markasblog

Facebook staje się coraz bezpieczniejszy dzięki pracy grupy Facebook Security Team. Grupa od dłuższego działa na polu zwiększenia bezpieczeństwa również współpracując z największymi w branży IT. I tak od dzisiaj do grupy firm działających w sektorze bezpieczeństwa internetu współpracujących z Facebookiem dołączają Microsoft, McAfee, TrendMicro, Sophos i Symantec. Jednocześnie ogłoszono otwarcie usługi o nazwie Antivirus Marketplace. W ramach współpracy z liderami branży bezpieczeństwa baza systemu blokowania złych adresów URL będzie powiększona o dane zgromadzone przez firmy zaproszone do współpracy.

Już teraz Facebook może pochwalić się obniżeniem ilości spamu w publikowanych treściach do około 4%, a specjaliści z Facebook Security Team mają ambicję zejść jeszcze niżej z tym wskaźnikiem.

Antivirus Marketplace to produkt, który powstał przy okazji zacieśnienia współpracy przy rozbudowie systemu blokowania złych URLi. W ramach Antivirus Marketplace każdy użytkownik uzyska dostęp do produktów antywirusowych firmy Microsoft, McAfee, TrendMicro, Sophos oraz Symantec. Usługa pozwala na pobranie pełnych wersji oprogramowania antywirusowego z licencją na 6 miesięcy użytkowania. Zastanawia mnie licencja 6-miesięczna na produkt Microsoft Security Essentials, bowiem firma z Redmond udostępnia swój produkt zupełnie za darmo z dożywotnimi aktualizacjami i tak jest i w tym momencie, bowiem na stronie Microsoft program jest dostępny za darmo dla użytkowników z zainstalowanym oryginalnym systemem Windows, więc zapewne ograniczona licencja nie dotyczy produktu Microsoft.

Ponadto na stronie Facebook Security Blog pojawią się materiały edukacyjne udostępnione przez wspomniane 5 firm, w których będą poruszane kwestie bezpieczeństwa użytkowników w sieci.

Powyższa współpraca to dobry przykład na robienie pieniędzy pod przykrywką jakieś wyższej idei. Oczywiście idea jest jak najbardziej słuszna i współpraca takich firm jak Microsoft czy Sophos z Facebookiem przyniesie więcej pożytku niż strat, ale nie mogę pozbyć się wrażenia, że w zamian za udostępnienie baz złych adresów URL, producenci oprogramowania antywirusowego otrzymali bazę potencjalnych klientów kupujących ich produkty.

Zastanawiasz się nad usługą pozwalającą trzymać, pracować i udostępniać pliki na zdalnych serwerach? Nie wiesz na co się zdecydować? Google nie ułatwi ci tego wyboru, bowiem od wczoraj udostępnia wszystkim swoim użytkownikom nową, długo zapowiadaną usługę Google Drive. Czym jest Google Drive? Cytując blog Google:

(…) Dysk Google – centralne miejsce, w którym możesz tworzyć, udostępniać, dzielić się i przetrzymywać wszystkie swoje rzeczy.

Google Drive umożliwia tworzenie i współpracę w obrębie usługi Google Docs. Można w czasie rzeczywistym pracować nad dokumentami, arkuszami kalkulacyjnymi i prezentacjami. Można dodawać komentarze do udostępnianych elementów, można również na te komentarze odpowiadać.

Użytkownik ma dostęp do Google Drive z każdego miejsca na świecie poprzez przeglądarkę internetową pod warunkiem, że ma dostęp do internetu, lub poprzez aplikację stworzoną póki co dla systemów Mac OS X i Windows i urządzeń urządzeń mobilnych pracujących pod kontrolą systemu Android.

Dysk Google oddaje użytkownikom również rozbudowane narzędzie wyszukiwania. Zaimplementowano mechanizm OCR, aby można było wyszukiwać treści z uwzględnieniem zawartości zapisanych w plikach. Oczywiście istnieje możliwość wyszukiwania za pomocą słów kluczowych oraz możliwość filtrowania treści między innymi ze względu na właściciela oraz aktywności. Trwają również prace nad zaimplementowaniem usługi rozpoznawania obrazów.

A jak to wszystko wygląda cenowo? Google za darmo wszystkim swoim użytkownikom daje 5 GB powierzchni zupełnie za darmo (albo prawie za darmo). Niestety wraz ze wzrostem naszego apetytu na powierzchnię, będą rosły koszty. Poniżej załączam tabelę, w której zawarte zostały opłaty za korzystanie z usługi Google Drive we wszystkich wariantach powierzchni dyskowej.

W ramach opłaty za zwiększenie powierzchni Dysku Google, zwiększy nam się również powierzchnia skrzynki pocztowej GMail.

Usługa Google Drive jest w pełni połączona z innymi usługami ze stajni Google.

Niestety nie wszystko jest tak kolorowe jak wynikałoby to z zawartej powyżej informacji. Dużym minusem usługi jest zapis w regulaminie, według którego wysyłając wszelkie treści do  Usług Google (włączając w to również Google Drive) udzielamy gigantowi z Mountain View ważnej na całym świecie licencji na

wykorzystanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie dzieł pochodnych (…). Użytkownik w ramach tej licencji przyznaje prawa w ograniczonym celu obejmującym utrzymywanie, promocję oraz udoskonalanie Usług oraz tworzenie nowych. Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (…).

Patrząc na zapis regulaminu ma się wrażenie, że Google zawiera z nami transakcję wiązaną. My Ci damy 5 GB powierzchni za darmo, ale Ty nam dasz być może dość wartościowe treści, które my wykorzystamy. Nie wiem czemu, ale te zapisy w kontekście korzystania z poczty GMail nie raziły mnie tak bardzo jak w przypadku Google Drive.

Czy będę korzystał z nowej usługi Google? Na pewno ją przetestuje i sprawdzę, czy w jakikolwiek sposób jest dla mnie przydatna. Na chwilę obecną nie widzę dla niej zastosowania w mojej pracy. Może po głębszym zapoznaniu się z funkcjonalnością Google Drive okaże się, że jednak jest jakaś dziedzina, w której Dysk Google da mi nowy komfort korzystania z chmury.

Inżynierowie Google wydali moduł dla serwera webowego Apache, który pozwoli mu na wykorzystanie protokołu SPDY do przesyłania stron internetowych do przeglądarek.

Protokół SPDY jest tworem Google, które od dłuższego czasu pracuje nad optymalizacją i przyspieszeniem komunikacji na linii serwer – przeglądarka internetowa. Dla Google jest to duży krok na przód w kierunku ciągłego usprawniania protokołu HTTP (Hypetext Tranfer Protocol), który od lat nie był zmieniany, a wciąż jest podstawowym standardem określającym sposób dostarczania stron do przeglądarki internetowej.

Prace na SPDY trwają nieprzerwanie od 2009 roku, ale dopiero niedawno wzrosło zainteresowanie tym protokołem. Przełomem wydaje się być wykorzystanie SPDY przez Twittera do wysyłania stron do dowolnej przeglądarki obsługującej ten protokół. Również Amazon wykorzystuje protokół SPDY do przyspieszenia komunikacji między swoją przeglądarką Silk, a firmowymi serwerami proxy.

Kluczem do sukcesu jest zaimplementowanie protokołu SPDY po obu stronach sieci. Protokół musi działać po stronie przeglądarki oraz po stronie serwerów. Zapewnienie wsparcia dla Apache, wciąż najpopularniejszego serwera webowego na świecie , pozwoli Google zwiększać udział swojego produktu na całym świecie. Na chwilę obecną trwają również prace nad implementacją SPDY dla serwerów opartych o platformę Nginx.

Po stronie przeglądarek również trwają prace nad implementacją obsługi protokołu SPDY. Na chwilę obecną Chrome oraz Firefox począwszy od wersji 11 obsługuje ten standard. Microsoft pracuje nad własną wersją protokołu o nazwie HTTP Speed+Mobility.

Nie próżnuje również Internet Engineering Task Force, pracując nad standardem HTTP 2.0, który ma być wypadkową pomysłów inżynierów Google i Microsoftu.

Twórcy oprogramowania Samba, umożliwiającego udostępnianie plików i drukarek w systemach Linux, Windows oraz Mac OS X, udostępnili we wtorek łatę bezpieczeństwa eliminującego lukę pozwalającą na wykonanie dowolnego kodu na systemach, gdzie usługa Samby jest uruchomiona.

Luka znajduje się w kodzie, który zajmuje się przetwarzaniem wniosków RPC (Remote Procedure Call), a konkretnie w module zajmującym się ich tłumaczeniem na format NDR.

Luka pozwala na wykonanie nieautoryzowanego kodu z uprawnieniami administratora z użyciem odpowiednio spreparowanego wywołania RPC. Specjaliści ze strony Samby powiedzieli, że ze względu na to, że luka pozwala na nieautoryzowany dostęp do systemu, jest to bardzo poważne zagrożenie i w związku z tym wszyscy użytkownicy Samby powinni niezwłocznie zaktualizować swoje oprogramowanie. Luka jest na tyle poważna, że wydawcy oprogramowania postanowili wydać łaty bezpieczeństwa również dla wersji serwera, które nie są już oficjalnie wspierane.

Główny specjalista bezpieczeństwa z firmy Secunia, pan Carsten Eiram ocenił podatność wykrytą w kodzie Samby jako umiarkowanie krytyczną, ponieważ z natury rzeczy oprogramowanie Samby wykorzystywane jest głownie w sieciach lokalnych. Niestety istnieje możliwość konfiguracji Samby do pracy w internecie i wówczas status luki wzrasta do wysoce krytycznego.

Samba jest instalowana domyślnie w większości dystrybucji Linuksa, jak również na serwerze Mac OS X firmy Apple. Jest ona również dostępna na sporej liczbie innych uniksopodobnych systemach. Poza tym Samba jest instalowana na wielu urządzeniach takich jak drukarki sieciowe lub urządzeniach masowej pamięci sieciowej. Taka rozpiętość zastosowania oprogramowania Samba sprawia, że jest to atrakcyjny cel dla cyberprzestępców.

Vevo, będące wspólnym przedsięwzięciem Google, Sony Music Entertainment oraz Universal Music Group wszedł na rynek australijski we współpracy z lokalną firmą MCM Media, zajmującą się nowoczesnymi mediami. Vevo powstało w 2009 roku i miało podnieść zyski największych wytwórni muzycznych, a także rozwiązać problem z licencjonowaniem teledysków wyświetlanych w serwisie YouTube.

W tej chwili usługa działa w Stanach Zjednoczonych i Kanadzie oraz w Wielkiej Brytanii, a oprócz Australii produkt ma być dostępny w krajach Ameryki Południowej jeszcze w tym roku.

Na chwilę obecną Vevo skupia około 45 000 teledysków najpopularniejszych światowych gwiazd. Wszystko jest dostępne za darmo, a zyski są czerpane z reklam wyświetlanych podczas odtwarzania treści.

Popularność usługi systematycznie wzrasta, o czym świadczy wzrost liczby użytkowników w Wielkiej Brytanii o 120 % w okresie od kwietnia do stycznia tego roku. Statystycznie rzecz ujmując można powiedzieć, że każdy z zarejestrowanych użytkowników na Wyspach ogląda średnio 15 filmów w przeciągu miesiąca. W styczniu tego roku każdy użytkownik obejrzał średnio 70 minut  produkcji, z czego spora cześć była oglądana z wykorzystaniem telefonów komórkowych oraz tabletów, a liczba strumieni multimedialnych uruchomionych przez urządzenia mobilne podwoiła się między kwietniem 2011 i styczniem 2012 osiągając liczbę 12,4 miliona.

Vevo to produkt, który ma przede wszystkim zwiększyć zyski wytwórni muzycznych. Zasada zarabiania jest prosta. My wam pozwolimy oglądać teledyski „za darmo”, ale Wy będziecie oglądać reklamy w trakcie korzystania. Vevo według mnie to najzwyczajniejszy wydawca reklam, który przy okazji udostępnia treść. Za Vevo stoją ogromne pieniądze i w sumie zastanawiam się, co stoi na przeszkodzie, aby ta usługa była dostępna poza Stanami, Wielką Brytanią oraz Kanadą.

Po wejściu na stronę Vevo ujrzymy informację, że strona której szukamy, nie jest dostępna dla naszego regionu, a dalej mniejszą czcionką, że trwają ciężkie prace nad uruchomieniem usługi dostępnej na całym świecie. Szkoda tylko, że ta informacja wita nas już od prawie 3 lat.

Minął dzień od doniesień na temat luki w Javie umożliwiającej rozprzestrzenianie się konia trojańskiego o nazwie Flashback.K, a Apple opublikował na swoich serwerach łatę bezpieczeństwa eliminującą nie tylko ten problem, ale również kilka innych zagrożeń.

Aktualizacje, które są dostępne dla Mac OS X 10.6.8 Snow Leopard oraz dla Mac OS X 10.7.3 Lion (włączając w to również edycje serwerowe) nie tylko eliminują możliwość instalowania konia trojańskiego bez potrzeby podania hasła administratora, ale również podatności na uruchomienie destrukcyjnego kodu z ominięciem mechanizmu sandbox Javy za pośrednictwem odpowiednio spreparowanej strony internetowej.

Dla przypomnienia, załatana wersja Javy, która eliminowała te problemy została opublikowana w lutym dla systemów Windows, ale za względu na odrębny harmonogram publikacji poprawek dla komputerów Mac (harmonogram wprowadzony przez Apple), użytkownicy tego systemu byli narażeni na ataki miesiąc dłużej.

Badacze bezpieczeństwa z firmy F-Secure opublikowali informację o podatności na zarażenie systemów operacyjnych Mac OS koniem trojańskim Flashback, dzięki luce w zabezpieczeniach Javy. Nowa wersja złośliwego oprogramowania oznaczona jako Flashback.K nie wymaga już interakcji z użytkownikiem i wykorzystuje lukę w Javie, która w lutym została załatana dla wersji oprogramowania przeznaczonej dla systemu Windows. Niestety Apple dystrybuuje newe wersje Javy zgodnie z własnym harmonogramem i często bywa tak, że poprawki bezpieczeństwa dla systemów Mac OS są publikowane nawet z kilkutygodniowym opóźnieniem w stosunku do systemów z rodziny Windows.

Flashback.K po zainstalowaniu na komputerze ofiary monituje o podanie hasła administratora. Jeżeli hasło nie zostanie podane, to malware i tak infekuje system biorąc sobie na cel proces Safari, aby po jego opanowaniu, móc podmieniać wybrane strony internetowe na te, związane bezpośrednio z działaniem cyberprzestępców.

Super bezpieczne systemy operacyjne nie istnieją. Niestety w tym konkretnym przypadku nic nie tłumaczy dziwnej polityki Apple, która z premedytacją opóźnia wdrażanie poprawek oprogramowania firm zewnętrznych. W tym przypadku mówimy o Javie, która w sumie wciąż stanowi spory udział w rynku internetowym i spora część internetu Javą stoi.

Od wersji 10.7 systemu Mac OS X, Java nie jest domyślnie instalowana w systemie, ale to i tak na dłuższą metę nic nie daje. Nie jest to najlepszy sposób na uniknięcie niebezpieczeństw związanych z użytkowaniem tej technologii, tym bardziej, że przy pierwszym wejściu na stronę, która wykorzystuję Javę, użytkownik zostanie poproszony o pobranie i zainstalowanie tego oprogramowania. Ilu jest na tyle świadomych użytkowników systemu Mac OS X, którzy albo wcale nie zainstalują odpowiednich wtyczek, albo po opuszczeniu strony z Javą, odinstalują potencjalnie niebezpieczne oprogramowanie?

Adobe w dniu dzisiejszym opublikował najnowszą wersję Flash Playera oznaczoną numerem 11.2. Nowa wersja to między innymi większe bezpieczeństwo, ponieważ wyeliminowane zostały dwie luki w zabezpieczeniach z których każda umożliwiała uszkodzenie pamięci, a w efekcie wykonanie zdalnie dowolnego kodu. W rankingu Adobe obie luki klasyfikowały się na drugi poziom ważności w 3-stopniowej skali zagrożenia. Problem dotyczy Adobe Flash Playera 11.1.102.63 i wersji wcześniejszych dla systemów Windows, Macintosh, Linux i Solaris oraz wersji 11.1.111.7 i wcześniejszych dla systemu Android 3.x i 2.x.

Najnowsza wersja wprowadza również nową funkcję cichych aktualizacji. Opcja ta staje się dostępna po zainstalowaniu najnowszej wersji oprogramowania i odpowiednim skonfigurowaniu opcji. Nowa wersja dopuszcza trzy sposoby aktualizacji:

• automatyczna aktualizacja w tle bez żadnej interakcji z użytkownikiem
• powiadomienie o dostępnych aktualizacjach bez ich instalacji
• nie sprawdzanie dostępności aktualizacji

Mechanizm cichej aktualizacji będzie co godzinę, aż do skutku (do momentu pojawienia się odpowiedzi ze strony serwera Adobe) próbował połączyć się z serwerem w celu sprawdzenia dostępności aktualizacji. Jeżeli aktualizacje nie są dostępne kolejna próba aktualizacji nastąpi po 24 godzinach.

Wraz z głównym programem, aktualizowane będą również wtyczki zainstalowane w przeglądarkach internetowych. Wyjątkiem tutaj będzie Internet Explorer 6, którego wsparcie jest już masowo porzucane przez producentów oprogramowania. Od wersji 11.2 Flash Player zgodnie z informacją przekazaną przez Peleusa Uhleya będącego strategiem bezpieczeństwa w firmie Adobe, IE6 nie będzie już wspierane.

Adobe zaznacza, że pomimo zgody na ciche aktualizacje, nie wszystkie pakiety będą instalowane bez wiedzy użytkownika. Te aktualizacje, które będą zmieniać ustawienia domyślne odtwarzacza Flash, będą wymagały zgody użytkownika.

W tym momencie ciche aktualizacje działają tylko na systemie Windows, ale Adobe zapowiada szybkie wydanie wersji dla pozostałych obsługiwanych systemów.

Peleus Uhley zaznacza, że nowa funkcja to bardzo duży krok naprzód w walce z cyberprzestępcami, ponieważ można za pomocą cichych aktualizacji dużo szybciej łatać wykryte w produkcie luki zero-day.  To również większy komfort dla samych użytkowników, którzy nie będą już musieli pamiętać o aktualizacji Flasha.

Adobe ostatnimi czasy bardzo mocno popracował nad bezpieczeństwem Flash Playera. Częstsze, zgodnie z harmonogramem przeprowadzane aktualizacje, przejrzysta skala według której klasyfikowane są zagrożenia a teraz automatyczne ciche aktualizacje pokazują, że wszędzie kryje się potencjał, który dobrze wykorzystany może okazać się bardzo cennym wkładem w wizerunek nie tylko samego produktu, ale całej firmy.

Badacze bezpieczeństwa z firmy MajorSecurity odkryli w Mobile Safari podatność na ataki typu spoofing. Problem dotyczy wersji systemu 5.0, 5.0.1 oraz 5.1 i jest związany ze sposobem obsługiwania funkcji winodow.open w języku JavaScript. Opracowano koncepcję wykorzystania istniejącej luki, która polega na otwarciu nowego okna lub nowej zakładki po kliknięciu na specjalnie spreparowany link. Nowe okno wygląda jakby ładowała się strona Apple.com, ale w rzeczywistości ładowana jest forma iframe w obrębie strony MajorSecurity. Jest to jedynie koncepcja i dowód na to, że taki atak może przydarzyć się w rzeczywistości, a w jego efekcie hakerzy mogliby przechwycić AppleID użytkownika, a w skrajnych sytuacjach odczytać dane z karty kredytowej podczas robienia zakupów w sklepie Apple.

Naukowcy z MajorSecurity zalecają jak najszybszą aktualizację systemów zaraz po tym jak pokaże się stosowana łata, a do czasu ukazania się jej, zalecane jest unikanie wszelkich podejrzanych miejsc w sieci, ponieważ nie ma na chwilę obecną nie ma 100% metody uniknięcia niebezpieczeństwa związanego z tą podatnością.

Google ogłosiło na swoim blogu, bezpośrednio związanym z przeglądarką Chrome, że zwiększa pulę nagród do 1 miliona dolarów, dla zwycięzców konkursu Pwn2Own, który odbędzie się już w przyszłym tygodniu w ramach konferencji CanSecWest. Pierwsza informacja zakładała nagrody dla trzech pierwszych zawodników, w wysokości odpowiednio po 60 000$, 40 000$ oraz 20 000$. Google uznało, że te nagrody nie wystarczą, aby odpowiednio zmotywować do pracy hakerów biorących udział w konkursie i postanowiło wypłacić po kilka nagród dla każdej z kategorii. Wyselekcjonowano 3 kategorie:

• exploit wykorzystujący do przejęcia kontroli nad kontem użytkownika tylko i wyłącznie błędy w przeglądarce Chrome
• exploit wykorzystujący do przejęcia kontroli nad kontem użytkownika błędy występujące w przeglądarce Chrome oraz inne błędy w systemie (np. błąd w zabezpieczeniach silnika Webkit)
• exploit nie wykorzystujący błędów w zabezpieczeniach przeglądarki Chrome, ale inne błędy w systemie Windows (np. błąd w zabezpieczeniach paltformy Flash)

Pula nagród będzie dzielona na zasadzie „kto pierwszy, ten lepszy” co jeszcze bardziej zmobilizuje hakerów do wytężonej pracy.

Jako powód takiej decyzji Google podaje fakt, że w tym roku według zmienionych zasad konkursu, zawodnicy nie muszą ujawniać błędów w zabezpieczeniach, wykorzystanych do przeprowadzenia skutecznego ataku. Według specjalistów od zabezpieczeń przeglądarki Google Chrome, takie podejście organizatorów jest niepokojące i dlatego gigant z Mountain View zdecydował, że zamiast sponsorowania całego konkursu, ufunduje jedynie nagrody dla zawodników, którzy podejmą się złamania zabezpieczeń ich przeglądarki.

Podejście organizatorów konkursu pwn2own dziwi mnie. Z jednej strony szumnie zapowiedziane zmiany w regulaminie, mające na celu zwiększenie liczby ujawnionych błędów w zabezpieczeniach przeglądarek internetowych oraz systemów operacyjnych, a  z drugiej strony możliwość nie ujawnienia sposobu przeprowadzenia ataku. W takiej sytuacji Google rzuca hakerom przysłowiową marchewkę, ale wydaje mi się, że i tak ten milion dolarów nie zostanie rozdysponowany, ponieważ Chrome faktycznie jest na szpicy, jeżeli chodzi o bezpieczeństwo.