Autentikacija korisnika danas predstavlja jedan od osnovnih zahtjeva za očuvanje sigurnosti informacijskih sustava. Najrašireniji način autentikacije korisnika predstavlja uporabu korisničkog imena i lozinke korisnika. No, već ovaj jednostavni način autentikacije mnogim korisnicima predstavlja tegobu. Iz tog razloga se korisnici služe slabim lozinkama koje lako pamte, a koje se istovremeno mogu lako pogoditi od strane napadača. Kako bi se korisnicima olakšao postupak autentikacije, uvedeni je Single Sign-on mehanizam prijave.

Anonimni napadač uspio je napraviti kartu svijeta na kojoj se može pratiti potrošnja IPv4 adresa u periodu od 24 sata. Naime, napadač je vlastitom skriptom za otkrivanje postojećih računala na Internetu otkrio da postoji velik broj uređaja koji imaju izvorno postavljene lozinke za pristup. Sama skripta pisana je u jeziku LUA, a namijenjena je kao dodatak za alat Nmap. Cilj napadača bio je analizirati utrošenost IPv4 adresa u periodu od 24 sata. No, kako vlastitim računalom nije imao dovoljno resursa da ručno provjeri zauzetost svih IPv4 adresa, poslužio se ranjivim mrežnim uređajima koji su imali izvorno postavljene lozinke za pristup. Napadač je napravio aplikaciju koja pretražuje računala na mreži i pokušava se spojiti na Telnet servis koristeći neku od uobičajenih kombinacija korisničkih imena i lozinki (npr. admin:admin, root:root). U slučaju uspjeha, na uređaj bi se postavila dodatna aplikacija koja bi s preuzetog računala slala ICMP pakete i provjeravala zauzetost IPv4 adresa. Procjenjuje se kako je napadač svoju aplikaciju uspio postaviti na preko 100.000 mrežnih uređaja na Internetu. Zaražena računala bi prikupljene statističke adrese slala napadaču. Konačan rezultat zauzetih IPv4 adresa objavljen je u obliku animacije dostupne na ovoj adresi. Sama skripta se ne smatra zloćudnom jer se u roku od 24 sata sama obrisala sa svih uređaja, a napadač je na samom uređaju ostavio dokumentaciju kojom se opisuje što je napravljeno. Detaljan opis ovog pothvata opisan je na ovoj adresi.

 

 

NATO savez objavio je novi priručnik naziva Tallin Manual. Priručnikom se navodi kako zloćudni korisnici koji izvode računalne napade na vojne sustave u vrijeme izvođenja kampanja mogu postati mete kampanje. Naime, ukoliko zloćudni korisnik izvrši napad na vojni informacijski sustav smatrat će se kao neprijateljski napad na koji će vojska uzvratiti silom. Ipak, priručnik ograničava vrste mreža koje članovi NATO saveza mogu napasti. Na primjer, napadi na bolnice, brane i nuklearne elektrane nisu dozvoljene. Dodatno, priručnikom se dozvoljava uporaba smrtonosne sile protiv napadača samo u slučaju da napad informacijskog sustava uzrokuje smrt ili materijalnu štetu. Izvorna vijest dostupna je na portalu TheHill.

Sigurnosniistraživači su otkrili slabosti koje bi se mogle iskoristiti u probijanju šifriranih komunikacijskih kanala između web aplikacija i korisnika. Slabosti se mogu naći u kriptografskom algoritmu RC4 koji se koristi u popularnim SSL (Secure Sockets Layer) i WEP (Wired Equivalent Privacy) protokolima. Kako je SSL/TLS osnova za sigurnu komunikaciju između web aplikacija i korisnika, slabost RC4 algoritma bi narušiti tajnost informacija u kanalu. Slabost je pronašao Dan Bernstein iz Sveučilišta Illinois, a prvi puta je objavljena na konferenciji Fast Software Encryption. Bernstein i njegovi suradnici su otkrili da RC4 nije dovoljno nasumičan te da napadač može otkriti neke dijelove izvorne poruke koje su šifrirane TLS i RC4 algoritmom. Takvi napadi mogući su zbog statističkih nedostataka u nizu znakova koji se koristi kao ključ za šifriranje. Procjenjuje se kako 50% svog SSL/TLS prometa koristi RC4 algoritam. Izvorna vijest dostupna je na portalu InformationWeek.

Istraživači sveučilišta u Tubingenu su razvili novi proces za autorizaciju transakcija u internet bankarstvu koji je sigurniji od tradicionalnih TAN brojeva. Kada klijenti žele izvršiti bankovne transakcije od kuće, banka šalje TAN broj putem SMS poruka korisniku. Ovakvim pristupom slanja TAN brojeva je riskantan. Istraživači su predložili novu metodu proizvodnje TAN brojeva kojim se putem posebne aplikacije na mobilnom uređaju učitava dvodimenzionalan kod s ekrana. Zatim, korisnik postavlja svoju karticu pred mobilnim uređajem. Uporabom NFC (Near-Field Communication) tehnologije, kartica proizvodi TAN i šalje ga mobilnom uređaju. Izvorna vijest je dostupna na portalu UniTubingen.

Idi na vrh