Vijesti za svakoga

Broj ranjivosti otkrivenih javnosti, kao i udio nedostataka koji su se mogli iskoristiti, pao je u 2011. godini. Najveći proizvođač sigurnosnih programa, Symantec, prema svojim podacima očekuje pad od 30% u ukupnom broju programskih ranjivosti otkrivenih javnosti u ovoj godini i 10% smanjenje kritičnih ranjivosti koje su puštene u javnost. Na godišnjoj razini kompanija obično prijavi od 4500 do 5500 propusta, u 2010. godini bilo je prijavljeno čak 6253 propusta. Kompanija Symantec primjećuje kako je ove godine najniži udio ranjivosti u posljednjih šest godina. Joshua Talbot, sigurnosni menadžer za Symantec, kaže kako je mogući razlog za pad ranjivosti usmjerenost tvrtki, kao što su Microsoft i Adobe, na sigurnosni razvoj koji može eliminirati ranjivosti lagane za pronaći. Ako napadač zna da određena platforma ima veliku sigurnost i kako će pokušaj iskorištavanja biti težak, može odlučiti ne raditi to. Osim toga, napadače mogu odvratiti i činjenice kako su operacijskim sustavima Windows, Linux i Mac OS X, kao i mnogim aplikacijama koje se na njima pokreću, ugrađene sigurnosne značajke koje otežavaju njihovo iskorištavanje. U mnogim tvrtkama, kao što su Adobe, Microsoft i HP, javlja se smanjenje broja ranjivosti u ovoj godine i one to primjećuju te javno objavljuju. Ipak, dok je fokus na velikim programskim platformama čija se sigurnost povećala, istraživači su prešli na nove sustave kojima nedostaju stroge sigurnosne provjere. Primjeri takvih sustava su: sustavi u automobilskoj industriji, sustavi za kontrolu u industriji i medicinski uređaji. Sve je više ovakvih sustava koji postaju povezani na Internet i napadači pronalaze načine kako ih iskoristiti. Za dodatne podatke moguće je pogledati izvornu vijest na stranicama portala DarkReading.

U petak, 9. prosinca sigurnosna tvrtka Accuvant objavila je rezultate istraživanja sigurnosti web preglednika prema kojem je Google Chrome daleko najsigurniji pretraživač na tržištu. No međutim, manje je poznato da je istraživanje financirao sam Google. Na zahtjev nekoliko većih tvrtki nezavisni istraživač računalne sigurnosti, NSS Labs, pregledao je rezultate Accuvantovog istraživanja, uključujući korištene alate i metodologiju istraživanja te izdao rezultate analize. Unatoč dobro odrađenom poslu u testiranju značajki koje sprječavaju iskorištavanje poznatih web ranjivosti metodologija i način izvođenja testa je znatno promašen. Nadalje, neki od zaključaka ne proizlaze izravno iz rezultata istraživanja, što ukazuje na Googleovu pristranost i utjecaj u istraživanju. Sve detalje moguće je pročitati u objavljenom dokumentu NSS Labsa.

Izvor: Nacionalni CERT

Prema izvješću web stranice WinRumors, poruke na uređaju s operacijskim sustavom Windows Phone 7.5 (Mango) mogu biti potpuno onemogućene ako se koristi posebno izrađena SMS (eng. Short Message Service) poruka. Kada uređaj Windows Phone primi takvu poruku, ona uzrokuje gašenje i ponovno paljenje uređaja i onemogućava pristup porukama unatoč uzastopnim pokušajima. Ovaj DoS (eng. Denial of Service) napad može se iskoristiti i za slanje poruka s društvenih mreža Facebook ili s Windows Live Messengera na mobilni uređaj. Tom Warren iz firme WinRumors kaže kako je jedini način za popravak uređaja nakon ovakvog napada, napraviti potpuno vraćanje tvorničkih postavki i izbrisati sve podatke, uključujući i osobne. Web stranica za vijesti testirala je napad na nekoliko mobilnih uređaja kao što su HTC TITIAN i Smasung Focus Flash. Iz izvještaja nije jasno postoji li isti ovaj propust na starijim inačicama Windows Phonea. Nedostatak je otkrio Khaled Salameh i predao ga je WinRumorsu. Točni podaci o iskorištavanju još nisu otkriveni. WinRumors i Salameh prijavili su problem Microsoftu i nije poznato kada će i hoće li nadogradnja biti izdana. Ovo nije prvu put da je neka mobilna platforma pogođena zlonamjernim SMS porukama. U prošlosti su Nokia i Apple bili ranjivi na SMS i MMS (eng. Multimedia Messaging Service) napade koji su napadačima dopuštali onemogućavanje značajki i preuzimanje kontrole nad uređajem. Više informacija nalazi se na web stranicama portala The H Security.

Novo istraživanje otkriva kako aplikacija tvrtke Google za mobilno plaćanje lokalno sprema nekodirane osjetljive korisničke podatke kao što su ime vlasnika kartice, datume transakcije, adrese elektroničke pošte i stanje na računu. Istraživači iz firme viaForensics testirali su sigurnost aplikacije Google Wallet koja potrošačima omogućava plaćanje kreditnom karticom, iskorištavanje poklon kartica te korištenje kartica za vjernost članstva sa svoga mobitela. Kad se na operacijskom sustavu Android napravi postupak za dobivanje veće kontrole nad uređajem i koristi se aplikacija Google Wallet onda ona ostavlja nezaštićene osjetljive podatke. Dok aplikacija Google Wallet skriva cijeli broj kreditne kartice, zadnje četiri znamenke ostanu u čistom tekstu u aplikacijskoj lokalnoj bazi podataka SQLite (eng. Structured Query Language Lite). Firma viaForensics rekla je da ako se ova aplikacija nalazi na Android uređajima u bazi podataka SQLite same aplikacije nalaze se podaci o stanju kreditne kartice, limitu, datumu isteka, imenu vlasnika, lokacijama i datumima transakcija. Ovi podaci se mogu iskoristiti kao put da se dođe do računa kreditne kartice preko vlasnika. Iz tvrtke Google su izvijestili da je istraživanje firme viaForensics napravljeno na Android pametnim telefonima na kojima je omogućena veća kontrola što nisu Googleove izvorne postavke. Detaljniji opis objavljen je na web stranicama portala InformationWeek.