avatar

Bolesław Harla

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

dodany: 25.08.2012 | tagi: , , ,

Backdoor w przemyśle

0

Rugged OS to przemysłowy system operacyjny stosowany m.in w elektrowniach czy także siłach zbrojnych. Jeden z badaczy bezpieczeństwa tego systemu Justin W. Clarke odkrył dość poważną lukę w bezpieczeństwie, która w rezultacie pozwala na nieautoryzowane wejście do systemu. System ten wykorzystuje w połączeniu SSL silnie zaszyfrowany poufny klucz RSA. Klucz ten jednak może także posłużyć intruzom w przejęciu połączenia sieciowego SSL.

ICS-CERT (http://www.kb.cert.org/vuls/id/889195), które specjalizuje się w dziedzinie kontrolowania systemów przemysłowych, zwróciło uwagę użytkownikom na wysoki stopień niebezpieczeństwa związany z odkryciem Clarke’a. W kwietniu tego roku Clark odkrył też  poważną dziurę w zabezpieczeniach urządzeń od Siemensa, które działają w oparciu o RuggedCom, która także pozwala na nieautoryzowane wejście do systemu. Niestety, usterka ta nie zostanie od razu naprawiona – RuggedCom, który wydaje ROS zostało przejęte przez Siemensa, który zapowiedział, że dopiero następna wersja systemu ma być pozbawiona usterki. Dla porównania inna firma kanadyjska nie zareagowała na błąd, mimo, że upłynął już ponad rok od zgłoszenia przez Clarka…

dodany: 21.08.2012 | tagi:

Bezpieczniejsze płatności z Visą

0

Visa ogłosiła, iż opracowuje nowy system płatności kartami. Położono w nim przede wszystkim nacisk na bezpieczeństwo. Serwis nosi nawę Visa Merchant Data Secure i  wykorzystuje szyfrowanie na drodze punkt-do-punkt (P2PE).

System ma być w pełni dostępny dla klientów z początkiem przyszłego roku. Opracowywany system jest reakcją na dużą liczbę ataków, w których często są odsłaniane szczegóły dokonanych płatności, włącznie z numerami kart kredytowych. Szyfrowanie ma znacznie to utrudnić i zminimalizować ryzyko do minimum.

Kodowanie ma być oparte na Triple Data Encryption Standard (TDES) oraz wykorzystywać klucz DUKPT (Derived Unique Key per Transaction), które dzisiaj jest używane do szyfrowania kodu PIN na kartach. Poza tym Visa mówi o opcjonalnym dla użytkownika FPE (Format Preserving Encryption).

System jest już  w zasadzie opracowany, aczkolwiek jest poddawany szczegółowym testom.

dodany: 10.08.2012 | tagi: ,

Ostrożnie z WordPressem

0

SophosLabs ujawniło lukę w standardowych zabezpieczenia oprogramowania WordPress w przypadku używania mechanizmu do blogowania – za jej pomocą możliwe jest użycie exploita z zestawu Blackhole kit, który został opublikowany w 2010. Szczególną ostrożność powinni zachować użytkownicy, którzy otrzymają maila z tematem  „Verify your order”, w środku którego jest link z exploitem. Podszyta strona legitymuje się możliwością zainstalowania platformy bloggingowej WordPress.

Na atak podatni są Ci użytkownicy, którzy bezpośrednio zainstalowali u siebie oprogramowanie WordPress, natomiast ci, którzy używają bezpośrednio serwisu wordpress.com mogą spać spokojnie. W przypadku tych użytkowników, którzy nie wystarczająco zabezpieczyli swojej strony, mogą przez ów link zasadzić u siebie malware – Sophos AV wykrywa je jako Troj/PDFEx-GD, Troj/SWFExp-AI, Mal/ExpJS-N i Troj/Agent-XDM. Aby się tego ustrzec należy zaktualizować program do najnowszej wersji.

dodany: 09.08.2012 | tagi: , , ,

Sandboxing w Chrome

0

Programiści przeglądarki Chrome we współpracy z Adobe opracowali plugin do bezpiecznego korzystania z technologii Flash. Nie od dziś wiadomo, że Adobe ma spore problemy z bezpieczeństwem swoich produktów – w aktualizacjach zazwyczaj widzimy lakoniczną informację o „niesamowitym zwiększeniu wydajności”, a faktycznie sprawa dotyczy rażących błędów… Plugin przed uruchomieniem Flasha testuje go używając sandboxing’u. Aby ulepszyć tę technologię, producent przeportował swój Plugin Flash z starszego Netscape Plugin API (NPAPI) do architektury Google Pepper Plugin API (PPAPI). Ulepszenie jest dostępne na razie dla windowsowskiej wersji przeglądarki. Google chwali się, że zabezpieczenie to jest lepsze niż jakiekolwiek inne z tego powodu, że Flash nie używa mechanizmu ASLR (Address Space Layout Randomisation).

Usprawniona wersja pod Linuxa z dołączonym Flash’em, a także wersja pod OS X mają zostać wydane wkrótce. Co prawda Pepper API jest zaimplementowane w open source’owego Chromium, z tymże sam plugin Flash nie jest dołączony do przeglądarki, co nie pozwala na wykorzystanie w  pełni mechanizmu bezpieczeństwa.