Skupina Open Web Application Security Project zve°ejnila seznam 10ti nejv∞tÜφch bezpeΦnostnφch problΘm∙ webov²ch aplikacφ. M∞l by pomocφ v²vojß°∙m nezanedbßvat mo₧nß rizika a vφce se orientovat na mo₧nost zneu₧itφ napsanΘho k≤du. BezpeΦnost webov²ch aplikacφ byla nßplnφ obsßhlΘho Φlßnku i v tomto magazφnu.
Neb²vß zvykem, ₧e by se pod Linuxem da°ilo hned tak n∞jakΘmu viru Φi Φervu. O to zajφmav∞jÜφ je Trojan.Linux.JBellz, kter² vyu₧φvß dφry v programu mpg123 a p°i p°ehrßnφ "infikovanΘ" nahrßvky se poΦφtaΦi spustφ ne₧ßdoucφ k≤d. Jak je vid∞t, d∙raz na bezpeΦnost je t°eba brßt v ohled u daleko v∞tÜφho spektra program∙, p°esto₧e se v tomto p°φpad∞ nejednß o ₧ßdnou reßlnou hrozbu.
Novinku spoleΦnosti Alwil Software p°edstavuje Φtvrtß verze znßmΘho antivirovΘho programu Avast! 4 Home, kterß je mimo jinΘ k dispozici vÜem u₧ivatel∙m zdarma. Recenzi naleznete na nφ₧e uvedenΘ adrese.
V obdobφ vßnoΦnφch svßtk∙ byl na virovΘ scΘn∞ relativnφ klid, vÜe vynahradily prvnφ t²dny novΘho roku. Yaha je klasick² e-mailov² Φerv. Ze zajφmavostφ bychom snad jen mohli podotknout spouÜt∞nφ dalÜφch proces∙ na zamezenφ v²mazu klφΦov²ch virov²ch soubor∙, branφ e-mailov²ch adres z .NET/MSN/Yahoo Messengeru Φi nßsledn² Denial of Service (DoS) ·tok na webov² server http://infopak.gov.pk.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Lirva je virus oznaΦovan² jako "in the wild". Mimo klasickΘ mailovΘ cesty dokß₧e vyu₧φt i dalÜφ kanßly a nenφ jich zrovna mßlo: ICQ, IRC, P2P (KaZaa) a takΘ lokßlnφ sφ¥. Ji₧ nßzev pozpßtku napovφdß, ₧e p°i spuÜt∞nφ souboru virus hraje na u₧ivatelovo sv∞domφ nynφ populßrnφ zp∞vaΦkou Avril Lavigne a p°φloha tak Φasto nese nßzev n∞kterΘ jejφ pφsniΦky.exe.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
No a do t°etice je zde Sobig, kter², snad mimo stahovßnφ n∞kter²ch dalÜφch spustiteln²ch soubor∙ z internetu, moc invencφ nepobral a p°i zachovßnφ vÜech standard∙ "bezpeΦnΘho internetovßnφ" nep°edstavuje v∞tÜφ hrozbu.
Je to ji₧ n∞jak² Φas, co Tim Mullen na SecurityFocusu obhajoval legßlnost de facto hacknutφ cizφho systΘmu, kter² aktivn∞ ohro₧uje m∙j stroj n∞kter²m Φervem. Kolem takto kontroverznφho nßpadu se samoz°ejm∞ rozho°ela diskuse a autor v obhajob∞ svΘ myÜlenky pokraΦuje. P°eΦt∞te si Why I should have the right to kill a malicious process on your machine.
V rßmci programu Government Security Program budou zdrojovΘ k≤dy Windows zp°φstupn∞ny vlßdßm n∞kter²ch zemφ a prvnφ z nich bude Rusko. Vlßdnφ agentury si od toho slibujφ v∞tÜφ ochranu sv²ch dat p°ed zneu₧itφm, Microsoft zase v∞tÜφ podφl na trhu se stßtnφmi zakßzkami a systΘmy. K≤d bude k dispozici kompletnφ, zadarmo a pr² a₧ 60ti vlßdßm Φi vlßdnφm organizacφm
Windows Media Data Session Toolkit je nßzev dalÜφ z °ady technologiφ na ochranu CD proti kopφrovßnφ. Data majφ b²t ·dajn∞ na CD uklßdßna ve dvou vrstvßch, tj. vedle audio stopy bude CD obsahovat jeÜt∞ dalÜφ, äochrannΘô, ·daje. Microsoft tuto novinku prezentoval na hudebnφm veletrhu Midem, ale podrobn∞jÜφ informace zatφm nejsou k dispozici. Vzhledem k ostatnφm ochranßm, kterΘ se dosud pou₧φvajφ, resp. k jejich efektivit∞ si troufßm tvrdit, ₧e jakΘkoliv äkonvenΦnφô metody p°inesou p∞t vφce problΘm∙ ne₧ u₧itku.
Internetem prolet∞la zprßva o tom, ₧e organizace Recording Industry Association of America (RIAA), kterß ve Spojen²ch stßtech zastupuje prßva hudebnφch vydavatelstvφch, aktivn∞ a ·sp∞Ün∞ ·toΦφ na jednotlivΘ peer-to-peer sφt∞. Zmi≥ovanß spoleΦnost tyto informace dementovala a pozd∞ji se ukßzalo, ₧e jde o poplaÜnou zprßvu, hoax. ZajφmavΘ je, ₧e n∞kterΘ varianty mailu, kter² se Üφ°il internetem obsahujφ popis reßlnΘ bezpeΦnostnφ dφry vΦetn∞ exploitu.
<A Name="Title10"><FONT Size=3><DIV Class=Headline>S disky se prodßvajφ i informace</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Zajφmav² pr∙zkum provedli dva studenti MIT. Z 158 disk∙, kterΘ za danΘ ΦasovΘ obdobφ proÜly aukΦnφm serverem eBay, bylo pouze 12 skuteΦn∞ peΦliv∞ vymazßno. Na vÜech ostatnφch byly po obnovenφ voln∞ p°φstupnΘ informace pat°φcφ p∙vodnφmu majiteli vΦetn∞ osobnφch informacφ. Inu, i toto je bezpeΦnost.
V Microsoftu majφ obavu, ₧e dalÜφ generace Windows (momentßln∞ nese k≤dovΘ oznaΦenφ Longhorn), m∙₧e mφt problΘm s n∞kter²mi antiviry a proto bude ·dajn∞ v²vojß°∙m a prodejc∙m poskytnuto n∞kolik API, kterΘ scanovßnφ soubor∙ a detekci vir∙ pom∙₧ou.
Kolik prost°edk∙ vynalo₧φ IT firmy na bezpeΦnost v roce 2003? Podle pr∙zkumu CSO bude bezpeΦnost stßt 10% z celkov²ch nßklad∙ na IT, co₧ p°edstavuje meziroΦnφ zv²Üenφ o 8%. Dlouhodob∞ se ukazuje, ₧e investice do bezpeΦnosti je dobr² strategick² tah a trendem je finanΦnφ "odtrhßvßnφ" divizφ kolem bezpeΦnosti od Φßsti IT.
Microsoft lehce pozm∞nil svojφ stupnici hodnocenφ vß₧nosti bezpeΦnostnφch d∞r, t∞sn∞ pod "critical" bylo p°idßno "important". Odbornφci se ale shodujφ, ₧e v∞ci by spφÜe prosp∞l opak, tedy snφ₧enφ poΦtu znßmek, nebo¥ Φφm vφce jich bude, tφm h∙°e se budou u₧ivatelΘ v opravn²ch balφΦcφch orientovat a tφm vßhav∞jÜφ a laxn∞jÜφ budou v jejich aplikovßnφ.
┌dajn∞ se zvyÜuje. Äe elektronickΘ obchodovßnφ je bezpeΦnΘ se domnφvß 33% u₧ivatel∙, co₧ p°edstavuje meziroΦnφ nßr∙st o 6%. D∙v∞ra v bezpeΦnΘ ulo₧enφ osobnφch dat se zv²Üila takΘ, z 22% minul² rok na dneÜnφch 25%.
Exploit dφry v populßrnφm SSH klientu Putty byl poslßn do konference bugtraq. VÜem u₧ivatel∙m tohoto skv∞lΘho programu se doporuΦuje ujistit se o aktußlnosti svΘ verze a sledovat p°φpadnΘ novΘ chyby a opravy.
DneÜnφ novinky jsou plnΘ pr∙zkum∙ a studiφ, nynφ vßm nabφzφme jeÜt∞ jednu podobnou zajφmavost. Dva poΦφtaΦovφ odbornφci z HarvardskΘ univerzity vytvo°ili modelovΘ chovßnφ spoleΦnostφ, podle toho, jak moc sdφlφ informace o bezpeΦnostnφch slabinßch a proveden²ch ·tocφch.
<A Name="Title18"><FONT Size=3><DIV Class=Headline>Sßga rodu e-books</DIV></font>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
N∞kterΘ bezpeΦnostnφ technologie jakoby si p°φmo °φkaly o prolomenφ. ╚asto jde o takovΘ ochrany, kterΘ narß₧ejφ na p°ekß₧ky spφÜe principielnφ Φi technickΘ, nap°φklad ji₧ zmi≥ovanΘ kopφrovßnφ disk∙ CD. Ochrana elektronick²ch knih je, vedle dalÜφch (jako nap°. r∙znΘ DRM - Digital Rights Managment), typickou ukßzkou. Poslednφm terΦem se stal program Microsoftu, kter² toto provßdφ. Anonymnφ autor se "p°edem hßjφ" a uvßdφ d∙vod svΘ Φinnosti : "to read e-books on older platforms". Program i zdrojov² k≤d je k dispozici na internetu, Microsoft ·dajn∞ zva₧uje prßvnφ kroky.
Pojmenovßvßnφ vir∙ bylo zvlßÜt∞ v minul²ch dobßch zdrojem mnoha zmatk∙ a dohad∙. A₧ jednotnß jmΘna, vΦetn∞ udßnφ typu viru a "hostitelskΘho" systΘmu vnesly do situace vφce sv∞tla. Pokud vßs zajφmß, jak se p°esn∞ postupuje p°i "k°tinßch" novΘ infekce a Φφm se majφ antivirovΘ firmy °φdit, zkuste nßsledujφcφ adresy.
Jmenuje se Killboot a podle dostupn²ch informacφ dokß₧e z prost°edφ makrojazyka MS Wordu p°epsat boot sektor disku. Zajφmavß inovace (resp. kombinace), ale k rozÜφ°en²m vir∙m nepat°φ.
