بایگانی ماهیانه: آذر ۱۳۹۰

ضعف منجر به دسترسی از راه دور به سیستم عامل اندروید

این ویدئو نشان می دهد که چطور بدون استفاده از اکسپلویت، میشود از سیستم عامل اندروید یک Shell گرفت! Thomas Cannon محققی که این آسیب پذیری را نشان داده به این نکته اشاره می کند که آنچه منجر به آسیب پذیری اندروید در این سناریو شده، صرفاً یک ویژگی کاربردی خود سیستم است، نه هیچ ابزار یا اکسپلویت خاصی! در این ویدئو ابتدا یک بازی روی سیستم نصب می شود، این بازی در سیستم مدیریت مجوزهای اندروید به عنوان “No Permission” شناخته می شود، به این معنی که برنامه قرار نیست مجوز خاصی که از نظر معماری اندروید حساس باشد، از سیستم عامل دریافت کند. با این حال، همین برنامه میتواند برای دریافت Remote Shell مورد سوء استفاده قرار گیرد.

اشتراک گذاری

پیش بینی های پایان سال گارتنر

موسسه تحقیقاتی گارتنر (Gartner) لیست پیش بینی های پایان سال خود را اعلام کرده:

  • By 2015, low-cost cloud services will cannibalize up to 15 percent of top outsourcing players’ revenue.
  • In 2013, the investment bubble will burst for consumer social networks, and for enterprise social software companies in 2014.
  • By 2016, at least 50 percent of enterprise email users will rely primarily on a browser, tablet or mobile client instead of a desktop client.
  • By 2015, mobile application development projects targeting smartphones and tablets will outnumber native PC projects by a ratio of 4-to-1.
  • By 2016, 40 percent of enterprises will make proof of independent security testing a precondition for using any type of cloud service.
  • At year-end 2016, more than 50 percent of Global 1000 companies will have stored customer-sensitive data in the public cloud.
  • By 2015, 35 percent of enterprise IT expenditures for most organizations will be managed outside the IT department’s budget.
  • By 2014, 20 percent of Asia-sourced finished goods and assemblies consumed in the U.S. will shift to the Americas.
  • Through 2016, the financial impact of cybercrime will grow 10 percent per year, due to the continuing discovery of new vulnerabilities.
  • By 2015, the prices for 80 percent of cloud services will include a global energy surcharge.
  • Through 2015, more than 85 percent of Fortune 500 organizations will fail to effectively exploit big data for competitive advantage.

 

اشتراک گذاری

مطالب منتخب هفته

چهارمین نسخه از گزارش “وضعیت امنیت نرم افزار” توسط کمپانی Veracode منتشر شد. تحلیلی از این گزارش در اینجا آمده. از میان ۱۰۰۰۰ برنامه تست شده در این گزارش، ۸۴ درصد از آنها که به صورت داخلی توسط خود سازمان ها تولید شده اند، آسیب پذیر بوده اند.

Bruce Schneier در مطلبی نحوه برخورد تولید کنندگان نرم افزار را با افرادی که آسیب پذیریهای محصول آنها را کشف و افشا می کنند بررسی کرده. اگر چه در ایران فعلاً موضوع خیلی جدی نیست اما به زودی جدی خواهد شد … بخشی از این یادداشت:

“Disclosing security vulnerabilities is good for security and good for society, but vendors really hate it. It results in bad press, forces them to spend money fixing vulnerabilities, and comes out of nowhere. Over the past decade or so, we’ve had an uneasy truce between security researchers and product vendors. That truce seems to be breaking down.”

فیس بوک یک آسیب پذیری منجر به نقض تنظیمات privacy عکسها را بلافاصله بعد از انتشار عکس های مارک زوکربرگ بر اثر همین آسیب پذیری، ترمیم کرد!

 

اشتراک گذاری

فایروال برنامه کاربردی وب (WAF)

اخیراً مطالعه ای روی تعدادی از فایروال های وب (Web App. Firewall) که در اصطلاح WAF نامیده می شوند داشتم و تعدادی از آنها را تست کردم. روند تکامل این محصول در طول سال های گذشته و بازار گسترده ای که برای آن پیش بینی می شود در نوع خود جالب توجه است. زمانی در توجیه استفاده از UTM ها، گفته می شد که به جای هزینه کردن برای چند سخت افزار (فایروال، IPS ، آنتی ویروس، VPN Server و …) بهتر است از یک ابزار UTM که همه این سرویس ها را به صورت یکپارچه ارائه میکند استفاده کنیم. به تدریج ابزارهایی مثل WAF ، Email Gateway Database Firewall و غیره به وجود آمدند که در ظاهر، در تقابل با فلسفه استفاده از UTM است. اما نگاهی دقیق به روند ایجاد این ابزارهای جدید نشان می دهد که به موازات پیچیده تر شدن کاربردها (Applications) ، تهدیدهای امنیتی نیز پیچیده تر و وابسته تر به ویژگی های لایه کاربرد شده اند. به همین خاطر، مقابله با این تهدیدها نیاز به ابزارهایی تخصصی تر از UTM دارد.

https://www.owasp.org/index.php/Web_Application_Firewall

اشتراک گذاری