Выпуском исследования по безопасности, которое описывает 50 угроз в таких стандартах, как HTML5, Агентство европейской безопасности ENISA предупреждает, что, возможно, потребуется переписывать многие только что созданные веб-стандарты.

"Доклад "Анализ безопасности следующего поколения веб-стандартов" создавался агентством в то время, когда многие стандарты были еще не завершены", - объяснил редактор Джайлс Хогбен. "Сейчас многие из этих спецификаций достигают точки необратимости и изменения в них вносить будет уже поздно. Но у нас еще есть возможность серьёзно задуматься о безопасности, прежде чем окончательно утвердить стандарт, а не пытаться латать его после", - сказал он.

"Это уникальная возможность создать защиту на стадии проектирования (security-by-design)".

В докладе анализируются 13 стандартов World ... Читать дальше »

Недавно исследователи из IBM обнаружили в браузере Android уязвимость, которая может быть эксплуатирована непривилегированным приложением для внедрения JavaScript кода в контекст любого домена. Данная уязвимость имеет те же последствия, что и XSS, хотя здесь речь скорее идет об установленном приложении, а не о другом сайте.

Новые версии Android 2.3.5 и 3.2 содержат фикс для этого бага. Патчи для Android 2.2.* и будут выпущены позднее. Полный информационный бюллетень можно найти здесь. Сам браузер хранит важную информацию, такую как куки, кэш и историю, и внедрение JavaScript кода делает возможным изъятие данной информации, косвенно нарушая архитектуру песочницы Android. Атака эксплуатирует уязвимости в том, как браузер реагирует на запросы просмотра веб-страниц от других приложений.

Недавнее раскрытие уязвимостей в программируемых логических контролерах (PLC) компании Siemens червем Stuxnet говорит о гораздо более серьезной проблеме в промышленных системах, заявляют эксперты.

Исследователь Диллан Бересфорд был одним из группы экспертов, администраторов и промышленных специалистов, которые выступали на конференции Black Hat с докладами, посвященными уязвимостям программируемых логических контроллеров.

Даже в свете атаки червя, экспертная группа считает, что Siemens является одним из лучших производителей программного обеспечения, когда речь идет об обеспечении безопасности своих PLC систем. Джонатан Полет, основатель и главный консультант по вопросам безопасности и тестирования в фирме Red Tiget, утверждает, что многие производители не в состоянии обеспечить даже минимальную защиту своих контроллеров.

"Он открыл ящик Пандоры, с которым мы имеем дело в течение уже долгого времени", - говорит Полет об исследовании Бересфорда.

Занимающаяся вопросами безопасности компания iSec Partners заявила, что разработанная компанией Apple платформа OS X Server не подходит для использования в организациях из-за возможной подверженности атакам Advanced Persistent Threat (ATP) на Mac системы.

Работающий в iSec Алекс Стамос утверждает, что несмотря на то, что индивидуальные Mac-системы могут быть защищены, уязвимости, лежащие в основе сетевого протокола этой платформы, ставят OS X Server под угрозу.

"Ваши Mac подобны маленьким островам во враждебной сети. Стоит только вам включить административный режим, стоит только установить OS X Server, и вам крышка", - заявил он участникам конференции.

Проблема заключается в том, как сеть OS X обрабатывает протоколы аутентификации. Исследователи объяснили, что протоколы могут быть собраны и взломаны в оффлайне методами перебора. Компания iSec представила результаты теста, в котором сеть Apple была взломана с помощью целевой атаки на конечную систему. ... Читать дальше »

Как разрабатывать безопасные приложения? В любой крупной софтверной компании есть свои методологии и рекомендации, но, как правило, они никогда не разглашаются. Microsoft делится со всеми не только своим подходом к созданию безопасных приложений, но и конкретными инструментами, которые ты можешь использовать.

Не успел я в прошлой "Колонке редактора" вспомнить про Microsoft и их наработки в области безопасности, как в Москву прилетел Стив Липнер. Это удивительный человек. Сложно представить, но свой первый отчет об уязвимостях в программном обеспечении он написал 40 (!) лет назад. Сейчас Стив работает в Microsoft и отвечает за стратегию безопасности разработки ПО, в основе которой лежит принятая компанией в 2004 году политика SDL (Security Development Lifecycle).

По сути, SDL — это набор практик, проверенных временем подходов и инструментальных средств, которые позволяют разрабатывать безопасный код. ... Читать дальше »

7% из 98 опрошенных учёными из Гарварда блогеров за последний год задерживались или арестовывались; 30% получали в свой адрес угрозы; сайты и почту 18% взламывали или пытались взломать.

Исследование Беркмановского центра изучения Интернета и общества при Гарвардском университете (США), проводившееся при участии новостного агрегатора Global Voices (GV), было сфокусировано на нелёгкой жизни блогеров Северной Африки и Ближнего Востока. Авторы веб-дневников, имена которых не раскрываются, выбирались из числа тех, чьи материалы воспроизводились GV; большинство из них представляет арабские страны, и лишь единицы — Израиль, Иран и Турцию.

81% блогеров писали на английском, остальные — на французском ил ... Читать дальше »

Киберпреступность не только растёт, но и всё сильнее вредит всему и вся. В 2011 финансовом году стоимость киберпреступлений обошлась пятидесяти крупнейшим американским компаниям в среднем в $5,9 млн (прошлогодний показатель — $3,8 млн), а число нападений выросло на 44%. Каждую неделю по крайней мере одна какая-нибудь крупная американская фирма становится жертвой хакерских атак, сообщает организация Ponemon Institute.

Имеются в виду расходы на экспертов в области безопасности, расследования, модернизацию ПО; учитываются также снижение производительности труда и стоимость украденной интеллектуальной собственности.

Самыми дорогими киберпреступлениями названы отказ в обслуживании, веб-атаки, распространение вредоносного кода и вредительство со стороны сотрудников. На ликвидацию последствий теперь уходит в среднем 18 дней (в прошлом финансовом году — 14), а средняя стоимость одной атаки составила $415 тыс. ... Читать дальше »

Корпорация Microsoft учредила конкурс BlueHat Prize для экспертов в области компьютерной безопасности. Об этом было объявлено на конференции Black Hat.

«Майкрософт» обещает призы за разработку инновационных средств противодействия атакам, в ходе которых задействуются уязвимости, связанные с организацией памяти. В корпорации считают, что появление принципиально новых инструментов борьбы с хакерами обеспечит более эффективную компьютерную защиту, нежели поиск и устранение отдельных «дыр» в ПО.

Победителю конкурса обещан денежный приз в размере $200 тыс., обладатель второго места получит $50 тыс. «Бронзовому» разработчику вручат подписку к сети Microsoft Developer Network (MSDN), оценивающуюся в $10 тыс. Так ... Читать дальше »

На конференции Black Hat в Лас-Вегасе специалисты из Aperture Labs показательно взломали мобильную платёжную систему Square.

Во время посвященной проблемам противодействия компьютерной преступности конференции Black Hat, что проходит в Лас-Вегасе (США), Адам Лори и Зак Фрэнкен, представляющие занимающуюся ИТ-безопасностью компанию Aperture Labs, продемонстрировали несовершенство платёжной системы Square.

Компания Square предлагает компактные считыватели для электронных карт и сопутствующее ПО. С их помощью владелец смартфона на платформе Android, а также iPhone, iPad, или iPod touch может превратить свой аппарат в банкомат, который только что не выдаёт и не принимает наличные. ПО и ... Читать дальше »