Pozew o ciasteczka-zombie
dodany przez
KopalniaWiedzy.pl, w Technologia
-
Podobna zawartość
-
przez KopalniaWiedzy.pl
Każde oprogramowanie zawiera błędy, ale jak mogliśmy się dowiedzieć podczas konferencji Black Hat Europe, najwięcej błędów zawiera oprogramowanie tworzone przez instytucje państwowe lub na ich potrzeby.
Chris Wysopal z firmy Veracode, która specjalizuje się w wyszukiwaniu dziur w programach, poinformował o wynikach badań przeprowadzonych pomiędzy drugą połową roku 2010 a końcem roku 2011.
W tym czasie jego firma przeanalizowała 9910 różnych aplikacji. Eksperci stwierdzili, że 80% programów nie spełnia wymagań bezpieczeństwa firmy Veracode. Oprogramowanie tworzone dla instytucji państwowych wypadło znacznie gorzej, niż programy komercyjne. Okazało się bowiem, że jedynie 16% stworzonych przez rząd i dla rządu aplikacji sieciowych można było uznać za bezpieczne z punktu widzenia standardów OWASP (Open Web Application Security Project). Dla sektora finansowego odsetek ten wynosił 24%, a dla innego komercyjnego oprogramowania - 28%.
Z kolei do wyników badań innych programów niż programy sieciowe posłużono się kryteriami opracowanymi przez SANS Institute. Za bezpieczne uznano 18% oprogramowania rządowego, 28% oprogramowania finansowego i 34% innego oprogramowania komercyjnego.
Rząd zachowuje się tak, jakby bezpieczeństwo było problemem sektora prywatnego i próbuje go ściśle regulować. Jeśli jednak bliżej się temu przyjrzymy to okazuje się, że sektor prywatny jest zdecydowanie bardziej bezpieczny niż sektor rządowy - mówi Wysopal.
Aż 40% aplikacji sieciowych wytworzonych dla agend rządowych było podatnych na ataki SQL injection. Dla sektora finansowego odsetek ten wynosił 29%, a dla oprogramowania komercyjnego 30%. Na ataki typu XSS (cross-site scripting) narażonych było 75% rządowych aplikacji sieciowych, 67% aplikacji wytworzonych przez sektor finansowy oraz 55% aplikacji komercyjnych.
Alan Paller, dyrektor ds. badań w SANS Institute mówi, że przyczyną takiego stanu rzeczy jest to, iż sektor prywatny karze firmy za błędy, a sektor rządowy je nagradza. Jeśli przedsiębiorstwo stworzy komercyjne oprogramowanie zawierające błędy, to ryzykuje utratę klientów oraz dobrego imienia, co wpłynie na jego wyniki finansowe w przyszłości. Jeśli zaś napisze wadliwe oprogramowanie dla sektora rządowego, to zostanie nagrodzone kolejnym kontraktem na poprawienie tego oprogramowania. Nie twierdzę, że nie próbują wykonać swojej pracy właściwie. Ale w ten sposób działa system nagród i zachęt - mówi Paller. To powoduje, że błędy w oprogramowaniu rządowym istnieją nawet wówczas, gdy zanikają w oprogramowaniu komercyjnym. Specjaliści od dwóch lat obserwują spadek odsetka dziur typu SQL injection i XSS w oprogramowaniu komercyjnym. W programach rządowych nic się w tym zakresie nie zmieniło.
Wszystkie powyższe dane dotyczą USA.
-
przez KopalniaWiedzy.pl
Zaoferowana przez Google’a nagroda za złamanie zabezpieczeń Chrome’a zachęciła hackerów do działania. Przeglądarka Google’a jako pierwsza poddała się uczestnikom konkursu Pwn2Own. W ubiegłym roku żaden z hackerów nie próbował się do niej włamać. Tym razem było inaczej i nie pomogło łatanie przeglądarki na kilka dni przed konkursem. Współzałożyciel francuskiej firmy VUPEN Chaouki Bekrar i jego zespół wykorzystali dwie dziury typu zero-day w Chrome do przejęcia kontroli nad komputerem z w pełni załatanym 64-bitowym Windows 7.
Bekrar powiedział, że znalezienie dziur i napisanie odpowiedniego kodu zajęło 6 tygodni. Musieliśmy użyć dwóch dziur. Za pomocą pierwszej obeszliśmy technologie zabepieczające DEP i ASLR w Windows, a druga umożliwiła nam wyjście poza „piaskownicę“ Chrome’a. Nie chciał zdradzić, czy luka działa na kodzie Google’a czy firmy trzeciej. To była dziura typu use-after-free [związana z nieprawidłowa alokacją pamięci po jej zwolnieniu - red.] w domyślnej instalacji Chrome’a. Nasz kod działa na domyślnej instlacji, więc nie ma znaczenia, czy wykorzystuje on [dostarczony wraz z przeglądarką - red.] kod firmy trzeciej - mówi.
Podczas demonstracji Bekrar stworzył spreparowaną witrynę, a gdy odwiedzono ją za pomocą komputera wyposażone w Chrome, doszło do automatycznego ataku i otwarcia Kalkulatora poza „piaskownicą“. Nie jest wymagana żadna interakcja ze strony użytkownika, żadne dodatkowe kliknięcia. Wchodzimy na stronę i program jest uruchamiany.
Bekrar pochwalił jednocześnie Chrome’a. Jego zdaniem Google stworzył bardzo bezpieczny sandbox i Chrome jest jedną z najbezpieczniejszych przeglądarek.
Drugą przeglądarką, która poddała się atakom, była Safari zainstalowana w systemie Mac OS X. Również i ona padła ofiarą ekspertów z VUPEN. Atak przeprowadzono w zaledwie 5 sekund, co każe poważnie zastanowić się nad prawdziwością poglądu, jakoby Mac OS X był bezpieczniejszy od Windows. Zdaniem hackerów, wcale tak nie jest. System Apple’a nie dość, że korzysta tylko z technologii ASLR, a nie używa DEP, to dodatkowo jest ona źle zaimplementowana. Ataku na Safari dokonano za pośrednictwem silnika WebKit, który zawiera wiele dziur. Co prawda z WebKita korzysta też Chrome, jednak Google znacznie poprawił kod silnika, dzięki czemu jego przeglądarka jest bezpieczniejsza.
-
przez KopalniaWiedzy.pl
Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) poinformowała o zbudowaniu około 100 „ultrabezpiecznych“ smartfonów z systemem Android. Urządzenia Fishbowl powstały w oparciu o standardowe ogólnodostępne podzespoły i są na tyle bezpieczne, że pozwalają agentom na prowadzenie rozmów na tajne tematy.
Margaret Salter z NSA, przemawiając podczas konferencji RSA powiedziała, że połączenia są prowadzone za pośrednictwem komercyjnej infrastruktury, a mimo to dane pozostają bezpieczne. Przyznała jednocześnie, że napotkano poważne kłopoty podczas budowy urządzeń, a ich główną przyczyną był brak kompatybilności pomiędzy produktami różnych firm. Z tego też powodu wykorzystano np. IPSEC a nie SSL VPN. Zdecydowano się na większą liczbę tego typu kompromisów, jednak ogólne bezpieczeństwo smartfonów nie doznało przez to uszczerbku. Potrzebowaliśmy aplikacji głosowej, która obsługiwałaby DTLS, Suite B oraz SRTP, ale nie mogliśmy takiego kupić. Przemysł bardziej skupia się na Session Description Protocol, więc zdecydowaliśmy się na to rozwiązanie - powiedziała Salter.
-
przez KopalniaWiedzy.pl
Kara, którą sam sobie wymierzył Google, okazała się dotkliwa dla przeglądarki Chrome. Jej rynkowe udziały spadły, zyskały natomiast Internet Explorer i Firefox.
Jeszcze w grudniu dotychczasowy trend wśród przeglądarek utrzymywał się. Chrome zyskiwał, jego najwięksi konkurenci tracili. W listopadzie, według Net Applications, do IE należało 52,64% rynku, a w grudniu odsetek ten spadł do 51,87%. W tym samym czasie udziały Firefoksa zmniejszyły się z 22,14% do 21,83%. Chrome zwiększył swój stan posiadania z 18,18% do 19,11%.
Jednak na początku stycznia Google ukarał się za wpadkę z płatnymi linkami w swojej wyszukiwarce zmniejszając Page Rank witryny Chrome’a do 0.
Od razu zyskał na tym Internet Explorer, którego udziały zwiększyły się do 52,96%. Firefox znowu spadł do 20,88%, ale spadły też udziały Chrome’a, który stracił 0,17 punkta procentowego. W lutym udziały Chrome’a zmniejszyły się do 18,90%. Spadł też - o 0,12 pp - Internet Explorer. Zyskał za to Firefox, do którego należy obecnie 20,92% rynku.
Obserwując rynkowe trendy można stwierdzić, że gdyby Google się nie ukarał, to w lutym miałby szansę ostatecznie przegonić Firefoksa i zostać drugą najpopularniejszą przeglądarką na świecie.
-
przez KopalniaWiedzy.pl
Google postanowiło wyjaśnić kwestię technologii P3P i jej pomijania przez liczne wiryny, co skutkuje umieszczaniem w przeglądarce Internet Explorer cookies, które wbrew intencjom użytkownika mogą zbierać o nim informacje. P3P została zaimplementowana w IE w 2002 roku. Wówczas nie sprawiała ona większych problemów, jednak obecnie nie jest ona kompatybilna ze współczesnymi cookies.
Powoduje to, że jej ścisłe przestrzeganie prowadzi do poważnego obniżenia funkcjonalności witryn. Jak twierdzą przedstawiciele Google'a, nie jest możliwe jednoczesne przestrzegania zaleceń P3P i korzystanie z przysku "Like" Facebooka czy też logowanie się do witryn za pomocą konta w serwisach Google'a. To powoduje, że wiele witryn nie uzywa technologii P3P w sposób zgodny z wymaganiami Internet Explorera. W 2010 roku badacze z Carnegie Mellon stwierdzili, że 11 176 spośród zbadanych przez nich 33 139 witryn nie używa P3P w sposób wymagany przez Microsoft. Co więcej, zaleceń koncernu z Redmond nie przestrzega sam Microsoft na stronach live.com czy msn.com. Co więcej, badacze stwierdzili, że na witrynie pomocy technicznej Microsoftu zalecono korzystanie z nieważnych tagów CP jako sposobu na obejście problemów z IE.
Zarówno eksperci jak i sam Microsoft od dłuższego czasu wiedzą, że technologia P3P jest bardzo skomplikowanym sposobem blokowania cookies. Nigdy nie zdobyła ona popularności, co zapewne spowodowało, że nie została dostosowana przez W3C do wymagań współczesnego internetu. Jest używana tylko przez Internet Explorera.
Google przyznaje, że nie przestrzega zaleceń P3P, gdyż wówczas nie działałby np. przycisk +1. Podkreśla jednak, że witryny marketingowe firmy, takie jak doubleclick.net i googleadservices.com dostosowują się do wymagań Microsoftu. Potwierdziły to testy przeprowadzone przez dziennikarzy The Wall Street Journal.
Oczywiście nadal można uznać działanie firm nieprzestrzegających zaleceń P3P za korzystanie z technik pomijania pewnych zabezpieczeń. To prowadzi do jednego wniosku - użytkownik powinien sam zadbać o swoją prywatność i skonfigurować przeglądarkę odpowiednio do swoich wymagań. Sami musimy znaleźć złoty środek pomiędzy funkcjonalnością współczesnego internetu a ochroną swojej prywatności.
-
-
Ostatnio przeglądający 0 użytkowników
Brak zarejestrowanych użytkowników przeglądających tę stronę.