Kategorija: Dokumenti

Facebook in varnost

Sreda, 24 avgust 2011 14:36 Avtor brane 0 komentarjev

Facebook je največje svetovno socialno omrežje, ki je zaradi svoje popularnosti pogosto tarča računalniških napadalcev . Podjetje je pred dnevi objavilo dokument z naslovom "Facebook’s official Security Guide", ki je namenjen kot sami pravijo v podnaslovu – mladostnikom, njihovim strašem in posameznikom, ki izobražujejo na temo informacijskih tehnologij. Dokument je sicer kratek (14 strani) in se ukvarja samo z osnovami, kot so varovanje Facebook računa, varnostne nastavitve, varovanje pred zlorabami in lažnim predstavljanjem, ponovno aktiviranje zlorabljenega računa. Vendar pa je dokument še vedno koristno branje za Facebook uporabnike.

Še nekaj drugih uporabnih povazav za varno uporabo Facebook-a:

Facebook Security Best Practies
Facebook Security
Facebook Security Settings Guide
Facebook Security Threats
 

Brezplačen ISO 27001 tečaj

Četrtek, 04 avgust 2011 10:42 Avtor brane 0 komentarjev

V Sloveniji je že nekaj podjetij, ki so certificirani za ISO 27001 standard (tudi z našo pomočjo), mnogi pa razmišljajo v to smer. Kje začeti, kaj vse standard zahteva, kateri elementi naj bodo vključeni v okviru posamezne organizacije, vse to so vprašanja, ki jih postavljajo podjetja pri uvedbi standarda. Na spletni strani ISQ, je na voljo brezplačen ISO 27001 tečaj, ki v veliki meri odgovarja na zgoraj postavljena vprašanja. Tečaj obravnava tako osnove informacijske varnosti, podrobno razloži zahteve standarda, opisuje posamezne faze uvedbe in postopke pri izvedbi certificiranja. Uporabno za vse, ki se podajate na pot ISO 27001 standarda.

DVD tečaj o varnosti v brežičnih omrežjih

Četrtek, 28 julij 2011 00:37 Avtor brane 0 komentarjev

Securitytube je objavil odličen brezplačen DVD na temo varnosti brezžičnih omrežij. DVD vsebuje 40+  HD video predstavitev (12 ur), ki obravnavajo tako osnove varnosti WIFI omrežij, kot tudi napredne hackerske tehnike. Vsaka oblika napadov je podrobno opisana in prikazana s praktičnim primerom. Posamezne on-line lekcije so dosegljive tukaj, lahko pa si prenesete DVD z vsemi lekcijami. Priporočam.

Top 25 programerskih napak

Četrtek, 30 junij 2011 13:52 Avtor brane 0 komentarjev

CWE/SANS sta objavila dokument Top 25 programerskih napak, katerih posledica so lahko kritične varnostne pomanjkljivosti v aplikativni opremi. Lestvica je v marsičem podobna OWASP-ovi Top Ten varnostnih pomanjkljivosti v spletnih aplikacijah. Ugotovitve ne presenečajo, pomanjkljivosti so nam že dolgo znane, pa vendar marsikatera, tudi nova aplikacija na njih ni imuna. Spodaj je lista napak s povezavami na podrobnejše opise.

Rank

Score

ID

Name

[1]

93.8

CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

[2]

83.3

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

[3]

79.0

CWE-120

Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')

[4]

77.7

CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

[5]

76.9

CWE-306

Missing Authentication for Critical Function

[6]

76.8

CWE-862

Missing Authorization

[7]

75.0

CWE-798

Use of Hard-coded Credentials

[8]

75.0

CWE-311

Missing Encryption of Sensitive Data

[9]

74.0

CWE-434

Unrestricted Upload of File with Dangerous Type

[10]

73.8

CWE-807

Reliance on Untrusted Inputs in a Security Decision

[11]

73.1

CWE-250

Execution with Unnecessary Privileges

[12]

70.1

CWE-352

Cross-Site Request Forgery (CSRF)

[13]

69.3

CWE-22

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

[14]

68.5

CWE-494

Download of Code Without Integrity Check

[15]

67.8

CWE-863

Incorrect Authorization

[16]

66.0

CWE-829

Inclusion of Functionality from Untrusted Control Sphere

[17]

65.5

CWE-732

Incorrect Permission Assignment for Critical Resource

[18]

64.6

CWE-676

Use of Potentially Dangerous Function

[19]

64.1

CWE-327

Use of a Broken or Risky Cryptographic Algorithm

[20]

62.4

CWE-131

Incorrect Calculation of Buffer Size

[21]

61.5

CWE-307

Improper Restriction of Excessive Authentication Attempts

[22]

61.1

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

[23]

61.0

CWE-134

Uncontrolled Format String

[24]

60.3

CWE-190

Integer Overflow or Wraparound

[25]

59.9

CWE-759

Use of a One-Way Hash without a Salt

 

McAfee poročilo

Ponedeljek, 06 junij 2011 11:42 Avtor brane 0 komentarjev

Pred dnevi sta Microsoft in Sophos objavila novi poročili o stanju informcijske varnosti, tukaj pa je še poročilo o varnosti za prvi kvartal 2011, podjetja McAfee. Podatki so podobni - večina omenja prihod groženj za mobilne naprave (izpostavljajo Android), število nezaželjene (spam) pošte se bistveno zmanjšuje, organi pregona so bili v zadnjem času precej uspešni in nekaj nevarnih kriminalcev spravili za zapahe.

Kaj je Zeus?

Torek, 31 maj 2011 12:37 Avtor brane 0 komentarjev

Pred nekaj dnevi je postala dosegljiva izvorna koda enega najbolj znanih trojancev zadnjih let. Zeus ali Zbot crime kit, ki se je za ceno 5.000 USD, nekaj zadnjih let prodajal v računalniškem podzemlju, je bil pogosto sestavni del različnih uspešnih napadov.Tarča napadov so bili predvsem finančni podatki (e-bančništvo in posamezniki, pa tudi veliki plačilni sistemi), katerih zloraba se meri v miljonih dolarjev oz. eurov. Dostop do izvorne kode za večino strokovnjakov ne pomeni nič dobrega. Ocenjujejo, da se bodo v prihodnosti pojavile nove izboljšane oblike trojancev zasnovane na Zeus kodi, kar bo povečalo varnostna tveganja elektronskega finančnega poslovanja.

Izvorna koda je že nekaj dni na mojem namizju. Aplikacija izgleda povsem "spodobno", razvita v Visual C++, podpora za XP/Vista/Seven kot tudi 2003/2003R2/2008/2008R2, ima svoj help, FAQ, release notes. Spodaj je struktura direktorijev izvorne kode.

Za tiste, ki bi želeli podrobneje razumeti delovanje Zeus-a, je Sophos pripravil podroben tehnični dokument, ki opisuje njegovo zgodovino, komponente crime kit-a, načine uporabe in možne trende v prihodnosti.

Microsoft in Sophos varnostno poročilo

Sreda, 18 maj 2011 12:20 Avtor brane 0 komentarjev

Pred dnevi sta Microsoft in Sophos objavila novi poročili o stanju informcijske varnosti.

Microsoft Security Inteligence Report

Sophos Threat Report 2011 (zahteva registracijo)

Microsoft Security Update Guide

Torek, 03 maj 2011 12:31 Avtor brane 0 komentarjev

Microsoft je objavil drugo različico dokumenta z naslovom "Microsoft Security Update Guide". Vsi dobro poznamo Microsoftov sistem varnostnih popravkov, ki pa lahko postane za marsikatero okolje prava nočna mora. Pri našem izvajanju varnostnih testiranj ugotavljamo, da so varnostni popravki ena od šibkejših točk v večini okolij. Razlogi za to so različni – okolje nima časa oziroma nima izdelanega postopka za nameščanje varnostnih popravkov (razvojno, testno, produkcijsko okolje…), razvoj aplikacij zaostaja za nivojem varnostnih priporočil ali pa v najslabšem primeru niti niso seznanjeni z objavo varnostnih popravkov in tveganji, ki so povezani s tem problemom.

Dokument podrobno opisuje sistem Microsoftovih varnostnih popravkov, njihovo testiranje v MS okolju pred objavo popravka, posreduje priporočila za testiranje in namestitev v vašem okolju. Kot so napisali v uvodu, je cilj dokumenta pomoč IT upravljalcem pri vzpostavitvi primernega mehanizma za uvedbo varnostnih popravkov MS aplikacij in operacijskih sistemov v njihovih okoljih.

ISACA poročilo

Četrtek, 21 april 2011 15:22 Avtor brane 0 komentarjev

V zadnjem ISACA poročilu (brezplačen dokument, zahteva registracijo), ki vključuje 2400 njihovih članov iz 126 držav, je skaldnost z regulativami (regulatory compliance) postavljena na vrh vročih tem za leto 2011. Nova dejstva kot so računalništvo v oblaku, hacktivist napadi, napadi na zasebnost, povečujejo varnostna tveganja in zahtevajo nove pristope pri varovanju sistemov in podatkov. Spodaj je povzetek področij in njihova ocena pomembnosti.

  • Regulatory compliance (Score: 4.6)
  • Enterprise-based IT management and governance (Score: 4.4)
  • Information security management (Score: 4.1)
  • Disaster recovery/business continuity (Score: 3.1)
  • Challenges of managing IT risks (Score: 2.5)
  • Vulnerability management (Score: 2.1)
  • Continuous process improvement and business agility (Score: 2.0)

Backtrack in pentest za VOIP

Sreda, 20 april 2011 12:20 Avtor brane 0 komentarjev

Vsi dobro poznamo LiveCD distribucijo Backtrack, ki je odlična zbirka orodij za izvajanje različnih vdornih testov (pentest). Pred časom so na svoji spletni strani objavili dokument , kako se s pomočjo BT4 distirbucije lotiti varnostnega testiranja internetne telefonije. Dokument (Pentesting VOIP) poleg različnih oblik testiranj , razloži osnovne varnosti internet telefonije in predstavi elemente, ki so lahko tarča napadalcev.

« Starejši zapisi