ZDNet - Nemška Zvezna agencija za varnost v informacijski tehniki (BSI) je preizkusila najpopularnejše brskalnike, da bi ugotovila, kateri najbolj pazi na zasebnost in varnost uporabnikov. Testirali so Firefox 68 (ESR), Chrome 76, Internet Explorer 11 in Edge 44. Ostala konkurenca, ki ima bistveno nižje tržne deleže (Safari, Opera itd.) ni bila udeležena. Glede na smernice, ki jih je BSI javnosti predstavil minuli mesec, se je najbolje odrezal Firefox.

Da bi nek brskalnik označili kot varen, mora podpirati vrsto protokolov in storitev, ki skrbijo za večjo varnost. Gre za več deset pogojev, denimo podporo TLS, zaupanja vredne certifikate, preverjanje preklicanosti certifikatov in še številne druge. Konkurenca ni izpolnila vseh, zato je BSI ne more priporočati. Chrome, IE in Edge ne podpirajo mehanizma glavnega gesla (master password), ne omogočajo blokade telemetrije in nimajo organizacijske transparentnosti. Internet Explorer poleg tega ne podpira vgrajenih posodobitev, SOP, CSP in SRI....

vice - Za zdaj še neznani napadalci so pridobili osebne podatke o več sto - nekateri mediji poročajo tudi o več tisočih - politikih in jih javno objavili na Twiterju pod uporabniškim računom @_0rbit, ki je imel 17.000 sledilcev in je bil registriran v Hamburgu. Objave so se sicer nizale ves december, oblasti pa so jih opazile šele pretekli četrtek.

Incident je zajel vse nemške politične stranke razen Alternative za Nemčijo (AfD), pa tudi nekaj novinarjev in zvezdnikov. Na spletu je bilo tako moč najti njihove kontaktne podatke, pogovore iz klepetalnic in tudi podatke o njihovem finančnem premoženju. Med prizadetimi politiki sta denimo tudi Angela Merkel, objavljena je njena elektronska korespondenca, pa vodja Zelenih Robert Habeck, ki so mu objavili pogovore z...

Slo-Tech - Čeprav ni nobena skrivnost, da moderni napadi potekajo tudi ali pa zlasti po internetu in da Kitajci tod prav nič ne zaostajajo, tega uradno doslej niso priznali. Šele prejšnji teden je Kitajska uradno potrdila, da je vzpostavila elitno skupino bojevnikov v internetnem prostoru. Imenuje se Modra armada in jo sestavlja okoli 30 izurjenih hekerjev.

Za ekipo so izbrali najboljše med najboljšimi iz različnih naborov. Nekaj jih je iz vrst Ljudske osvobodilne vojske, drugi so častniki, študentje ali drugi člani družbe. Uradno je misija Modre armada varovati Kitajsko pred internetnimi napadi od zunaj, medtem ko napadov naj ne bi začenjali sami, trdijo oblasti. Kitajci so doslej vanjo zmetali več milijonov juanov.

Pred kratkim je kitajski časnik PLA Daily poročal o...

Heise - V Nemčiji so 1. novembra začeli uporabljati nove pametne osebne izkaznice, starih pa ni mogoče več dobiti. Nove e-osebne izkaznice se od starih razlikujejo po vgrajenem RFID-čipu, ki ima v elektronski obliki zapisane podatke imenu, naslovu, rojstnem datumu, višini, barvi oči in las, izdajatelju in sliko. Prednost novih izkaznic je širši obseg uporabe, saj se bo moč z njimi...

ComputerWorld - Če sta ob branju tega naslova doživel čuden déjà vu, imate skoraj prav. Pred dvema mesecema je takó pisalo o Internet Explorerju, to pot pa so pedantni Nemci svojo nepristranskost potrdili z odsvetovanjem uporabe konkurenčnega brskalnika Firefoxa. Prejšnji teden je bilo potrjeno, da najnovejša različica Firefoxa vsebuje varnostno ranljivost, ki omogoča napadalcu izvedbo zlobne kode na oddaljenem računalniku. Mozilla je napovedala, da bo popravek v verziji 3.6.2, ki bo izšla 30. marca. Luknjo je prvi odkril ruski raziskovalec Evgenij Legerov in o njej pisal na forumu, a bil o podrobnostih sila skop.

Spričo teh dogodkov je nemški Bürger CERT, ki deluje v okviru nemškega Zveznega urada za varnost in informacijsko tehnologijo, odsvetoval...

Slo-Tech - Tudi letos so strokovnjaki za računalniško varnost iz približno trideset organizacij sestavili seznam 25 najnevarnejših programerskih napak, ki na široko odpirajo vrata zlikovcem. Letošnji seznam je zelo podoben lanskemu. Glavni krivci ostajajo enaki, tj. XSS (cross-site scripting), SQL injection in buffer-overflow. Teh 25 napak je krivih za skoraj vse napade na spletu, med drugim tudi za zloglasni kitajski napad na Google in druga zahodna podjetja. Poleg napak je še obsežna razlaga, kaj točno je problematično in kako se pomanjkljivostim izogniti. Predlagajo pa še eno rešitev za odpravo napak, in sicer vključitev klavzule v pogodbe z razvijalci, da so za hrošče odgovorni oni.

Slashdot - Novice o bitkah v brskalniški vojni, ki ji ni videti konca, so vedno zanimive. Nedavno smo poročali, da je Nemčija začasno odsvetovala uporabo brskalnika Internet Explorer, ko je bilo ugotovljeno, da so zlikovci za napad iz Kitajske na Google in druga podjetja izkoristili prav pomanjkljivosti v tem programu. Microsoft je teden kasneje luknje zakrpal in načeloma je uporaba Internet Explorerja od takrat naprej varna.

Za razliko od Nemčije so v Veliki Britaniji mnenja, da Inernet Explorer ni kaj posebej luknjast. V njihovem parlamentu je namreč lord Avebury postavil vprašanje, ali britanska vlada sodeluje z nemško in francosko pri debatah o varnosti IE-ja in kakšno priporočilo bodo izdali svojim podanikom.

Iz njihovega Home Officea (vladni oddelek za varnost in red) so odgovorili, da so člani evropske skupine EGC (European Government CERTs), kakor tudi omenjeni državi. Nadalje so dejali, da jemljejo internetno varnost resno in tesno sodelujejo z Microsoftom in drugimi. Poudarili so...

CNet - Varnostne pomanjkljivosti v Internet Explorerju, ki so dvignile veliko prahu, ker so bili prav z njihovo pomočjo iz Kitajske izvedeni napadi na Google in druga zahodna podjetja, so zakrpane. Microsoft je včeraj izdal izredni paket popravkov, v katerem je popravil osem varnostnih pomanjkljivosti, ki nastopajo v vseh verzijah od IE5 dalje. Jerry Bryant iz Microsofta pravi, da so sprva luknje nameravali zakrpati v rednem paketu popravkov, ki je načrtovan za 9. februar, a so zaradi pomembnosti pohiteli. V isti sapi dodaja, da so bili nanje opozorjeni že pred štirimi meseci in da je najbolj kritičen IE6, ki naj bi bil tudi edini neposredno zlorabljen v napadih. Čas bi bil, da ga pošljemo na smetišče zgodovine, kamor po devetih letih nedvomno sodi. Popravke in nove verzije Internet Explorerja snamete na Windows Update.

Heise - Nemški Zvezni urad za varnost in informacijsko tehnologijo (BSI) je uradno odsvetoval uporabo Internet Explorerja. K tej potezi jih je vzpodbudil nedavni vdor iz Kitajske, pri katerem so napadalci izkoristili do tedaj neodkrito luknjo v Internet Explorerju za napad na Google in druga zahodna podjetja.

BSI piše, da so prizadete verzije IE6, IE7 in IE8 v Windows XP, Visti in Sedmici. Popravka za zdaj še ni na voljo in ker tudi poganjanje IE-ja v varnem načinu in izključitev Acitve Scripting nevarnosti popolnoma ne odvrne, BSI priporoča uporabo alternativnih brskalnikov.

Kaj točno je šlo narobe, si lahko preberete v McAfeejevi analizi. Naslednji paket popravkov bo Microsoft izdal 9. februarja, tako da imajo hekerji še dosti časa za izrabo pomanjkljivosti.

Pa pri nas?

CNet - Pred dnevi so odkrili, da so kitajski hekerji od decembra do 4. januarja napadli celo vrsto zahodnih podjetij, zaradi česar je Google celo napovedal, da se bo umaknil iz Kitajske. Microsoft je priznal, da je eden izmed krivcev za uspeh napadalcev tudi njihov brskalnik. Kot je dejal Mike Reavey, vodja Microsoftovega Security Response Center, je bil Internet Explorer eden izmed uporabljenih vektorjev za napad. Podjetje McAfee pojasnjuje, da so napadalci izkoristili pomanjkljivost IE zero-day in ne napake v PDF-jih. Luknja naj bi obstajala v vseh verzijah Internet Explorerja od 5.01 naprej, medtem ko Reavey trdi, da so bili prizadeti le uporabniki IE6. V intenzivni preiskavi, ki poteka o dogodku, sodelujejo MS, Google, Adobe, Mandiant in McAfee. Več o tem.

Slashdot - Pred kratkim je Microsoft napovedal nov izdelek z imenom Expression Web SuperPreview, ki naj bi razvijalcem spletnih strani prihranil marsikakšen siv las. Ti morajo pri pisanju spletne strani paziti, da bo ta prikazana neporušeno v vseh popularnejših brskalnikih, kar vzame kar dosti časa. Z novim orodje pa jim želi Microsoft priti naproti, saj bo z njim moč hkrati pogledati izgled strani v vseh nameščenih brskalnikih na računalniku in v več različicah IE-ja (in rezultate celo položite drug na drugega). Trenutna beta verzija, ki je na voljo za prenos, sicer podpira le IE6 z IE7 ali IE8, medtem ko...

Slo-Tech - Po poročanju Der Spiegla bo nemška zvezna vojska ustanovila posebno enoto, v kateri bodo združeni "hekerji v uniformah", kot so jih poimenovali. Za zdaj se imenujejo Oddelek za operacije na področju informatike in računalniških mrež (Abteilung Informations- und Computernetzwerkoperationen) in se urijo v kasarni Rheinbachu blizu Bonna. V enoti bodo večinoma diplomanti informatike in sorodnih programov z vojaških univerz. Njihova naloga bo od začetka prihodnjega leta, ko naj bi bil oddelek popolnoma delujoč, zaščita in protinapad proti kibernapadom, kot se je denimo zgodil nedavno v Estoniji, poleg tega pa bodo analizirali, prisluškovali in vdirali v tuja omrežja in strežnike sovražnikov, če bo za to potreba.

Poleg tega zvezna vlada vlaga tudi v izboljšanje lastne IT-varnosti, saj se še dobro spomnijo napadov na ministrstva in pisarno kanclerke spomladi in poleti leta 2007. Takrat so preiskovalci napade izsledili do kitajske province Lanzhou. Sedaj so BSI (Zvezni urad za varnost in...

SANS Institute - SANS Internet Storm Center je iz zelene spremenil trenutno stanje varnosti na spletu v "Infocon Yellow" kar ne storijo ravno za vsako malenkost. Tokrat se težava nahaja v Windows Graphics Rendering Engine-u, ki omogoča zaganjanje zlobnekode™ vsebovane v .wmf datotekah, katere naš preljubi Internet Explorer poganja tako samodejno, kot vam denimo prikazuje slikovne datoteke .jpg. To pomeni, da vas lahko okuži že zgolj obisk strani, ki prikaže datoteko s končnico wmf ali, če imate nameščen Google Desktop (ki uporablja IE pogon), celo odpiranje mape v kateri se nahaja okužena datoteka oz. celo prenos datoteke v DOS oknu z ukazom wget, kajti Google Desktop pri teh operacijah že prebere meta podatke okužene datoteke, kar pa je dovolj za okužbo sistema.

Rešitev je k sreči preprosta in čeprav se je uporabnikom Firefoxa ni potrebno posluževati, ker trenutno najpopularnejši alternativni brskalnik za razliko od bratca IEja nima pretiranih ambicij samodejnega poganjanja zlobnekode™, vseeno...

RIS - Če vas zanima tehnologija, vas bo ta novica razveselila. V Grand hotelu Union v Ljubljani se bo prihodnji teden (od 19. do 21. oktobra) odvijala konferenca o informacijski ter komunikacijski tehnologiji eChallenges e-2005. Sodelovalo bo več kot 43 držav, veliko pozornosti pa bo namenjene Sloveniji, saj bomo prva država, ki omenjeno konferenco gosti, odkar smo se lani pridružili Evropski uniji. Dogodek uživa podporo Evropske komisije, njegov cilj pa je vzpodbuditi razvoj raziskovanja novih tehnologij. Več na domači strani.

Slo-Tech - Na največjem evropskem Linuxdnevu, ki je bil od 23. - 26. junija v nemškem mestu Karlsruhe, je nemški Zvezni urad za varnost informacijskih tehnologij predstavil svojo strategijo in svoje rešitve na področju odprtokodnega programja.
"Prosto programje je dobra alternativa lastniškim izdelkom. Zato podpiramo strategijo Zveznega ministrstva za notranje zadeve, ki namerava pospeševati razvoj raznovrstnosti programja." pravi Dr. Udo Helmbrecht, predstojnik navedenega urada.

Extremetech - Da, da, zdi se mi, da ste se zadnje čase malce preveč razvadili. Kar dosti časa je preteklo od zadnjega opozorila o hroščih v našem priljubljenem brskalniku, kar vam je zagotovo dajalo lažni občutek vaše neranljivosti. Postavite se na trdna tla. [:D]

Na ExtremeTech so nas namreč spet razveselili z novim nedavno odkritim hroščem. Tokrat so nas opozorili, da se lahko z obiskom spletne strani ali prebiranjem HTML e-maila v Outlooku zažene ZlobnaKoda™, ki vam, reci in piši, kar sformatira vaše diskovje. Seveda ni vse tako črno, saj so alternativni brskalniki (Opera, Mozzila ...) na napako imuni, če pa še vedno trmasto vztrajate pri Internet Explorer, si lahko miren spanec zagotovite z izključitvijo scriptinga. Ah, ja.

Slo-Tech - Torej, po nemalo urah je stran Playtex-a še vedno pohekana. Bog ve, ali tako kot pri Citroenu, pridni admini stran 'obnavljajo'.

Opozorilo:

Mnogi bralci ste opozorili, da vam razni protivirusni programi (predvsem McAfeejevi) javijo virus. Norton AV, seveda s posodobljeno bazo, ne javi nič sploh, prav tako še marsikateri preventivni ukrepovalnik. Vseeno predlagam diskretnost...

ZDNet - Pojavile so se govorice, da bo naslednja verzija Microsoftovega brkljalnika, Internet Explorer 6, stand-alone verzija. To pomeni, da ne bo dosegljiva samo kot del operacijskega sistema Windows, temveč tudi kot samostojen program, ki bo dostopen tudi drugim uporabnikom. Zaenkrat namreč lahko vidijo in preizkusijo beta verzijo IE 6 samo beta-uporabniki Microsofta, ki imajo naložen nov beta operacijski sistem Windows XP.
Vsaj zaenkrat pa IE 6 ne morete uporabljati na nekaterih operacijskih sistemih, ki so sedaj na trgu. Na Windows 95 ga sploh ne morete uporabljati, lahko pa ga uporabljate na Windows 98, Windows NT (s service pack-om 6a ali več) in pa Windows XP beta.
Končne verzije IE 6 in Windows XP pa lahko pričakujemo nekje pred koncem tega leta.