Na poznatom godišnjem natjecanju računalnih programera, "Pwn2Own", natjecatelji sigurnosnog tima francuske tvrtke Vupen, demonstrirali su uspješan način kompromitiranja Google Chrome web preglednika. Za svoj uspješan "hacking", tim iz Vupena primjenio je dva "zero-day" propusta. Proces uspješne kompromitacije započinje posjećivanjem posebno prilagođenom web sjedištu nakon čega se pokreće exploit koji otvara Chrome calculator dodatak izvan sandboxa web preglednika kako bi se preuzela potpuna kontrola nad ažuriranim 64-bitnom Windows 7 OS-u. Vođa tima, Chaouki Bekrar, kazao je da su radili oko šest tjedana kako bi pronašli i isprogramirali dvije ranjivosti, od kojih jedna zaobilazi DEP i ASLR sigurnosne značajke na Windowsima te druga koja izbjegava Chromeovu sandbox tehnologiju. Bekrar nije želio potvrditi je li ciljano i na "third-party" kodove unutar preglednika, a ovdje je riječ o postojanosti "use-after-free" ranjivosti u inicijalnoj instalaciji Chromea. Inače, zanimljivo je da je Googleov sigurnosni tim povukao svoje sponzorstvo kada je otkriveno da je natjecateljima dopušten ulaz na Pwn2Own bez obveze prema proizvođačima o otkrivanju načina potpunog iskorištavanja ranjivosti.
Izvor: NacionalniCERT
Agencija za nacionalnu sigurnost SAD-a (eng. US National Security Agency - NSA) objavila je na konferenciji RSA specifikacije za svoju sigurnu telefonsku mrežu. Projekt je nazvan „Project Fishbowl“, a mreža se temelji na operacijskom sustavu Android. Slično tome, njemačka vlada mijenja svoja sigurnosna rješenja pametnih telefona s mobilnih platformi Windows Mobile i Symbian na Android. Na sajmu CeBIT otkriveno je da njemačka vlada koristi dva odvojena rješenja kako bi osigurala sigurne telefone državnim službenicima. Radi se o sustavu tvrtke T-Systems pod nazivom „SiMKo“ i sustavu „SecuSUITE“ koji je projektirala tvrtka Secusmarts. Oba ova sustava su iz njemačkih tvrtki i izvorno su napravljeni za druge operacijske sustave (SiMKo za operacijski sustav Windows Mobile, a SecuSUITE za operacijski sustav Symbian). Trenutno se radi na njihovom prilagođavanju operacijskom sustavu Android. Prema ovim dvjema tvrtkama, pametni telefoni koriste posebne memorijske microSD kartice kako bi se na njih mogli pohranjivati kriptografski ključevi i certifikati koji su potrebni za šifriranje prometa. Ova tehnologije nije se mogla prilagoditi za pametni telefon iPhone tvrtke Apple jer ne podržava utor za memorijsku microSD karticu. Više informacija moguće je pronaći na web stranicama portala The H Security.
Izvor: LSS Security
U ponedjeljak 27. veljače 2012. godine tvrtka Google odustala je od sponzoriranja natjecanja u hakiranju pod nazivom „Pwn2Own“ te će umjesto toga dati milijun dolara znanstveniku koji može iskoristiti nedostatke preglednika Chrome. Tvrtka će pokrenuti vlastiti izazov za iskorištavanje ranjivosti na konferenciji „CanSecWest“ jer im se nije svidjelo što su organizator i glavni sponzor tvrtka HP, promijenili pravila natjecanja „Pwn2Own“. Prvo je tvrtka Google obećala platiti 20 000$ istraživaču koji uspije hakirati preglednik Chrome samim iskorištavanjem njegovih nedostataka te 10 000$ za djelomične ranjivosti koje se zasnivaju na pogreškama u pregledniku. Web preglednik Chrome testiran je u okruženju Sandbox, tehnologije protiv iskorištavanja koja izolira zlonamjerne programe, te je zbog toga za napad na njega potrebno iskorištavanje dvije ili više ranjivosti. No, tvrtka Google odbacila je prvotnu ideju o nagradi od 20 00$ te će dati nagradu od 1 milijun dolara na natjecanju „CanSecWest“. Uspješno iskorištavanje ranjivosti web preglednika Google Chrome na operacijskom sustavu Windows 7, tvrtka Google nagradit će sa 60 000$, što je jednako najvećoj nagradi na natjecanje Pwn2Own. Izvorna vijest objavljena je na stranicama portala Network world.
Izvor: LSS Security
Sigurnosna tvrtka Intego upozorava na nove inačice podmuklog trojanskog konja kojem je cilj ukrasti bankovne podatke za prijavu na Internetu od korisnika uređaja Mac. Posljednja inačica ovog trojanskog konja pod nazivom „Flashback Trojan“ koristila je kombinaciju ranjivosti u programskom jeziku Java i socijalni inženjering kako bi se mogao instalirati na uređaj na kojem se nalazi inačica operacijskog sustava Snow Leopard. Tvrtka Intego upozorava kako su korisnici koji imaju operacijski sustav Mac OS s ranijim inačicama programa Java u ugroženi ovim trojanskim konjem koji se instalira nakon posjećivanja ugroženih web stranica. Ako se nije uspio na ovaj način instalirati, on će pokušati prevariti korisnike da sami instaliraju trojanskog konja tako da se predstavlja kao certifikat tvrtke Apple. Jednom kada se instalira počinje potragu za korisničkim imenima i lozinkama web stranica uključujući web stranice PayPal, Google, Yahoo i bankarski sustavi na Internetu. Upozorenje o ovom trojanskom konju dolazi samo dan nakon što je tvrtka Apple otkrila kako će sljedeća inačica operacijskog sustava uključivati dodatnu zaštitu protiv zlonamjernih programa. Originalna vijest dostupna je na web stranicama portala V3.
Izvor: LSS Security
Prema studiji računalnih znanstvenika Sveučilišta Cambridge PIN (eng. Personal identification number) brojevi za banke koji se sastoje od četiri znamenke su skoro nesigurni kao i lozinke na web stranicama. Prva kvantitativna analiza o težini pogađanja četveroznamenkastih PIN brojeva procjenjuje široku praksu korištenja datuma rođenja za PIN kod što znači da će oportunistički lopovi moći točno pogoditi pin prije nego što se kartica blokira između 8 i 9% vremena. Istraživači su napravili izbor bankovnog PIN-a koristeći kombinaciju podataka koji su dolazili iz drugih izvora i Internet anketa. Većina ljudi značajno pažljivije bira PIN brojeve nego lozinke na Internetu, a većina koristi efikasne slučajne znamenke. Ako korisnici koriste svoj novčanik, najvjerojatnije će imati identifikacijski dokument na kojem se nalazi datum rođenja. Ovime korištenje datuma rođenja kao PIN broja za bankovne kartice postaje grozna ideja. Istraživači predlažu kako stavljanje 100 najpopularnijih PIN-ova na crnu listu može smanjiti vjerojatnost pogađanja na oko 0,2%. Nažalost neke banke u SAD-u i Europi ne zabranjuju PIN brojeve koji se lagano mogu pogoditi (kao što je 1234). Više podataka moguće je pronaći na web stranici portala The Register.
Izvor: LSS Security
Posljednje sigurnosne preporuke