English Srpski

 Kategorije

Besplatan webinar: Etičko hakovanje!!!

Živimo u veoma dinamično vreme kada je neumoljiva integracija informacionih tehnologija u skoro svaki deo naših života. Slaba tačka ovog vremena je što ranjivost informacionih tehnologija ujedno i predstavlja veliki rizik za nas i naše poverljive i dragocene podatke.

Jedini način da se zaštitite jeste i da naučite i otkrijete bezbednosne propuste i ranjivosti primenjenih tehnologija, pre nego što to učine i iskoriste hakeri (BlackHat). Ovo je i ujedno zadatak etičkih hakera u organizacijama.

Škola kompjutera Smart School, kao jedini akreditovani trening centar za EC-Council treninge (među kojima je i najtraženiji Certified Ethical Hacker – CEH) u Srbiji, Vas poziva na:

 

Besplatan webinar:

Etičko hakovanje

31. avgust 2015. (ponedeljak) | 13:30h

 

Na ovom webinaru ćete imati priliku da vidite deo kursa Certified Ethical Hacker – CEH. Upoznaćete se sa osnovama, ali ćete imati i ekskluzivno pravo da vidite tehničku demonstraciju tehnika i alata sa ovog kursa!

Ističemo sledeće delove webinara:


Modul 05: System Hacking

Ovaj modul ima za cilj da Vas upozna sa tehnikama i alatima dobijanja neovlašćenog pristupa sistemima, upravljanju privilegijama, sistemom manipulacija sa podacima i brisanjem tragova…

 

Modul 13: Hakovanje web aplikacija

Web aplikacije su svakodnevno dostupne javnosti i tako su i laka meta zlonamernim hakerima. Na ovom modulu su obrađene tehnike i alati za pronalaženje i iskorištavanje ranjivosti web aplikacija…

 

Svi zainteresovani za ovaj besplatni online webinar, mogu se prijaviti na email: school@smart.rs
ili se priključiti direktno na webinar u ponedeljak, 31.08.2015. u 13:30h putem linka https://global.gotomeeting.com/join/708836797.

Webinar možete pratiti sa Vašeg računara, tableta ili smartphone uređaja, od 13:30h do 15:00h.

Predavač webinara će biti EC-Council predavač Mane Piperevski, ekspert informacionih tehnologija sa bogatim iskustvom u oblasti informacija. Od 2009. godine je sertifikovani etički haker i ima preko 10 godina radnog iskustva u IT industriji, od čega je 5 godina svoga rada posvetio oblasti bezbednosti informacija. Poseduje širok spektar veština i znanja iz oblasti IT tehnologija, uključujući oblasti mreža, operativnih sistema, baza podataka i razvoja aplikacija. Svojim stručnim znanjem doprineo je boljem kvalitetu sistema u različitim sektorima industrije kao što su: elektronsko bankarstvo, kompanije za razvoj softvera, transport, kao i u mnogim državnim institucijama. Trenutno je zaposlen kao stručan i iskusan predavač i instruktor obuka u "Semos Education" u Skoplju (sa kojima smo u zajedničkoj saradnji i organizovali ovaj webinar).

Ovom prilikom ćemo Vas podsetiti da je 31. avgust poslednji dan Early Bird akcije, po kojoj možete ostvariti popust od 15% na celokupnu cenu kursa Certified Ethical Hacker – CEH. Kurs će biti održan u Beogradu u periodu od 5. do 10. oktobra 2015. godine u terminu od 9h do 17h.

Više informacija možete dobiti putem telefona: 021/47-28-200 ili putem email-a: school@smart.rs

Šta je enkripcija i kako se koristi u zaštiti važnih podataka?

Za početak, kako bi objasnili koliko je važna uloga enkripcije u zaštiti vaših kompanijskih podataka, objasnićemo šta je to enkripcija.

Enkripcija je metod kodiranja poruke u formatu koji nije čitljiv za neovlašćene korisnike. To je jednostavno najbolji način da vaše podatke zaštitite od potencijalnih špijuna, onih što žele da ih ukradu, kao i od slučajnih izlaganja podataka javnosti.

Kriptografija je praktično umetnost i nauka koja se nalazi u pozadini enkripcije. U kriptografiji se koriste algoritmi koji pretvaraju čitljive podatke (plaintext) u nečitljiv format (ciphertext). Da bi ovlašćeni korisnik pristupio kriptovanim podacima, mora posedovati sigurnosni ključ (lozinku) kako bi uspeo da te podatke i pročita.

Postoji puno načina za upotrebu enkripcije, ali što se tiče upotrebe u poslovnom svetu sa posebnim osvrtom na gubitak podataka, najčešće se koriste sledeća dva načina: full-disk enkripcija i file-level enkripcija.

Full-disk enkripcija vs. file-level enkripcija

Na primer, ukoliko neko od zaposlenih slučajno izgubi svoj USB uređaj sa važnim podacima u prevozu, ili mu ukradu laptop na putu do posla, fizički uređaji se mogu nadoknaditi, ali šteta koja nastaje usled gubitka kompanijskih podataka je neprocenjiva. Ukoliko klijenti saznaju da je došlo do takvih "curenja" podataka, kompanija automatski gubi poverenje i klijenti odustaju od dalje saradnje sa navedenom kompanijom. Usled gubitka poverljivih podataka klijenta, organizacija može i zakonski odgovarati za taj propust. Međutim, ukoliko su laptop ili USB uređaj kriptovani, podaci koji se nalaze na njima bi bili u potpunosti beskorisni jer su nečitljivi za nekog ko nema odgovarajući ključ da bi ih pročitao.

Laptop, USB uređaji, pa čak i smart telefoni mogu biti enkriptovani u potpunosti – full-disk enkripcija. To znači da je kompletan hard drive uređaja, kao i sve na njemu, zaštićeno enkripcijom (od operativnog sistema, do programskih fajlova, čak i privremenih fajlova).

Full-disk enkripcija je veoma jednostavna za implementaciju. Danas Laptop i smart phone uređaji dolaze sa tzv. native enkripcijom. Međutim, full-disk enkripcija će vaše podatke čuvati samo dok su oni na konkretno zaštićenom uređaju. Ukoliko se izvadi hard drive iz zaštićenog uređaja i postavi u ne zaštićen uređaj, podaci koji se nalaze na njemu će biti dekriptovani i čitljivi u potpunosti. Ovo može biti od velikog značaja za vaše backup-ove ili fajlove koje ste podigli na cloud service ili priložili uz email-ove.

Upravo zbog ovog, postoji i file-level enkripcija, gde svaki pojedinačni fajl ima svoj "katanac" ili sigurnosni ključ. Sa file-level enkripcijom, vaši podaci su zaštićeni i u tranzitu, i dok su uskladišteni negde u cloud-u.

U suštini, korist (sigurnost) koju dobijate uz file-level enkripciju, svakako bi treba da bude veća od napora koji ćete imati kad god budete želeli da pristupite podacima. Prilikom svakog pristupa, bez obzira na uređaj koji koristite ili mesto na kojem se nalazite, moraćete unositi sigurnosne šifre za pristup enkriptovanim podacima.

Kada i kako bi trebali da koristite enkripciju?

Full-disk enkripcija jedva da i ima uticaja na performanse celog sistema, ali ako budete želeli da enkrputje sve na file nivou, ubrzo ćete videti da je to skoro neizvodljivo. Iz tog razloga vam savetujemo da prvo dobro razmislite koje podatke, kako i zašto želite da enkriptujete. Na taj način, sistematski ćete doći do poverljivih podataka i/ili podataka koje kopirate i na druga mesta (na primer, dokumenta koja želite da pristupite sa vašeg telefona, desktopa ili preko usluga poput Dropbox-a na pr.), koje bi trebalo enkriptovati na file nivou.

Potrebno je shvatiti da file-level enkripcija ne zamenjuje full-disk enkripciju. Ova dva načina enkripcije praktično upotpunjavaju jedna drugu. Ukoliko enkriptujete samo pojedine fajlove, a ne ceo disk, postoji verovatnoća da ćete nešto lako propustiti. Postoji šansa da vaš računar čuva kopije vaših podataka na raznim mestima za koje vi niste ni znali.

U većini kompanija, IT sektor pažljivo uprava ključevima za enkripciju različitih uređaja. Bez ovog centralnog upravljanja, podaci vrlo lako mogu biti izgubljeni ako neko od zaposlenih napusti kompaniju ili izgubi svoju šifru za dekriptovanje. Za razliku od pristupnih lozinki, šifre koje se koriste za enkripciju ne mogu biti jednostavno resetovane od strane sistem administratora ako su zaboravljene ili izgubljene u međuvremenu.

Savetujemo da master decryption ključeve dobro zaštite. Takođe savetujemo, da pristup ovom ključu nema samo jedna osoba u kompaniji. Sistem treba osmisliti tako da najmanje dve ili više osoba zajedno mogu pristupiti procesu sistemske dekripcije (naravno u skladu sa njihovim autorizacijama u kompaniji).

Putem dobrog softvera za enkripciju ćete imati mogućnost da napravite key management i podelu dužnosti relativno jednostavno.

Preporučujemo da probate besplatno Sophos SafeGuard Encryption rešenje, kako biste uvideli prednosti enkripcije.



Za više informacija o enkripciji i Sophos SafeGuard Encryption rešenju, pozovite Sophos regionalnog distributera, kompaniju Smart d.o.o. na telefon 021/47-28-200 ili nas kontaktirajte putem email-a prodaja@smart.rs.

Microsoft objavio hitnu zakrpu za kritičan propust u Internet Exploreru

Kada Microsoft neki bezbednosni propust nazove "kritičnim", upozori da propust utiče na sve verzije Windows-a i objavi vanrednu zakrpu za propust, to je znak da treba obratiti pažnju.

Tako je juče Microsoft upozorio na novi do sada nepoznati bezbednosni propust koji nosi oznaku CVE-2015-2502, koji može omogućiti hakeru da preuzme kontrolu nad računarom preko Internet Explorer-a, pod uslovom da korisnik poseti web sajt koji napadaču služi kao zamka za žrtvu.

Microsoft-ov novi browser, Edge, koji se isporučuje sa Windows 10, nije ugrožen zbog ovog propusta, ali sve podržane verzije Internet Explorer-a, uključujući i verziju 11 jesu.

Microsoft je upozorio da ranjivi računari mogu biti inficirani posetom malicioznim web stranicama kada se koristi Internet Explorer, i da za uspešan napad nije potrebno bilo kakvo drugo učešće korisnika, osim posete nekom takvom web sajtu.

Da bi napad bio uspešan, napadač mora da ubedi korisnika da klikne na link u poruci ili email-u koji će odvesti žrtvu na sajt koji je pod njegovom kontrolom, ili da natera korisnika da otvori fajl u email-u.

Kada je računar kompromitovan, napadač će imati ista prava kao i korisnik, što znači da ako ste prijavljeni kao administrator, haker može imati potpunu kontrolu nad vašim računarom. Posle toga, za njega će biti jednostavno da instalira malvere, krade informacije i menja podešavanja kako bi dalje kompromitovao bezbednost računara.

U upozorenju koje je objavio Microsoft kaže se da se propust aktivno iskorišćava, ali nema više detalja o ovome. U posebnom kratkom pregledu propusta koji su zakrpljeni ovog meseca se kaže da su samo detektovani exploiti za ovaj propust. Korisnici bi trebalo da što pre instaliraju ažuriranje.

Izvor: Informacija.rs

Windows 10 dobija svoje prve zakrpe

Samo nekoliko nedelja nakon objavljivanja Windows 10 operativnog sistema, kompanija Microsoft je objavila i pet zakrpa za svoj najnoviji operativni sistem. Uz objave zakrpa za Windows 10, Microsoft je objavio i dodatne zakrpe za novi Edge browser, koje pokrivaju četiri propusta, kao i kritičnih šest zakrpa za IE browser.

"Ukoliko pokrenete Windows 10 home ediciju, imaćete automatske update-ove, što je veoma korisno za Vašu bezbednost" izjavio je Wolfgang Kandek, CTO u Qualys Inc. "Enterprise edicije sada imaju safeguard koji korisnike stavljaju u Virtual Secure Mode (virtuelne mašine) kako hakeri ne bi mogli da dođu do korisničkih kredencijala baš tako lako."

Kako iz Qualys-a navode, najozbiljniji od 14 objavljenih zakrpa ovog meseca, su kritični update-ovi za osam slabosti Office-a. Najštetniji su oni propusti koji omogućavaju remote code execution kada korisnik otvori specijalno kraftovan Office fajl.

Sledeća kritična ispravka je za 13 propusta za IE, uključujući 10 propusta koji dozvoljavaju napadačima da dobiju pristup sistemu i izvršnom proizvodnom kodu. Zakrpa je klasifikovana kao kritična za sve podržane verzije IE za Windows klijente. Zakrpa adresira problem kako IE hendluje objektima u memoriji, tako osiguravajući da verzije na koje se odnosi propust, pravilno implementiraju ASLR security feature. Takođe poboljšava command-line parametre za Notepad egzekuciju sa IE.

Jedan od objavljenih update-ova, rešava propust u Windows Mount Manager-u koji dozvoljava nivo privilegije ako napadač ubaci maliciozni USB uređaj u sistem. Propust je omogućavao zlonamerni zapis na hard drive i njegovo izvršenje.

Microsoft je objavio i Adobe Flash update za 34 propusta, od koji je samo jedan klasifikovan kao kritični. Korisnici IE verzije 10 i verzije 11, mogu dobiti svoje zakrpe (APSB15-19) preko njihovih pretraživača. Flash, koji dolazi sa sa Windows 8.X i Edge na Windows 10 će biti automatski update-ovani sa zakrpljenom verzijom.

Kompanija Microsoft je takođe objavila dve zakrpe za Windows Server, obe veoma važne. Prva je sigurnosni update za propust u Microsoft System Center Operations Manager-u. Ova slabost omogućava izmenu nivoa privilegija ukoliko korisnici pristupe web sajtu sa specijalno kraftovanim URL-om. Druga se odnosi na propust u UDDI Services, koja omogućava podizanje nivoa privilegija kada napadači mogu da izvrše cross-site scripting stavljajuću maliciozni skrip u parametre za pretragu web stranica.

Više detalja možete pogledati u August 2015 Patch Tuesday na TechNet.

Novi bezbednosni propust u Androidu koji utiče na 55% Android uređaja

Izgleda da nema kraja za bezbednosne propuste u Androidu. Posle otkrića Stagefright propusta koji omogućava hakerima da inficiraju milione Android uređaja uz pomoć malicioznih poruka, sada stručnjaci opet upozoravaju na još jedan kritičan bezbednosni propust u Google-ovom mobilnom operativnom sistemu koji utiče na više od 55% svih korisnika Androida.

Dvojica istraživača koji rade za IBM-ov X-Force Application Security Research Team-a otkrili su novi bezbednosni propust u Androidu koji su predstavili na konferenciji posvećenoj bezbednosti USENIX WOOT 2015 u Vašingtonu. Propust koji su otkrili istraživači može omogućiti malicioznoj aplikaciji bez privilegija da postane "super aplikacija" i pomogne sajber kriminalcima da preuzmu kontrolu nad uređajem.

Bezbednosni propust CVE-2015-3825 utiče na Android 4.3 i novije verzije, uključujući i najnovije izdanje Google-ovog mobilnog operativnog sistema Android M.

Propust je u komponenti Android platforme nazvanoj OpenSSLX509Certificate, koji može biti iskorišćen od strane neke Android aplikacije da bi se kompromitovao system_server proces i stekao moćan sistemski pristup Android uređaju.

U video snimku proof-of-concept napada koji su objavili istraživači, pokazano je kako su uspeli da iskoriste propust i malicioznom aplikacijom zamene pravu Facebook aplikaciju da bi na kraju ukrali korisničko ime i lozinku za Facebook nalog. Hakeri osim toga mogu preuzeti sve što žele sa uređaja korisnika, mogu špijunirati korisnika, ili uraditi bilo šta drugo s obzirom da korisnik neće primetiti da se nešto sumnjivo događa jer se sve dešava u pozadini.

Kada korisnik pokrene aplikaciju bez ikakvih vidljivih posebnih privilegija, ona onda preuzima dodatni kod da bi se prepisala preko postojeće aplikacije, sa exploit-om koji iskorišćava propust da bi povećao dozvole.

IBM je obavestio Google-ov tim koji je zadužen za bezbednost o ovom propustu pre nego što je objavio detalje o tome, tako da je zakrpa za propust već objavljena. Na žalost, većina korisnika Androida neće dobiti zakrpu u skorije vreme.

Više detalja o ovome možete naći u dokumentu (PDF) koji su objavili istraživači.

Izvor: Informacija.rs

Firefox 42 neće dozvoljavati instalaciju nepotpisanih dodataka

Mozilla je saopštila da počev od verzije 42 Firefox-a, instalacija nepotpisanih ekstenzija više neće biti dozvoljena, iz bezbednosnih razloga.

Potpisane ekstenzije su dodaci za Firefox koji su provereni i odobreni od strane Mozilla-inog automatizovanog sistema provere ekstenzija, ili od strane nekog od zaposlenih u kompaniji.

Ovo je najavljeno još u februaru, ali tada nije saopšteno kada će i kako Mozilla ovo primenjivati.

Počev od nedavno objavljene verzije Firefox 40, korisnici dobijaju upozorenje kada pokušaju da instaliraju nepotpisanu ekstenziju.

Firefox 42 je trenutno dostupan u Aurora pre-release verziji, a kada 21. septembra bude objavljena beta, nepotpisane ekstenzije više neće biti podržane. Firefox 42 trebalo bi da bude dostupan svim korisnicima 3. novembra.

Ovaj potez Mozilla-e prouzrokovan je time što sve veći broj programera zloupotrebljava procedure instalacije dodataka, menjajući preference korisnika, početne stranice, pa čak i usmeravajući korisnike ka malverima.

"Odgovorni smo za naš ekosistem dodataka i ne možemo da sedimo mirno dok naši korisnici pate zbog loših dodataka", kažu iz Mozilla-e.

Zbog toga Mozilla uvodi sistem sličan onom koji Google koristi za ekstenzije za Chrome, ali za razliku od Chrome-ovog tima, Mozilla ne primorava da ekstenzije moraju biti distribuirane preko njenog web sajta.

Programeri ekstenzija će i dalje moći da hostuju svoje ekstenzije gde god žele, na sajtu Mozilla-e ili svom sopstvenom, ali one moraju biti potpisane i to mora da uradi tim Mozilla-e koji je za to zadužen.

Ono što je promenjeno je da pre nego što se ekstenzija potpiše, programeri moraju napraviti Mozilla nalog ako ga nemaju i dostaviti ekstenziju na pregled koji obavlja automatizovani sistem.

Ako ovaj sistem uoči greške, programeri mogu zatražiti da ekstenziju pregleda neko od zaposlenih u kompaniji.

Ako je ekstenzija odobrena i potpisana, programer je može objaviti na Mozilla-inoj stranici za dodatke, ili distribuirati preko svog web sajta.

Programeri koji rade sa privatnim ekstenzijama distribuiranim samo u zatvorenim mrežama, takođe će imati način na koji će njihove ekstenzije biti potpisane, ali još uvek nisu poznati detalji kako će izgledati ta procedura.

Kada je reč o starijim ekstenzijama koje su već dostavljene i nalaze se u Mozilla-inom repozitorijumu, kompanija je odavno započela sa njihovim potpisivanjem, čak i onih ekstenzija koje su njihovi programeri napustili.

Izvor: Informacija.rs

0-day propust u Flash Player-u se koristi u napadima. Objavljena zakrpa

Kompanija Adobe je objavila hitnu zakrpu za Flash Player jer napadači aktivno iskorišćavaju kritičan bezbednosni propust koji može dovesti do potpunog kompromitovanja sistema. Kompanija je saopštila da se propust CVE-2015-3113 aktivno koristi u ograničenim, ciljanim napadima. Mete napada su sistemi na kojima se koristi Internet Explorer za Windows 7 i starije verzije browser-a, kao i Firefox na Windows XP.

Emailovi koji se šalju potencijalnim žrtvama sadrže linkove za kompromitovane web sajtove na kojima se isporučuje ili benigni sadržaj ili maliciozni Adobe Flash Player fajl koji iskorišćava propust.

Odabrani ciljevi napada su organizacije i kompanije koje posluju u sektoru vazduhoplovstva i odbrane, građevinarstva i inženjeringa, informacionih tehnologija, telekomunikacija i transporta.

Istraživači veruju da iza ovih napada stoji grupa nazvana APT3 ili UPS. Reč je o veoma sofisticiranoj grupi koja je već nekoliko puta ranije koristila 0-day exploite za browser-e. Pojam "exploit" označava program, deo koda ili neke podatke koje pišu hakeri ili pisci virusa sa namerom da iskoriste "bug" ili ranjivost u aplikaciji ili operativnom sistemu. Korišćenjem exploit-a, napadač može neovlašćeno pristupiti ili koristiti aplikaciju ili operativni sistem.

Kada dođu do kredencijala oni obezbeđuju prisustvo u mreži napadnute organizacije instalirajući prilagođene backdoor-ove na mnogim računarima.

Korisnicima Windows-a, OS X i Lunux-a se savetuje da ažuriraju Flash Player bez odlaganja.

Koju verziju programa koristite možete proveriti ovde.

Adobe Flash Player instaliran sa Google Chrome-om i Internet Explorer-om na Windows 8.x će biti automatski ažuriran.

Izvor: Informacija.rs

Nova taktika bankarskog trojanca Dyre: kako trojanac izbegava istraživače malvera

Od kada se pojavio u junu prošle godine, bankarski trojanac Dyre koji je poznat i pod nazivom Dyreza postao je veoma popularan među sajber kriminalcima, posebno onima koji napadaju kompanije. Od prošle godine, broj infekcija ovim malverom značajno je porastao, a svaka nova verzija malvera poboljšavana je novim taktikama za izbegavanje detekcije. Pored toga, spisak finansijskih institucija koje su ciljevi malvera bio je duži sa svakom novom verzijom.

Svoj uspeh malver duguje nekolicini mogućnosti sa kojima raspolaže: on je u stanju da izbegne većinu antivirusnih rešenja, omogućava napadačima da kontrolišu saobraćaj browser-a i izvode man-in-the-middle napade, kao i da izbegne dvofaktornu autorizaciju. Kada se tome dodaju isprobane metode širenja kao što su društveni inženjering i macro-dropperi, jasno je zašto se sajber kriminalcima toliko dopada malver Dyre.

Istraživači kompanije Seculert otkrili su neke izmene u malveru koje još više otežavaju detekciju i analizu ovog bankarskog trojanca.

Za analizu malvera istraživači koriste virtuelne mašine (VM), koje im obezbeđuju izolovan prostor i oponašaju hardverske komponente pravih sistema.

Da bi smanjile korišćenje resursa, virtuelne mašine imitiraju računare sa jednim procesorskim jezgrom.

Prema rečima istraživača, nova verzija malvera je u stanju da izbegne analizu u sandbox-u, i to proveravajući koliko procesorskih jezgara računar ima. Ako računar ima samo jedno procesorsko jezgro malver obustavlja svoje aktivnosti.

Kako su mnogi sandbox-ovi konfigurisani sa samo jednim procesorom sa jednim jezgrom, provera koju obavlja Dyre je dobar i efikasan način da malver izbegne analizu. Sa druge strane, većina računara koji su danas u upotrebi ima procesore sa više od jednog jezgra.

Ova promena u kodu malvera mu omogućava da izbegne većinu nekomercijalnih, javno dostupnih sandbox-ova, kao i četiri komercijalna sandbox-a.

Ali to nije jedina promena koju je pretrpeo Dyre da bi izbegao detekciju.

Dyre često isporučuje popularni dropper Upatre, koji je i sam pretrpeo izmene. Jedna od njih koju su primetili istraživači iz kompanije Cisco je promena http-user-agent stringa u komunikaciji sa komandno-kontrolnim serverom (dropper se potpisuje isto kao uobičajen browser), što još više otežava otkrivanje znakova malicioznog saobraćaja.

Slična taktika je primećena i u novim verzijama malvera Dyre sa ciljem da se izbegne detekcija od strane anti-malver proizvoda baziranih na virusnim definicijama.

Korisnici Sophos zaštite mogu biti sigurni da su bezbedni od Dyre malvera, jer je kompanija Sophos u septembru prošle godine unapredila svoju zaštitu za ovaj identifikovani trojanac Troj/Dyreza-A. Više informacija o Troj/Dyreza-A malveru pogledajte na zvaničnom Sophos sajtu – www.sophos.com.

Izvor: Informacija.rs

Bag u Flash Player-u omogućava špijuniranje korisnika preko mikrofona i web kamere

Neke verzije Adobe Flash Player-a imaju bezbednosni propust koji može biti iskorišćen za špijuniranje korisnika preko ugrađene web kamere i mikrofona, i to tako da korisnik ne bude obavešten da je ovim komponentama pristupljeno.

Konfiguracijski panel Flash Player-a omogućava definisanje liste web sajtova koji mogu pristupati web kameri i mikrofonu računara, a korisnici mogu uključiti i opciju da od njih bude tražena dozvola kada web sajt pokušava da koristi video i audio komponente na računaru.

Istraživač Jouko Pynnonen otkrio je ovaj bezbednosni propust (CVE-2015-3044) koji može biti iskorišćen na sistemima sa verzijama Flash Player-a starijim od verzije 17.0.0.169 da bi se zvuk i video koji beleže mikrofon i web kamera isporučio na udaljenu lokaciju koju kontrolišu napadači.

Da bi propust bio iskorišćen, žrtva mora da poseti maliciozni web sajt, pri čemu se neće pojaviti obaveštenje da sajt pristupa kameri i mikrofonu, bez obzira na podešavanja Flash Player-a.

Isti exploit funkcioniše na svim operativnim sistemima koje podržava Flash, kaže istraživač koji je otkrio bag.

Jedini znak da se nešto sumnjivo dešava je LED svetlo web kamere. Međutim, nemaju svi sistemi LED indikator aktivnosti web kamere, a takođe, napadači mogu zbog predostrožnosti, snimati samo zvuk, čime bi njihovo špijuniranje bilo potpuno nevidljivo korisniku računara.

Pynnonen kaže da ovaj bag može biti iskorišćen kao okidač za drugi bezbednosni propust, CVE-2015-0346, koji napadači mogu iskoristiti za izvršenje svog koda na ranjivom sistemu.

Propust postoji u Flash Player Settings Manager-u, programu kojem mogu pristupati Flash aplikacije ugrađene u web sajtove.

Adobe je prošle nedelje objavio ažuriranje kojim su ispravljeni brojni bezbednosni propusti, među kojima su i CVE-2015-3044 i CVE-2015-0346.

Zakrpe se kada je reč o Google Chrome-u automatski primenjuju zahvaljujući automatskom mehanizmu ažuriranja koji ima Google-ov browser. Isti je slučaj i sa Internet Explorer-om na Windows 8, i desktop verzijom ako je uključeno automatsko ažuriranje.

Izvor: Informacija.rs

Dropbox pokreće program za nagrađivanje istraživača koji otkriju bagove u njegovim aplikacijama

Dropbox je objavio da u saradnji sa HackerOne pokreće program za nagrađivanje istraživača koji pronađu bagove u njegovim aplikacijama, i daće minimalni iznos nagrade biti 216 dolara. Kompanija nije ograničila maksimalni iznos nagrada, a istraživači koji otkriju i prijave kompaniji bagove biće nagrađeni u odnosu na procenu ozbiljnosti prijavljenog baga i kvaliteta njihovih izveštaja.

Sve do pokretanja ovog programa, Dropbox je samo u vidu javne zahvalnice odavao priznanje istraživačima koji su otkrili ozbiljne bezbednosne propuste u softveru kompanije. Međutim, sada se Dropbox pridružio drugim internet kompanijama koje su ranije pokrenule slične programe nagrađivanja istraživača, obezbeđujući za njih novčane nagrade.

Šta više, Dropobox je odlučio da retroaktivno nagradi hakere koji su prijavljivali kritične bagove u aplikacijama kompanije. Tako je 24 istraživača nagrađeno sa 10475 dolara, a najveća nagrada koja je isplaćena jednom od njih iznosi 4913 dolara.

Program nagrađivanja uključuje Dropbox, Carousel, Mailbox za Android i iOS, Dropbox i Carousel web aplikacije, Dropbox desktop klijent i Dropbox Core SDK. Iz kompanije je nagovešteno da bi ovaj spisak u budućnosti mogao biti produžen, i da će se možda nagrađivati novi ili posebno zanimljivi bagovi u drugim Dropbox aplikacijama.

Dropbox od istraživača zahteva da sa kompanijom podele detalje o bezbednosnom propustu, da daju Dropboxu razuman vremenski rok za rešavanje problema pre nego što informacije o bagu javno objave, da ne pristupaju ili menjaju korisničke podatke bez dozvole vlasnika naloga i da ne utiču negativno na performanse servisa.

Sve ovo je uglavnom standardno za ovakve programe. Drugi uobičajeni uslovi uključuju i to da će samo onaj istraživač koji prvi prijavi određeni bag biti nagrađen, da bag mora biti prijavljen preko HackerOne alata da bi bio prihvatljiv, a javno objavljivanje baga pre rešenja problema će za posledicu imati diskvalifikaciju istraživača iz programa.

Ovakve programe za nagrađivanje imaju i druge, mnogo veće tehnološke kompanije kao što su Google, Facebook i Microsoft, i oni su do sada dali sjajne rezultate. Iako program Droboxa ne može da se meri ni po veličini ni po obimu sa sličnim programima većih kompanija korist je ista: uvek je bolje otkriti grešku u programu pre nego što ona postane problem, posebno kada je u pitanju bezbednost. Novčane nagrade koje dobijaju istraživači koji odgovorno prijavljuju bagove koštaju mnogo manje od cene koju kompanija može platiti zbog ozbiljne zavrzlame koju može uzrokovati neki bezbednosni propust u njenim programima i servisima.

Izvor: Informacija

1 - 10 Sledeći
Smart d.o.o
Trg mladenaca 5 21000 Novi Sad
Tel.+381 21 47 28 200
Fax.+381 21 47 28 200
office@smart.rs
Powered by Microsoft SharePoint