Архив вересня, 2013

Хмарні сервіси легко використовувати для поширення вірусів

install_graphic-vflx6Z89XПопулярні хмарні сервіси стають центром поширення вірусів , оскільки люди їм довіряють і свідомо дозволяють синхронізацію.

SkyDrive , Google Drive , SugarSync , Amazon Cloud Drive та інші подібні служби являють собою потенційну загрозу для величезної кількості користувачів у всьому світі. Подібні служби з легкістю обходять будь-які противірусні захисти.

Вірусам тепер не потрібно проходити через міжмережеві екрани і налаштування безпеки браузерів – вони “подорожують ” в ” хмарах ” , довіра до яких з боку користувачів практично безмежна.

Зважаючи  на молодість ” хмарних сервісів ” їхні системи безпеки мають багато недоробок , що турбує експертів. Зловмисникам легше зламати їх , ніж захищену операційну систему на комп’ютері користувача.

Крім того,  поширенню вірусів сприяє вбудована функція синхронізації. Експерт з комп’ютерної безпеки CSR Group Джейкоб Вільямс ( Jacob Williams ) заявив: «Все , що потрапило в Dropbox після його налаштування , вільно проходить крізь міжмережевий екран при синхронізації. Користувачі якось упускають це з виду. Тим часом , цим можуть скористатися хакери і шахраї ».

За словами експерта , він провів цілий ряд тестів на самих різних сервісах , і всі тестові пакети даних легко проходили через будь-які системи захисту комп’ютера.

За даними securitylab.ru

Візуалізація використовуваних паролів захисту

Досить цікаве дослідження було проведено щодо візуалізації використовуваних паролів з ??заданими критеріями . Вихідні умови – мінімум 12 символів , 2 спеціальних символи , 2 цифри , 2 символи у верхньому регістрі.

Дослідники зібрали безліч паролів , виходячи з вимог початкових умов , після чого вирішили візуалізувати їх , зібравши базу паттернів у вигляді часто повторюваних графічних відображень використання тих чи інших комбінацій.

password
На основі отриманих даних і графічних ескізів пральних комбінацій , були виділені кілька найбільш частих візуальних відображень :

password1

З’ясувалося , що більше 80 % опитаних воліють використання 2 символів , що знаходяться на одній лінії клавіатури ( ” Twos ” smile 😉 , порядку 60 % так само використовують фрагмент набору з трьох символів по одній лінії клавіатури ( ” Threes ” smile 😉 , порядку 40 % люблять ” змійки ” – символи з послідовності набору символів по безперервній лінії .

password2

” Зигзаги ” і ” Triples ” (3 рази по одній і тій же клавіші ) – ніхто не любить. З урахуванням отриманих знань і патернів , був згенерований тестовий словник (паролі з такими ж вихідними умовами однієї і тієї ж довжини ) , за яким передбачалося провести атаку за словником, в результаті якої до 20 % паролів були підібрані.

За даними securitylab.ru

PCI DSS Cloud Computing Guidelines – виконання потреб у хмарах

На початку лютого PCI Council опублікував новий документ, що описує основні особливості та підходи до захисту “хмарних” інфраструктур і оброблюваної в них інформації.

Документ був розроблений Cloud Special Interest Group , внаслідок активного і динамічного тренда щодо застосування ” хмарних ” технологій , у тому числі і у фінансово – банківському середовищі , а так же зонах відповідальності при дотриманні вимог PCI DSS .
could
Він так само має кілька специфічних додатків , включаючи описи моделей застосування ” хмарних ” технологій і випливаючих з цього наслідків в частині дотримання вимог PCI DSS , матриця розподілу зони відповідальності між хмарним провайдером ( Cloud Service Provider – CSP ) і його клієнтами , опитувальник , що дозволяє швидше зорієнтуватися в частині виконання вимог в подібного роду інфраструктурах залежно від їх конфігурації .

Документ вводить поняття трьох основних сервісних моделей , пов’язаних з ” хмарами ” :

could1

SaaS ( Software as a Service ) – можливість використання для клієнтів додатків , розміщених в інфраструктурі провайдера ;

PaaS ( Platform as a Service ) – можливість клієнту розгортати додаток в контексті ” хмари ” , використовуючи мови програмування , бібліотеки , служби та сервіси , додаткові утиліти , що поставляються провайдером ;

Infrastructure as a Service ( IaaS ) – надання можливості клієнту використовувати підсистеми зберігання , мережеву інфраструктуру , обчислювальні ресурси провайдера для розгортання і запуску своїх ОС , додатків , іншого роду програмного забезпечення в ” хмарній ” інфраструктурі.

Оригінал статті

За даними securitylab.ru

Недавні записи

Архів