Za informatičare

Tvrtka Coverity objavila je svoje izvješće o sigurnosnom riziku programa u kojem tvrdi kako manje od dvije petine tvrtki koje se bave razvojem weba nastavljaju ispitivanje tijekom ciklusa razvoja te da više od polovine tvrtki odbija provjeriti kod prije integracijskog testiranja. Prema studiji rezultat toga su sve češći sigurnosni incidenti povezani s web aplikacijama koji dovode do većeg ukupnog troška. Stručnjak za osiguravanje kvalitete programa tvrtke Forrester Consulting naručio je istraživanje sigurnosti aplikacija. U srpnju tvrtka je ispitala 240 tvrtki iz Europe i Sjeverne Amerike. Više od 70% ispitanika koji su i prije imali sigurnosne incidente žali se na manjak sigurnosnih tehnologija i procesa za njihove razvojne programere. Ispitanici kažu kako imaju probleme sa skalabilnosti i proračunom. Oko 41% ispitanika imalo je osjećaj kako su sigurnosti dali vrlo mali značaj zbog zadanih rokova. Samo 42% ispitanika pridržavalo se vodiča za sigurnosno kodiranje te je manje od trećine imalo biblioteku odobrenih i zabranjenih funkcija. Tijekom razvoja web aplikacija samo je četvrtina koristila modeliranje prijetnji. Dodatne informacije moguće je pronaći na stranicama portala The H Security.

Najavljena najnovija inačica paketa PHP, inačica 5.5, trebala bi pružiti kvalitetniji način spremanja lozinki. Naime, PHP 5.5 dolazi s novim sučeljem za programiranje aplikacija (eng. Application programming interface, API) koje omogućava ljudima koji razvijaju internetske aplikacije sigurnije pohranjivanje lozinki korisnika unutar baze podataka. Umjesto dosadašnjih nekoliko naredbi za pospremanje lozinki, sada će biti potrebno samo upisati jednu liniju kôda. Do sada su se pisale posebne programske linije kôda kako bi se lozinke zaštitile takozvanim soljenjem  lozinki (eng. salted passwords). Soljenje lozinke je zapravo umetanje nasumičnih znakova unutar lozinke koje se onda prilikom dekodiranja lozinke uklanjaju. Ukoliko bi osoba koja razvija aplikaciju zaboravila zaštiti lozinku računalni kriminalci mogli bi jednostavno doći do lozinki korisnika. Nova inačica paketa PHP 5.5, automatski dodaje nasumične znakove i sprema lozinku u bazu podataka. Današnji računalni napadi iskorištavali su zaboravnost ljudi koji su razvijali internetske aplikacije te su pristupom u bazu podataka mogli jednostavno preuzeti lozinke korisnika. Također, PHP 5.5 koristit Bcrypt kodiranje kako bi znatno otežali napadačima dekodiranje lozinki. Dodatne informacije moguće je pronaći na stranicama portala h-online.

Najnovija inačica virtualne računalne platforme u oblaku vSphere, tvrtke VMware, namjerava integrirati tehnologiju povjerljivog izvršavanja (eng. trusted execution technology, TXT) tvrtke Intel. Ovim potezom tvrtka želi dodati dodatni zaštitni sloj koji je baziran na fizičkoj računalnoj komponenti. Glavni menadžer za infrastrukturu računalnog oblaka pri Intelu, Jason Waxman, navodi kako bi se ovim pojačanjem sigurnosti, baziranoj na računalnim komponentama, trebale lakše osigurati tehnologije računalnog oblaka od različitih BIOS (engl. basic input/output system) napada i skrivenih računalnih zloćudnih programa. Tvrtka Intel je objavila kako su konstruirali uzorke i referentnu arhitekturu za ovu vrstu tehnologije. Tvrtka VMware najavila je još brojna partnerstva s različitim računalnim tvrtkama poput tvrtki HP (eng. Hewlett-Packard) i Della te tvrtke za rješenja računalnih mreža, F5. Ovo novostvoreno partnerstvo između Intela i VMwarea trebalo bi se pokazati kao veoma važno partnerstvo iz razloga što ovim potezom pokazuju kako je sigurnost još uvijek jedna od ključnih interesa računalnih kompanija. Također ovo je još jedan korak računalnih kompanija prema tehnologiji računalnog oblaka. Cjelokupnu vijest moguće je pročitati na stranicama portala NetworkWorld.

Američki nacionalni institut za standarde i tehnologiju (eng. National Institute of Standards and Technology, NIST) izdao je dokument u kojem proizvođačima BIOS (engl. basic input/output system, osnovni ulazno/izlazni sustav) čipova savjetuje kako da bolje zaštite čipove. Iako su napadi na BIOS čipove vrlo rijetki, njihove posljedice su često ozbiljne. S obzirom da je BIOS zaslužan za postavljanje osnovnih radnih parametara računalnog sklopovlja te pronalazi i učitava operacijski sustav u radnu memoriju, njegovom korupcijom može se u potpunosti ugroziti rad i pokretanje računala. BIOS je prvo što se pokreče prilikom paljenja računala te je gotovo nemoguće antivirusnim programima uočiti neke nepravilnosti u njegovom radu budući da oni još niti nisu upaljeni. Moguće je razviti antivirusni alat koji bi mogao pročistiti BIOS kôd, no takav alat morao bi raditi bez ikakvih pogrešaka. Samo mala pogreška prilikom popravka BIOS kôda može dovesti do potpunog onesposobljavanja računala. Institut NIST predlaže proizvođačima BIOS čipova šifrirano potpisivanje nadogradnji BIOS-a te da tretiraju BIOS kao esencijalni dio računalne sigurnosti. Dodatne podatke moguće je potražiti na stranicama portala InformationWeek.