jak i Internet Explorerem. BLADE zablokował wszystkie ataki z ponad 1900 testowanych witryn serwujących szkodliwe oprogramowanie. Nie wywołał przy tym żadnego fałszywego alarmu. Działanie programu porównano ze skutecznością najpopularniejszych programów antywirusowych. Okazało się, że są one w stanie średnio zablokować mniej niż 30% ataków. BLADE monitoruje i analizuje wszystko, co jest pobierane na twardy dysk i sprawdza, czy użytkownik wydał zgodę na otwarcie, uruchomienie bądź przechowywanie pliku. Jeśli test wypadnie negatywnie, BLADE blokuje dany plik i usuwa go z dysku twardego - wyjaśnia Lee. Jako, że ataki drive-by downloads najczęściej pomijają etap wyświetlania przez przeglądarkę alertu i zapytania użytkownika, czy życzy sobie pobrania lub uruchomienia danego pliku, BLADE sprawdza w jaki sposób użytkownik współpracuje z pobieranymi plikami. Oprogramowanie przechwytuje wszystkie okienka dialogowe dotyczące zgody na pobranie lub uruchomienie pliku, analizuje je i sprawdza, jak użytkownik zareagował na ich pojawienie się. Ponadto wszystkie pliki przechowywane są w zabezpieczonej strefie na dysku twardym tak, by BLADE miało do nich łatwy dostęp i mogło zablokować pliki w razie potrzeby. Zastosowano też zabezpieczenia, które uniemożliwiają wgranie pliku poza zabezpieczoną strefę. Użytkownik BLADE ma też możliwość stworzenia "białej listy" zaufanych witryn, z których pliki nie są przez sprawdzane. Testy BLADE wykazały przy okazji, że najczęstszym celem ataków drive-by downloads są Adobe Reader, Adobe Flash oraz Java. Ponadto maszyny z IE6 są częściej infekowane niż komputery z IE7 lub IE8, a Firefox 3 rzadziej pada ofiarą ataków niż wszystkie wersje Internet Explorera. Twórcy BLADE zauważają jednak, że program nie jest odporny na techniki inżynierii społecznej i wciąż człowiek pozostaje najsłabszym elementem systemów bezpieczeństwa. BLADE wymaga, by przeglądarka była skonfigurowana w taki sposób, żeby do pobrania wykonywalnego pliku konieczna była zgoda użytkownika. Jeśli opcja taka zostanie wyłączona, BLADE nie będzie w stanie chronić komputera - mówi Lee.
  20. KopalniaWiedzy.pl

    Wikileaks, wolność słowa a bezpieczeństwo

    Sędzia amerykańskiego Sądu Najwyższego, Sonia Sotomayor, została zapytana przez studenta z Denver o kwestie dotyczące wolności słowa i bezpieczeństwa. Pani sędzia uchyliła się od odpowiedzi twierdząc, że prawdopodobnie będzie musiała to oficjalnie rozstrzygać. Jej zdaniem ujawnienie tajnych materiałów przez Wikileaks prawdopodobnie skończy się tym, że Kongres USA uchwali ustawy dotyczące kwestii wolności słowa i bezpieczeństwa narodowego. Ze względu na wyjątkową materię, o ustawach tych będzie wypowiadał się Sąd Najwyższy. Warto tutaj wspomnieć, że Pierwsza Poprawka do Konstytucji USA zabrania Kongresowi uchwalania praw, które ograniczałyby wolność słowa. Jeśli zatem parlamentarzyści w jakikolwiek sposób spróbują, w imię bezpieczeństwa, ograniczyć wolność wypowiedzi, dojdzie do poważnych sporów. Sędzia Sotomayor przypomniała, że dyskusja na temat równowagi pomiędzy bezpieczeństwem a wolnością wypowiedzi toczy się w USA od lat i nie jest niczym niezwykłym. Aferę związaną z Wikileaks porównała do wydarzeń z 1971 roku, gdy The New York Times opublikował tajne studium Pentagonu dotyczące wojny w Wietnamie. Wcześniej Sąd Najwyższy odrzucił wniosek Departamentu Obrony o zablokowanie publikacji.
  21. KopalniaWiedzy.pl

    Pozew o ciasteczka-zombie

    Do Sądu Okręgowego w San Francisco trafił pozew przeciwko wielkim witrynom wykorzystującym technologię tzw. zombie cookies. W pozwie wymieniono m.in. ABC, MySpace, MTV czy ESPN oraz firmę Quantcast, twórcę ciasteczek-zombie. Cookies takie, zwane są też Flash cookies, gdyż ich działanie polega na tym, że informacje przechowywane są nie tylko w tych katalogach, do których zwykle trafiają ciasteczka, ale również w Adobe Flash Playerze. Skutek jest taki, że po wykasowaniu cookies z komputera... pojawiaj się one ponownie, użytkownik jest zatem nadal śledzony, mimo iż wyraźnie dał do zrozumienia - kasując cookies - że sobie tego nie życzy. Jedynym sposobem na ich pozbycie się jest wykasowanie cookies oraz usunięcie Flash Playera. Później może go ponownie zainstalować. Jednak złożenie wizyty na którejś z witryn używających Flash cookies oznacza, że znowu będziemy musieli usuwać Flash Playera. Zombie cookies nie są kontrolowane przez przeglądarkę, a więc nawet jeśli odmawiamy przyjmowania cookies, te akurat zostaną zainstalowane na naszym komputerze. Jako, że Flash Player jest zainstalowany na około 98% komputerów, można stwierdzić, że problem zombie cookies dotyczy wszystkich internautów.
  22. KopalniaWiedzy.pl

    Papier i blaszka forsują "bezpieczne" zamki

    Marc Tobias zaprezentował banalnie proste sposoby na przełamanie zabezpieczeń jednych z najlepszych zamków biometrycznych. Może i zdobywają one nagrody, ale brak im podstawowych zabezpieczeń. Są sprytne, ale nie są bezpieczne - powiedział dziennikarzom AFP, którzy przyglądali się, jak Tobias pokonuje jedne z najlepszych zamków. Ofiarą eksperta padł m.in. Biolock 333, który skanuje odciski palców i wpuszcza tylko autoryzowane osoby. Tobias otworzył go... kawałkiem papieru wepchniętym w szczelinę na klucz. Z kolei otwierany cyfrowym kodem Amsec EX1014 poddał się po wsunięciu z szczelinę drzwi cienkiego paska metalu i naciśnięciu nim znajdującego się wewnątrz zamka guzika resetującego kody. Marc Tobias wraz ze swoim kolegą Tobiasem Bluzmanisem pokazali również, jak można oszukać zdobywający liczne nagrody fiński zamek iLoq. Działa on w ten sposób, że w czasie wkładania klucza do zamka generowana jest energia elektryczna, za pomocą której sprawdzany jest kod bezpieczeństwa w chipie umieszczonym w kluczu. Tylko posiadacz uwierzytelnionego klucza może otworzyć drzwi. Kod jest natychmiast resetowany po wyjęciu klucza z zamka, gdyż wewnątrz zamka znajduje się niewielki haczyk, który jest uruchamiany przez klucz. Atak, który może być przeprowadzony przez osobę z zewnątrz, polega na pożyczeniu klucza i lekkim opiłowaniu czubka, by nie dotykał haczyka. Następnie za pomocą zestawu narzędzi, które w USA można kupić za około 60 USD można zniszczyć haczyk, uzyskując dostęp do pomieszczenia chronionego zamkiem iLoq. Bez wspomnianego haczyka zamek można otworzyć każdym kluczem lub nawet śrubokrętem, gdyż bez przeprowadzenia resetu pozostaje on w pozycji otwartej. Dodatkową zaletą tej metody jest fakt, że iLoq zapisuje, kto i kiedy wchodził do chronionego pomieszczenia. Po zniszczeniu haczyka ostatni wpis dotyczyłby osoby, od której włamywacz pożyczył klucz.
  23. KopalniaWiedzy.pl

    Niebezpieczne systemy SCADA

    Odkryta niedawno luka w windowsowych plikach .lnk, która jest wykorzystywana do atakowania przemysłowych systemów SCADA, zwiększyła zainteresowanie bezpieczeństwem samych systemów. Okazało się bowiem, że przeprowadzenie ataku jest możliwe dzięki dziurze w SCADA o której producent systemu, Siemens, wiedział od dwóch lat. Na konferencji Black Hat poinformowano o wielu innych "grzechach" tych systemów. SCADA są używane do zarządzania elektrowniami, rafineriami czy ruchem kolejowym. Jak stwierdził występujący na Black Hat Jonathan Pollet z Red Tiger Security, systemy SCADA często zawierają liczne błędy oraz niepotrzebne oprogramowania, które wystawia je na kolejne ryzyko. Pollet przeanalizował systemy używane w 120 ważnych instalacjach przemysłowych i odkrył w nich 38 753 luki. Co gorsza okazało się, że średnio upływa 331 dni pomiędzy dniem ujawnienia istnienia luki w danym oprogramowaniu, a jej odkryciem przez zarządzających systemem SCADA. W jednym z badanych przypadków Pollet trafił na lukę, która była znana od trzech lat zanim znaleziono ją w środowisku SCADA. Niemal w każdym z analizowanych systemów Pollet znalazł niepotrzebne oprogramowanie, takie jak komunikatory, bazy danych serwisów randkowych czy serwery gier online. Badania pokazały, że systemy SCADA są znacznie mniej bezpieczne niż systemy korporacyjne. W ich przypadku nie przewiduje się bowiem planowanych wyłączeń, a więc instalowanie łat czy przeprowadzanie okresowych prac konserwacyjnych jest trudne.
  24. KopalniaWiedzy.pl

    Broniąc kolegi będą szkodzić Microsoftowi

    Grupa anonimowych specjalistów ds. bezpieczeństwa opublikowała szczegóły znalezionej przez siebie dziury. Zrobili to, jak mówią, w proteście przeciwko temu, jak Microsoft potraktował ich kolegę. Wspomniana luka znajduje się w systemach Windows Vista i Windows Server 2008. Pozwala na uzyskanie nieautoryzowanego dostępu do systemu oraz doprowadzenie do jego awarii. Microsoft, którego specjaliści badają wspomnianą dziurę, twierdzi, że nie jest ona groźna, gdyż do jej wykorzystania konieczny jest fizyczny dostęp do maszyny bądź tez wcześniejsze przejęcie nad nią kontroli za pomocą innej dziury. Z oceną Microsoftu zgadzają się eksperci Secunii, którzy nadal jej drugi najniższy stopień zagrożenia w swojej pięciostopniowej skali. Jednak w całym tym wydarzeniu najważniejsza nie jest dziura, a postawa anonimowych badaczy. Założyli oni grupę o nazwie Microsoft-Spurned Researcher Collective (MSRC), której skrót wyraźnie nawiązuje do Microsoft Security Response Center, wydziału odpowiedzialnego w Redmond za wykrywanie zagrożeń i przygotowywanie łat. Anonimowych badaczy, na razie jest ich sześciu, oburzył fakt, że Microsoft skrytykował Tavisa Ormandy'ego, który ujawnił informację o znalezionej przez siebie dziurze jeszcze przed jej załataniem. Działanie Ormandy'ego nie spodobało się też części ekspertów oraz prasie, a dodatkowa fala krytyki uderzyła w niego, gdy okazało się, że przestępcy, korzystając z jego informacji, zaatakowali ponad 10 000 komputerów. Członkom Microsoft-Spurned Researcher Collective szczególnie nie spodobał się fakt, iż zarówno Microsoft jak i prasa powiązały działania Ormandy'ego z faktem, że pracuje w Google'u. Dlatego też członkowie MSRC zapowiadają, że w czasie wolnym od swoich obowiązków zawodowych i bez związku z tym, gdzie są zatrudnieni, będą szukali luk w programach Microsoftu i mają zamiar ujawniać szczegóły na ich temat. Zachęcają też innych, by przyłączali się do ich grupy.
  25. KopalniaWiedzy.pl

    Niebezpieczne aplikacje?

    Eksperci z firmy Smobile Systems twierdzą, że co piąta aplikacja dla Androida nie zapewnia bezpieczeństwa. Ich zdaniem aż 20% z 48 000 dostępnych na rynku programów pozwala osobie trzeciej na dostęp do prywatnych danych użytkownika. Niektóre z tych aplikacji mogą nawet dzwonić czy wysyłać SMS-y bez wiedzy właściciela urządzenia. Ponadto ponad 5% jest w stanie bez jego zgody wykonywać połączenia z bardzo drogimi numerami premiuim. Dan Hoffman z SMobile Systems ostrzega, że sam fakt, iż aplikacja została pobrana z zaufanych miejsc, jak sklepy dla Androida czy Apple App Store nie oznacza, że jest bezpieczna. Warto jednak wziąć pod uwagę, że SMobile Systems jest sprzedawcą systemów spyware'owych co może budzić wątpliwości odnośnie intencji autorów raportu.
×