5 tipičnih web napada čiji su cilj vaši podaci

02. 07. 2014 | uredio | software

Jul
02

Symantec skreće pažnju na pet tipičnih vrsta napada na web siteove koji i dalje predstavljaju velik sigurnosni izazov za većinu firmi
Kako se veliki deo poslovanja danas obavlja preko Interneta, web siteovi glavne su mete za cyberkriminalce. Premda su upotrebljeni web napadi često relativno dobro poznati, zaštita od njih za mnoge je kompanije i dalje nedohvatljiva pa su oni još uvek uobičajeni izvor kompromitacije siteova.
Složenost weba, pojačana nedostacima u postojećoj infrastrukturi, čini mnoge siteove ranjivima, a opasnost se svakim danom samo povećava. Prema zadnjem Symantecovom Internet Security Threat Reportu za 2013., bilo je otkriveno 6787 ranjivosti. Za uporedbu, 2012. ih je bilo 5291. Ono što još više zabrinjava jeste činjenica da je svaki osmi site imao poznate kritične, ali i nezakrpane ranjivosti, dok se 67% siteova iskorištenih za širenje zloćudnog softvera identifikovalo kao legitimno, ali je pritom bilo kompromitovano.
U nekoliko zadnjih godina, broj zloćudnih programa na webu porastao je dramatično, a najveći broj se pojavio zbog automatizacije i dostupnosti kompleta za iskorištavanje sigurnosnih ‘rupa’. Hakeri upotrebljavaju softverske komplete koji sadrže hiljade zloćudnih programa i exploita da bi izvršili automatizovane ‘usputne’ napade koji šire zloćudni softver i tako zaraze daljnje računare. S tim kompletima exploita, cyberkriminalci mogu lako povećati opseg napada i pokušavati s raznim taktikama upada koje probaju iskoristiti poznate ranjivosti.
Raširenost ovih kompleta se može videti po prosečnom broju zloćudnih siteova blokiranih svakog dana. Sve veća popularnost exploit kompleta ne samo da snižava letvicu za ulazak napadača na ovo područje nego i podiže letvicu kompanijama koje žele zaštiti svoju infrastrukturu na webu.
Cyberkriminalci mogu kompromitovati svaki site te ga potom upotrebiti za napad na vaše podatke. Skrećemo pažnju na pet najuobičajenijih metoda napada koje su i dalje problem za mnoge siteove, pri čemu zahvaljujemo Open Web Application Security Projectu (OWASP) za detaljne opise:

Symantec-logo

1. SQL Injection

SQL Injection je tehnika umetanja koda koja unosi zloćudne SQL izjave i naredbe u polje unosa za izvršavanje što dovodi do toga da web server šalje, odnosno vraća informaciju koje ne bi smeo vratiti. Kao rezultat, web server omogućava pristup informacijama koje bi trebale biti sigurne i izvan dohvata. Na primer, takvi su podaci korisnička imena i lozinke.

2. Cross Site Scripting (XSS)

Cross Site Scripting najrašireniji je sigurnosni propust u web aplikacijama, a događa se kad aplikacija prihvati neproverene podatke i pošalje ih browseru bez prave provere ili označavanja kraja. To napadačima omogućava da izvršavaju skripte u browseru žrtve kada ona poseti site, čime se pak može preuzeti kontrolu nad korisničkom sesijom, vandalizovati site ili preusmeriti korisnika na zloćudne siteove.

3. CSRF (Cross-Site Request Forgery)

CSRF napad krade žrtvin sesijski kolačić (cookie) i druge autentifikacijske informacije koje se koriste za prijavu na ranjivi site. Kad se to izvrši, napadač može onda preuzeti kontrolu nad žrtvinom sesijom, na primer na siteu banke te tako dobiti potpunu kontrolu nad računom. Međutim, kako site veruje da je prijavljen legitimni korisnik, jako je teško otkriti kad je ovakav napad uspeo.

4. Korištenje komponenti s poznatim ranjivostima

Komponente – kao što su biblioteke koda, okviri i drugi softverski moduli – koje imaju poznate ranjivosti postale su napadačima vrlo lako dostupno voće. Međutim, kako smo videli kod nedavnog Heartbleed buga, efektivno upravljanje zakrpama i sigurno kodiranje mogu biti teški, pogotovo za složene web aplikacije. Aplikacije koje koriste komponente s poznatim ranjivostima mogu potkopati obranu aplikacije i omogućiti čitav niz mogućih napada i uticaja.

5. Posrednik (Man in The Middle)

Napad poznat pod imenom “posrednik” (Man in The Middle) presreće komunikaciju između dva sistema. Na primer, u http transakciji (komunikaciji web servera i klijenta), meta je TCP veza između klijenta i servera. U nekim smo okolnostima videli kako siteovi pritom šalju osetljive informacije bez dovoljno jake enkripcije.
Ove uobičajene ranjivosti na webu postoje uglavnom zbog nedostatka zaštite unutar samog koda web aplikacije. U teoriji to znači da ih se uvelike može sprečiti implementacijom najbolje sigurnosne prakse tokom životnog ciklusa razvoja softvera. Međutim, brzina promena i zahtevna priroda poslovnih potreba dovode do toga da se mnoge organizacije teško nose s implementacijom sigurnosti u svoj ciklus razvoja softvera, sve dok ne bude prekasno.
Mnogim poduzećima sigurnost je i dalje reaktivna, često primenjena kada je već prekasno odnosno tek nakon što su napadači već napravili štetu. S naše strane, preduzećima preporučujemo da sigurnost unesu u sam razvojni proces, tako da bude ugrađena u njihovu web aplikaciju od početka. Cena potencijalno sporijeg razvoja koji će proizvesti sigurni kod preteže rizik čekanja da dospete u naslove kao žrtva napredne kampanje čija su meta vaši poverljivi podaci.
Štaviše, preporučuje se da se i razvojni i produkcijski okoliš prate zbog pojave spoljnih pretnji. Većina uobičajenih napada ima poznate IDS/IPS potpise, što Symantecovim Upravljanim sigurnosnim servisima (Managed Security Services) čini otkrivanje lakim pa će vas o njima uvek obavestiti i dati brzo rješenje.

Predstavljen novi Android L OS

30. 06. 2014 | uredio | software

Jun
30

Google je na svojoj konferenciji predstavio narednu varijantu operativnog sistema s oznakom L.

Mada prema nekim glasinama novi Android nosi ime Lollipop, Google ga na svojoj I/O konferenciji za developere nije predstavio tim imenom, već kodnim imenom (oznakom) L. Bez obzira radilo se o “lizalici” ili ne, novi OS zaista donosi zanimljive značajnosti, koje će se prilično dopasti korisnicima, ali i developerima kojima se nude mogućnosti da svoje aplikacije još više ušminkavaju 3D ikonama, animacijama, senkama i drugim značajnostima koje će stvarati i dodatno naglašavati treću dimenziju, koju omogućuje novo “Material Design” korisnički interfejs. Taj interfejs je zamišljen tako da se nađe na svim vrstama Android uređaja, od pametnih telefona i tableta, pa sve do televizora i računara s Androidom ili Chrome OS-om, te info-zabavnih sistema u automobilima.
Među novim značajnostima novog Androida predstavljena je zanimljiva mogućnost otključavanja ekrana bez unošenja passworda, PIN-a, ili biometrijske autentifikacije. Naime, telefon ćete moći jednostavno otključati ako se nalazite u “sigurnoj okolini”, recimo u svojem domu ili automobilu, ili ako radi u sinhronizaciji s nekim od drugih uređaja poput pametnog sata.

Lollipops

Novi centar za obavesti je također pretrpeo razne promene, pa će se kartice s notifikacijama prikazivati i kada je panel zaključan. Naravno, bez otključavanje nećete moći pristupiti sadržaju, ali ćete znati za sve što se događa u vašem virtualnom svetu komunikacija i online društvenih događanja.
Google se također potrudio da L postane čim više zanimljiv firmama, organizacijama i agencijama, pa će novi operativni sistev imati mogućnost paralelnog rada dve varijante operativnog sistema na jednom telefonu, običnog OS-a i “Androida za posao”, koji će biti u potpunosti odvojeni. To znači da bi “službeni Android” trebao biti maksimalno siguran i zaštićen protiv bilo kakve vrste upada, te mu se neće pristupati kroz “obični” OS, jer će posedovati neku vrstu “dual-boot” značajnosti. Naravno ovo nije ništa novo, obzirom da smo nešto slično već davno videli na BlackBerryu, pa će sve ovisiti o tome koliko će firme i agencije biti zadovoljne nakon što testiraju novu značajnost i odluče svoj mobilni komunikacijski sistem temeljiti na Android For for Work L OS-u.
Kada sumiramo sve što smo čuli na konferenciji vezano uz Android L, rekli bismo da mu je najvažnija značajnost integracija u sve tipove uređaja, što će Googleovim telefonima, tabletima, računarima i nosivim gadgetima pružiti jedinstveni Googleov ekusistem, kako bi ih se nateralo da se zapitaju što će im uopšte druge platforme.
Developeri će tokom sledećih nekoliko meseci imati mogućnost testiranja L Developer Preview verzije OS-a, no sigurni smo da će nešto procuriti u javnost, pa ćemo možda moći isprobati novi Android i pre nego počnu službene nadogradnje.

Asus predstavio grafičku karticu HD7970 – najhladniju i najtišu

26. 06. 2014 | uredio | hardware

Jun
26

HD 7970 DirecCU II TOP je model grafičke kartice dizajniran u Asus-u, dolazi sa neverovatnih 1000 MHz za GPU, nudi 12-faznu naponsku jedinicu DIGI+ VRM i mogućnost povezivanja čak šest monitora uz tehnologiju AMD Eyefinity, i to samo sa jedne grafičke kartice.
Kako su se na tržištu pojavile prve grafičke kartice sa novim AMD-ovim „Tahiti“ 28-nm GPU-om, tako je Asus predstavio model oznake HD7970 DirectCU II TOP koji je fabrički overklokovan. Pomenuti model hlađen je ekskluzivnim DirectCU II hlađenjem koje koristi šest bakarnih cevi i dva velika ventilatora zadužena za odnošenje toplote. Asus-ova 12-fazna tehnologija napajanja DIGI+ VRM unapređena je materijalom izrađenim od specijalnih legura, koji doprinosi uštedi energije, preciznosti i daleko manjem zagrevanju. Pun potencijal ovog modela moguće je iskoristiti uz pomoć unapređenog „GPU Tweak“ softvera i uz pomoć tehnologije „VGA Hotwire hardware overvolting“. Uz sve to, ovaj model je u mogućnosti je da obezbedi sliku na čak šest monitora koristeći tehnologiju AMD Eyefinity 6.

Overklokovana na 1000 MHz ― 75 MHz više nego referentan model

Asus HD 7970 DirectCU II TOP dolazi sa fabrički „tjunovanim“ GPU-om koji radi na 1000 MHz, što je za 75 MHz više od referentnog modela. Ovo povećanje ima uticaja na krajnji ishod performansi, pogotovo pri iskorišćenju 3 GB GDDR5 video memorije. Svako dalje povećanje GPU kloka pomoći će boljem iskorišćenju 384-bitne magistrale kroz PCI Express 3.0 koji omogućava dva puta veću propusnu moć u poređenju na rešenja sa PCI Express 2.0.

DirectCU II vodi nas do najtiše i najhladnije HD7950 grafičke kartice

Kako sa dolaskom novih modela grafičkih kartica dolaze sve unapređenija rešenja termalnih DirectCU tehnologija, tako se i ovaj model može pohvaliti najboljim rešenjem do sad. Novi dizajn dolazi sa šest bakarnih toplotnih cevi koje su u direktnom kontaktu da GPU-om, sa dodatnih 20% prostora za disipaciju u poređenju na bilo koju prethodnu verziju. S druge strane, i hlađenje je poboljšano za čak 20% u poređenju na referentni dizajn, pomažući grafičkoj kartici da obezbedi stabilnost i pouzdanost u radu, pogotovo kad je overklokovana. Kako je ovaj model dosta hladniji od referentnog, dva ventilatora mogu da rade na nižem broju obrtaja, čime se obezbeđuje samo 14 dB buke – okruženje pogodno za gejmere koji žele da uživaju u zvučnim efektima svoje najnovije igre, bez spoljašnjih uticaja.

Prva grafička kartica sa 12-faznom digitalnom naponskom jedinicom DIGI+ VRM izrađenom od super legura

Asus je iskoristio dobro projektovanu naponsku jedinicu svojim matičnih ploča, te je HD7970 DirectCU II TOP prva grafička kartica koja koristi DIGI+ VRM. Pomenuta naponska jedinica ima masivno 12-fazno napajanje koje koristi digitalnu regulaciju napona, čiji je zadatak povećanje efikasnosti, veće mogućnosti promene napona uz elemente povećanja stabilnosti i dužeg radnog veka. Grafička kartica sa super legurama pomenutih elemenata donosi veće performanse od referentnog modela, duže će da traje, i u startu nudi više krajnjem korisniku.

amd-radeon-hd-7970

Jednostavno DIY overklokovanje uz pomoć tehnologije VGA Hotwire

Jedna od veoma bitnih tehnologija za overklokere koja je u početku bila ekskluzivna samo za ROG ploče, kao što je Rampage IV Extreme, nosi naziv VGA Hotwire i ima merne i regulatorske tačke na štampanoj ploči. Naponi jezgara, memorije, PLL-a mogu biti promenjeni na hardverskom nivou, što dodatno otvara prostor za nove overklokerske mogućnost

Intuitivni tjuning uz pomoć alata GPU Tweak

Korisnici koji preferiraju korišćenje alata za poboljšanje performansi imaće priliku da uz Asus GPU Tweak suite promene veliki broj parametara, od koji je najbitnije spomenuti promenu kloka GPU-a, promenu kloka memorije, napone i promenu broja obrtaja ventilatora. GPU Tweak može da kontroliše četiri kartice u isto vreme, koristeći tehnologiju AMD CrossFireX. Promena kloka, napona memorije i GPU-a moguća je i u sinhronizovanom režimu, te kao pride postoji opcija prebacivanja između 2D i 3D režima zarad što boljih 3D Benchmark rezultata. Na taj način korisnik dobija preciznije rezultate testiranja i veće vrednosti rezultata na, recimo, takmičenjima usko povezanim sa 3D Benchmark testovima. GPU Tweak nudi automatsko nadogradnju BIOS-a i drajvera, kako bi bili u korak sa novim gejmerskim naslovima. Asus je takođe uz pomoć Techpowerup-a integrisao GPU-Z u GPU Tweak nudeći na taj način još preciznije nadgledanje podataka i praćenje stanja osnovnih elemenata.

Prva grafička kartica koja ima četiri DisplayPort-a za šest monitora vezanih uz pomoć tehnologije AMD Eyefinity

Hardverski sklop grafičke kartice HD7970 DirectCU II TOP dozvoljava povezivanje šest monitora preko dva DVI i četiri DisplayPort konektora, čime se omogućuje HD/4K rezolucija bez upotrebe dodatnih adaptera. Efikasnost snage novog 28-nm GPU-a omogućava bolji izgled čak i na ekstremno velikim ekranima.

Zakrivljeni UHDTV

23. 06. 2014 | uredio | hardware

Jun
23

Kompanija Samsung electronics organizovala je dvodnevnu konferenciju „Samsung Adriatic Forum“, na kojoj je premijerno na srpskom tržištu predstavljen zakrivljeni televizor. Na Forumu su bili izloženi i brojni najnoviji uređaji u svim kategorijama – kompletan portfolio AV uređaja za 2014. godinu, poslednja generacija štampača sa podrškom za NFC bežično povezivanje, monitori i ekrani velikih formata, najnovija linija smart telefona, tableta i kamera, ali i ekskluzivni pametni kućni uređaji, mašine za pranje veša, frižideri i klime.
„Samsung Adriatic Forum je naš način da pokažemo svoju predanost korisnicima, koja se najbolje ogleda u stvaranju uređaja koji podupiru kreativnost i poslovnu efikasnost. Forum organizujemo po ugledu na druge svetski poznate forume jer žalimo da i Srbiji zainteresovane partnere i korisnike upoznamo sa našim najnovijim proizvodima dostupnim na tržištu. Ovakvi događaji su prilika da na jednom mestu pokažemo tehnološki inovativne uređaje, kreirane sa ciljem da svim korisnicima olakšaju svakodnevni život i komunokaciju“, rakao je Milan Vujović, direktor marketinga kompanije Samsung.
Posebnu pažnju privukli su novi zakrivljeni Ultra HD i Full HD televizori, oznaka HU8500 i H8000, kao i nova serija Full HD LED televizora, audio sistem i Blue-Ray plejera. Samsung zakrivljeni televizori imaju bioskopski odnos prikaza slike i značajno unapređuju iskustvo gledanja zahvaljujući široj i dubljoj slici od „ravnih“ TV uređaja ekvivalentne dijagonale. Novi Ultra HD uređaji sa rezolucijom četiri puta većom od Full HD-a, pružaju vrhunski, kristalno čist kavalitet slike nezavisno od izvora emitovanja, zahvaljujući UHD Upscaling funkciji. Samsungova tehnologija konvertuje Full HD, HD i lošije rezolucije signala u gotov UHD kvalitet što dovodi do jasnih detalja 4k rezolucije.

samsung-hu8500

Takođe na forumu su bili izloženi i najnoviji proizvodi iz sfere telekomunikacije – pametni telefon Galaxy S5, odnedavno dostupan u prodaji u Srbiji, kao i Gear Fit i Gear 2. Veliku pažnju privukli su Galaxy NotePro i TabPro, kao i poslednja serija tableta Tab 4, veličine ekrana 8 inča i 10,1 inč, sa 1,5 GB RAM-a, kamerom 3 MP, 1,2 GHz quad-core procesorom i rezplucijom ekrana 1280 x 800.
Samsungov Customer Service posvećen je stalnom poboljšanju servisne usluge za kupce, te je na Forumu rečeno da će za sve korisnike Samsungovih mobilnih uređaja biti otvorena tri servisa za takozvanu „brzu popravku“ (dva u Beogradu i jedan u Novom Sadu), za rešavanje problema u najkraćem mogućem roku. Customer Service još nudi i „Smart TV podršku“ za kupce određenih modela koji dobijaju premium podršku koja podrazumeva najbržu moguću reakciju u roku od 24 sata, dolazak Samsung terenskih servisera kao i zamenski uređaj ako popravka nije moguća u datom roku.

Giagabyte GSmart Saga S3

20. 06. 2014 | uredio | hardware

Jun
20

Firma Gigabyte među Balkance donosi i svoj prvi fablet, koji će se u fablet Areni boriti svojom izuzetnom cenom, ali i pristojnim hardverom. Kvalitetno izrađen, ali dizajnerski ne preterano inovativan niti zanimljiv, Saga S3 fablet je šestoinčni uređaj, sa HD ekranom, koji nudi sve standardno od čistog Android sistema, bez, „dodatne kože“. Ima quad-core ARM procesorbrzine 1,3 GHz, zasnovan na Coretex-A7 tehnologiji, 1 GB RAM, 8 GB interne memorije koja se može proširiti do 32 GB i dva slota za SIM kartice (jednu 3G+ i jednu GSM). Kućište je opasano metalnim ramom, a moramo i da pohvalimo kvalitetnu zadnju masku, koja leži na poleđini kućišta, ne odvaja se i matirana je pa olakšava držanje.

GIGABYTE_GSmart_Saga_S3

Saga S3 fablet je za mnoge vrlo veliki uređaj, naravno zbog svog displeja dijagonale šest inča, ali je proizvođač uspeo da zadrži prihvatljivu masu od 190 grama (na primer Nokia Lumia 1320 teška je čak 220 grama, a ima slične dimenzije i displej iste rezolucije). Displej IPS matrice, zajedno sa dobrim odzivom na dodir, korektno obavlja svoje funkcije, pa zamerku nećete imati, kako na kvalitet boja i prikaza, tako ni na rad na otvorenom. Kamera rezolucije osam megapiksela svakako nije vrh trenutne ponude niti je najkvalitetnija u klasi, ali je OK za prebacivanje slika na društvene mreže. Fablet dolazi sa automatski konfigurisanom aplikacijom za priključivanje bežičnog miša i tastature preko Bluetooth veze, što će pomoći poslovnim korisnicima. Baterija je integrisana i ne može se menjati ni pored činjenice da se zadnje maska skida. Kapacitet od 3000 mAh omogućava do dva sata korišćenja.
Na kraju kada se pogleda sve što nudi GSmart Saga S3, kao i njegova cena od 250 evra jasno vam je da ovaj fablet ima dobre izglede za uspeh kod nas.

Stranice 30 od 66...1020...2829303132...405060...