Drugi izvještaj HII (eng. hacker intelligence initiative) inicijative, tvrtke za zaštitu podataka Imperva, detaljno opisuje kako bi zlonamjerni korisnici mogli izvesti napad pod imenom SEP (eng. search engine poisoning). Izvješće je rezultat 15 mjesečnog istraživanja tijekom kojeg je tvrtka Imperva sustavno napadala tražilice, bez očitih protumjera od strane napadnutih. Zlonamjerni korisnici SEP napadima pokušavaju, prilikom pretrage Internet tražilicama, postaviti svoje stranice na više mjesto u rezultatima pretrage. Na taj način žele korisnike preusmjeriti na svoje web stranice koje su najčešće zaražene zloćudnim programima. U izvještaju stoji kako takvi napadi najčešće prolaze neopaženo administratorima tražilica. Jedna od najčešćih metoda korištenih prilikom SEP napada je iskorištavanje XSS (eng. cross site scripting) ranjivosti. Zabrinjavajuća činjenica je da takve zaražene web stranice prolaze neopaženo raznim sigurnosnim mjerama Internet preglednika pa ni sami korisnici nisu svjesni napada. Pružatelji usluga Internet pretraživanja trebali bi poraditi na zaštiti svojih korisnika. Izvorna vijest dostupna je na web stranicama magazina info security.
Izvor: LSS Security
Pentagon, u nadi da će na taj način smanjiti broj cyber-napada, planira izdati novu strategiju kojom bi se računalni napadi iz strane zemlje trebali smatrati činom rata. Nova vojna strategija je nastala iz debate započete pedesetih u Washingtonu kojom se planiralo spriječiti nuklearne napade na SAD.
Prema stavkama strategije bilo koji napad koji prijeti civilima se treba smatrati činom agresije i sankcionirati po potrebi i vojnim putem. Vojni službenici su uočili da je strategija namjerno ostavljena dvosmislenom te nisu uvjereni koliko će učinka kao takva moći imati. Primjera radi, strategija ne ističe na koji bi način Amerika trebala reagirati na takve napade, niti ističe za koji tip napada bi trebalo poduzeti vojni odgovor. Tokom hladnog rata je ovakva strategija uspijevala jer se efikasno moglo zaključiti odakle napad dolazi i u kratkom vremenskom periodu se mogao osmisliti protunapad. Kod računalnih napada, ishodište napada je gotovo uvijek nejasno. Također je prilično teško ustanoviti dolazi li napad od grupe ljudi ili baš određena država stoji iza njih. Dužnosnici Bijele kuće upozoravaju da je vojni protunapad zadnji odgovor te usmjeravaju pozornost na međunarodnu strategiju koja poziva na suradnju svih zemalja u zaustavljanju potencijalnih napada. Strategija Pentagona izlazi u trenutku kada se milijarde dolara ulažu u računalnu sigurnost, a bitno je napomenuti da se sve stavke strategije uklapaju u međunarodnu cyber-strategiju izdanu prije dva tjedna od strane Bijele kuće. Izvorna vijest je objavljena na stranicama portala The New York Times.
Izvor: LSS Security
Kako električna mreža postaje sve povezanija preko Interneta, od samih izvora odnosno elektrana do korisničkih uređaja u domu, zaštita ovakvih sustava postaje jako važna. Profesor računarstva Errin Fulp radi na izradi „digitalnih mrava“ koji bi patrolirali takvim sustavima, u potrazi za prijetnjama kao što su računalni virusi.
U ovako povezanim sustavima, zloćudni programi se lako ubace kroz ulaze koji nisu previše nadzirani, kao što su uređaji za nadzor električne energije u korisničkom domu. Kada se jednom nađu u sustavu, programi lako putuju i napadnu visoko rizične točke, npr. elektrane. Digitalni mravi bi patrolirali takvim sustavima i kada bi otkrili potencijalnu prijetnju sve više bi ih se skupljalo na tom mjestu. Na taj način bi skrenuli pažnju na tu točku i slijedila bi provjera stručnjaka za računalnu sigurnost. Njihova funkcionalnost provjerena je na manjoj razini, i pokazali su se kao dobra ideja. Sada preostaje njihova primjena i provjera djelotvornosti na ovakvim velikim sustavima. Izvorna vijest dostupna je na web stranicama sveučilišta Wake Forest University.
Izvor: LSS Security
Iako je nova strategija SAD-a za sigurnost u Internetu naišla na mnoštvo pobornika, stručnjaci ukazuju na probleme implementacije.
Hillary Clinton, glavna državna tajnica, uputila je na „Međunarodnu strategiju za cyber-prostor“ koja donosi sedam glavnih ciljeva za sigurniji i pouzdaniji Internet. Tako se u ciljevima ističe sloboda izražavanja i trgovanja putem Interneta, ali uz uskraćivanje istih teroristima i kriminalcima. Pitanje koje se nameće je kako otkriti tko stoji iza korisničkih računa uz zadržavanje internetske privatnosti. Josh Corman, sigurnosni analitičar, smatra potrebnim stvaranje ovakvih ciljeva i pravila, no ukazuje da nadležni nisu iznijeli način kako će provesti spomenute ciljeve. Jeffrey Carr, CEO (eng. chief executive officer) sigurnosnih konzultanata Taia Global, ukazuje da je gotovo nemoguće sa sigurnošću utvrditi tko pokreće napade i stoji iza kriminalnih činova u cyber-prostoru. Poveže li se napad s poslužiteljem u određenoj državi nova tehnologija nam ne daje mogućnost da ustanovimo stoji li ta država zasigurno iza napada. Carr smatra da ciljevi zvuče idealno, no da su ih pisali ljudi koji ne rade u području internetske sigurnosti. Također smatra da bi prvenstveno trebalo ustanoviti posebne institucije za provođenje spomenutih ciljeva za što je potrebna međudržavna suradnja. Rusija i bivše države sovjetskog saveza odbijaju sudjelovati u smanjenju međunarodnog internetskog kriminala, stoga predstavljaju rupu u novoj strategiji. Detaljniji podaci objavljeni su na stranicama portala networkworld.
Izvor: LSS Security
Dvojica sigurnosnih stručnjaka, Dillon Beresford i Brian Meixell, kreirala su zloćudni program sličnih sposobnosti kao poznati Stuxnet s kojim je poremećen Iranov nuklearni program.
Stručnjaci su toliko zabrinuli vladine dužnosnike da su zamoljeni da odgode iznošenje svojih rezultata, što su planirali napraviti na konferenciji računalne sigurnosti održanoj prošli tjedan u Dallasu. Razlog tomu je strah od oponašanja napada na industrijska postrojenja, brane, rafinerije, elektrane i slično. Do sada vlasti nisu razmatrale mogućnost takvih napada, jer je prvobitna analiza napada Stuxnetom pokazala da bi njegovo kopiranje zahtijevalo velika sredstva i detaljne informacije o ciljanom sustavu. Spomenutom dvojcu za razvoj sličnog programa na običnom prijenosniku trebalo je samo dva i pol mjeseca. Njihov napad isproban je na Siemensovim uređajima, kakvi se koriste diljem svijeta u industrijskim postrojenjima, a sam napad radi tako da uređaje za kontrolu industrijskih procesa navodi da sami sebe unište. Tvrtka Siemens je najavila da očekuju kako će zakrpe koje isprobavaju biti spremne kroz nekoliko tjedana. Američki vladini dužnosnici pohvalili su dvojicu istraživača što su odlučili odgoditi iznošenje svojih rezultata što je omogućilo ispravljanje sigurnosnih propusta koje bi oponašatelji mogli iskoristiti i nanijeti ogromne štete postrojenjima diljem svijeta. Više podataka moguće je pronaći na web portalu Washington Times.
Izvor: LSS Security
Posljednje sigurnosne preporuke