Neprofitna udruga stručnjaka ISACA (eng. Information Systems Audit and Control Association) objavila je savjete za osiguravanje tri računalna trenda u 2012. godini: velike količine podataka, konzumerizacija i mobilno računarstvo. Ken Vander Wal, predsjednik udruge ISACA, navodi kako količina podataka ekstremno raste i dolazi iz različitih izvora što predstavlja problem u čuvanju privatnosti podataka. Kao način zaštite, ISACA navodi računalni sustav tvrtke Red Lambda koji prikuplja i analizira velike količine podataka iz različitih izvora i traži anomalije koje mogu ukazati na sigurnosne propuste. Drugi veliki trend je konzumerizacija proizvoda, tj. postupak uvođenja novih tehnologija na potrošačko tržište prije industrijskog tržišta. Ovaj trend najviše je prisutan na tržištu mobilnih telefona koji se koriste za čuvanje i razmjenu poslovnih podataka. Informatički stručnjaci moraju nadgledati tko pristupa uređajima i koje informacije koriste kako bi očuvali sigurnost poslovnih podataka. Treći trend, mobilno računarstvo, uzrokovano je velikom prodajom mobilnih uređaja poput pametnih telefona, tableta i prijenosnih računala. John Pronti, sigurnosni savjetnik u udruzi ISACA, smatra da će u 2012. godini sve više napada biti usmjereno na mobilne uređaje s ciljem pristupa poslovnoj računalnoj mreži. Stručnjaci u udruzi ISACA smatraju da je za poslovnu sigurnost vrlo važno provoditi poslovnu politiku koja zaposlenicima ograničava osobne aktivnosti na poslovnim uređajima. Detaljniji opis moguće je pročitati na stranicama portala Infosecurity.
Sigurnosni stručnjak Stefan Viehböck otkrio je kritičnu ranjivost Wi-Fi Protected Setup (WPS) standarda. WPS standard služi kao zaštita bežičnih mreža i zahtjeva jedinstvenu lozinku od 8 znamenki za svaki usmjerivač. Jedan od načina rada korisnicima omogućuje spajanje samo prezentiranjem lozinke što otvara mogućnost napada pogađanjem. Sigurnost bežične mreže se znatno smanjuje zbog činjenice da protokol dijeli lozinku u dva dijela. Time je vrijeme potrebno za isprobavanje svih kombinacija smanjeno na samo nekoliko sati. Nakon slanja prvih četiri znamenki protokol odgovara i šalje potvrdu o ispravnosti. Posljednja znamenka služi kao kontrolna suma što dodatno olakšava pogađanje drugog dijela lozinke. Napadač mora isprobati samo 11000 kombinacija za pronalaženje lozinke. Testirajući ovaj napad Viehböck je otkrio da pojedini usmjerivači sukladno s povećanjem broja pokušaja pogađanja povećavaju vrijeme do odgovora čime se donekle usporava otkrivanje lozinke. Viehböck je o svom otkriću obavijestio US-CERT koji korisnicima savjetuje gašenje WPS-a i korištenje nekog drugog oblika zaštite.
Izvor: NacionalniCERT
Tvrtka Microsoft je objavila sigurnosne savjete koji obuhvaćaju zero-day ranjivost u programskom paketu ASP.NET. Sigurnosni savjetnik rekao je kako ranjivost postoji zbog načina na koji ASP.NET obrađuje vrijednosti u ASP.NET oblik nakon što uzrokuje koliziju kriptografskih sažetaka. Ranjivost izlaže korisnike napadu uskraćivanja usluga (eng. Denial of Service). Napadač bi mogao napraviti HTTP (eng. HyperText Transfer Protocol) zahtjev koji sadrži tisuće oblika vrijednosti, koji bi utrošili sve CPU (eng. Central Processing Unit) resurse na ciljanom računalu. Web stranice koje služe samo za statičke stranice nisu ranjive na ovaj napad. Savjetnik je rekao kako web stranice koje ne dopuštaju HTTP sadržaj oblika „application/x-www-form-urlencoded“ ili „multipart/form-dana“ nisu ranjive na ovaj napad. Tvrtka Microsoft još nije svjesna postojanja ikakvog oblika iskorištavanja. Kako bi se zaobišao ovaj problem potrebno je postaviti ograničenje na veličinu HTTP zahtjeva koje će server primiti. Dodatni opis moguće je naći na stranicama portala The Register, gdje je objavljena izvorna viejst.
Iz tvrtke Siemens došlo je priopćenje kako se planira izdavanje sigurnosne nadogradnje u siječnju 2012. godine. Radi se o reakciji na javno objavljivanje propuste u proizvodima tvrtke Siemens, koji mogu dopustiti napadačima da preuzmu kontrolu nad sustavom bez potrebnog poznavanja korisničkog imena i lozinke. Billy Rios, sigurnosni istraživač, objavio je detalje na svom blogu o nekim ranjivostima koje je otkrio s kolegom Terryjem McCorkeom, a koje su prijavili Siemensu i ICS-CERT-u još u svibnju. Siemens je potvrdio kako su u postupku popravljanja nedostataka. Rios i McCorke su prijavili oko 1000 propusta u industrijskom sustavu kontrole proizvoda tijekom posljednjih nekoliko godina i odlučili su to iznijeti javno nakon što je Siemensov predstavnik za odnose s javnošću rekao kako tvrtka nema otvorenih izvještaja o ranjivostima. Rios je izjavio kako su ICS-CERT-u prijavili ranjivost koja zaobilazi provjeru u Siemensovim Simatic sustavima kao i nekoliko drugih problema. Drugi problem je u zadanoj lozinki Simatica koja je „100“ i ako je korisnik proba promijeniti i koristi specijalne znakove (kao što su upitnih, uskličnik i drugi), lozinka se automatski vraća na „100“ bez znanja korisnika. Najozbiljniji od tri sigurnosna problema, koje je Rios javno objavio, je ranjivost koja zaobilazi provjeru. Kada se administrator prijavi na web HMI, aplikacija vraća kolačić sjednice, koji se lagano može dekodirati i pružiti udaljeni pristup Siemens Simatic HMI-u. Dodatne informacije moguće je pročitati na web stranicama portala DarkReading.
Stručnjaci iz tvrtke M86 Security Labs otkrili su programski kod za iskorištavanje ranjivosti nedavno nadograđene Jave koji može omogućiti nepovjerljivim Java aplikacijama stjecanje povlaštenog pristupa pogođenom sustavu te deaktiviranje sigurnosne zaštite. Navode kako posljednje inačice aplikacija za provjeru ranjivosti Blackhole, Phoenix i Metasploit, sadrže mogućnost iskorištavanja Java ranjivosti oznake CVE-2011-3544. Programski kod napadači mogu dodatno iskoristiti za kompromitiranje sustava i instalaciju malicioznog sadržaja udaljenim pristupom. Iz tvrtke nadalje ističu, kako ranjivost zahvaća više operacijskih sustava te ne zahtjeva primjenu tehnike izazivanja pojave preljeva spremnika, radi čega su se autori penetracijskih alata požurili dodati je u svoje aplikacije. Ova ubrzana implementacija je donekle neobična za aplikacije za provjeru ranjivosti koje se obično oslanjanju na napade za dugotrajnije ranjivosti. Aplikacije su kreirane za probijanje slabo zaštićenih sustava koji se mogu zaraziti s vrlo niskim rizikom detekcije.
Izvor: NacionalniCERT
Posljednje sigurnosne preporuke