»

Facebook politikom ne bo več gledal skozi prste

Slo-Tech - Facebook namerava spremeniti kontroverzna pravila, po katerih imajo politiki več svobode pri objavljanju od običajnih ljudi. Spremembe se dogajajo, odkar je Facebook vzpostavil neodvisno telo Oversight Board, ki presoja najzahtevnejše odločitve o moderiranju objav. Med drugim je to telo potrdilo odločitev, da se ukine račun nekdanjemu ameriškem predsedniku, a je hkrati kritiziralo posebno obravnavo, ki so jo politiki na Facebooku deležni nasploh. Facebook je imel do danes čas, da se odzove, zato ne preseneča napoved sprememb.

Trenutno za politike velja bistveno manj omejitev, tako da lažje širijo nestrpnost, sovraštvo ali laži, ki bi za običajne uporabnike že zdavnaj vodile do ukinitve računov. Facebook bo sedaj te privilegijev odpravil. Bolj transparentno bo tudi opozarjanje, saj bodo uporabniki dobili jasno opozorilo, kdaj so storili prekršek (strike), ki bi ob ponavljanju vodil v ukinitev računa. Vsebine politikov, ki bodo kljub kršenju pogojev ostale vidne, bodo jasno označene...

25 komentarjev

Edge ponekod poganja Flash brez odobritve uporabnikov

Slo-Tech - Že več let se pripravljamo na smrt starih vtičnikov NPAPI, kamor seveda sodi tudi Flash. Čeprav ima Flash nekoliko posebno obravnavo in pogosto predstavlja izjemo, ki jo brskalniki vendarle dovoljujejo, se bliža tudi njegov konec. Ni pa takšnega mnenja Microsoft, ki je v svoj novi brskalnik Edge vgradil poseben seznam strani (whitelist), ki jim v nasprotju z uporabnikovimi nastavitvami dovoljuje poganjati Flash. Med njimi je tudi Facebook.

Že od leta 2017 je Flash v Edgeu privzeto izklopljen, uporabnik pa mora poganjanje izrecno potrditi za vsako stran posebej. Toda, do februarja letos je seznam izvzetih strani vseboval 58 vnosov (domen in poddomen), med katerimi so bili na primer Microsoftova stran, Yahoo, Deezer in Facebook, pa tudi španski frizer...

14 komentarjev

Yahoo bo začel nagrajevati ranljivosti z več kot le majicami

Yahoo News - Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.

Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o...

2 komentarja

Nagrajevanje ranljivosti učinkovitejše in cenejše od zaposlovanja

Slo-Tech - Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka....

3 komentarji

Osebni podatki tisoč ljudi za manj kot dolar

Financial Times - Zadnje čase pišemo skorajda samo še o problematiki prisluškovanja, zbiranja osebnih podatkov in njihove preprodaje. Na eni strani nam skušajo slediti vlade, kot razkriva na primer zadnja afera Prism, po drugi strani pa karseda veliko poizkušajo izvedeti tudi trgovci. Profiliranje je že zelo dobro izpopolnjena obrt, ki omogoča celo napovedati, kdaj bo katera rodila. Ti podatki se tudi veselo preprodajajo (v EU je to sicer uradno prepovedano), v poslu pa se obračajo milijonski zneski. A če mislite, da so vaši osebni podatki vredni veliko, se motite. Za cent jih dobite cel kup.

Kot razkriva Financial Times, so cene zelo nizke. Osnovne podatke, kot so ime, spol, lokacija in elektronska pošta, lahko dobite že za 0,50 dolarja na 1000 oseb. Če potrebujete podatke o...

4 komentarji

Kaj se zgodi z Gmailom, Yahoojem, Facebookom po smrti uporabnika

Slo-Tech - Za večino se smrt zdi nek oddaljen in abstrakten pojem, zato je urejanje stvari za čas po lastni smrti precej nenavadno početje. Še zlasti to velja, ko govorimo o internetnih računih in spletnih storitvah. A pomisliti je treba tudi na to, nam želi dopovedati Google. Elektronska pošta in družabna omrežja so storitve, ki vsebujejo ogromno osebnih informacij, zato ni vseeno, kaj se z njimi zgodi po naši smrti. Google je uporabnikom ponudil možnost, da sami izberejo, kaj naj se tedaj zgodi.

Gmail je dobil možnost s precej benignim imenom Inactive Account Manager, kjer nastavimo prav to. Tam je mogoče določiti, po kako dolgi neaktivnosti računa se bo s podatki iz Gmaila in...

22 komentarjev

Mega izplačuje prve nagrade za odkrite ranljivosti

TheNextWeb - Ko je januarja z velikim pompom izšla stran Mega, so bili odzivi precej mešani. Nekateri so nov digital locker, kjer je vsebina šifrirana in zato nedosegljiva vsem razen lastniku, pohvalili, drugi so tarnali nad številnimi ranljivostmi. Ustanovitelj Kim Dotcom je svojo stvaritev vzel v bran in dejal, da njihova implementacija ostaja nezlomljiva in razpisal nagrado 10.000 evrov za vsako večjo ranljivost, ki jo odkrijemo.

Te so razdelili v šest razredov od najresnejših do zgolj teoretično uporabnih. Do danes je bilo odkritih že sedem ranljivosti, ki so jih medtem že popravili in izplačali prve nagrade. Od tega je ena ranljivost četrtega razreda, tri tretjega, ena drugega in dve prvega. Dotcom je resno mislil z najavo nagrajevanja odkritih ranljivosti, saj so prve izplačila že...

3 komentarji

Facebook bi računal za pošiljanje sporočil

Slo-Tech - Facebook preizkuša različne načine, kako od uporabnikov iztisniti kakšen evro. Oktobra so začeli zaračunavati za večjo vidnost uporabnikovih objav (tako imenovani promoted posts). Konec decembra so poizkusili še nekaj drugega in sicer zaračunavanje za pošiljanje sporočil osebam na Facebooku, ki niso prijatelji. Sedaj prehaja preizkus v drugo fazo.

Facebook je že leta 2010 v mapi za sporočila poleg klasične podmape Prejeto (Inbox), kamor se steka pošta, uvedel še predalček Ostalo (Other), kamor vtaknejo reklame, množična povabila in drugo manj pomembno pošto. Poleg oglasov pa lahko najdemo notri še sporočila ljudi (odvisno od nastavitev zasebnosti v Facebooku), ki jih ne poznamo, zato marsikatero sporočilo tam nikoli prebrano ponikne. Facebook spet računa na...

32 komentarjev

WolframAlpha lahko analizira vaš Facebookov profil

Wolfram Alpha - Nobena skrivnost ni, da ima Facebook cel kup podatkov, ki ste mu jih o sebi posredovali sami ali so jih (ne)vede natrosili vaši znanci. V skladu z evropsko zakonodajo lahko od Facebooka zahtevate podatke, ki so jih zbrali o vas. Facebook beleži še marsikaj drugega, kot kar je objavljeno in dostopno, in vsega niti noče posredovati, zato ga preiskuje več evropskih informacijskih pooblaščencev. A eno je gotovo: prepričani ste lahko, da Facebook hrani vse (in pri tem ne mislimo le na eskapado z javno...

14 komentarjev

Facebook širi program nagrajevanja odkritih ranljivosti

Bloomberg - Facebook se je lani pridružil Googlu in Mozilli ter začel finančno nagrajevati odkrite ranljivosti. Kdor v njihovih izdelkih najde kakšno luknjo in jo javi Facebooku, lahko prejme od 500 do 10.000 dolarjev, odvisno od resnosti odkrite ranljivosti. Do danes so razdelili že 400.000 dolarjev. Sedaj pa se je Facebook odločil, da bodo svoj program razširili in začeli nagrajevati tudi posameznike, ki bodo odkrili luknje v Facebookovem notranjem komunikacijskem omrežju (torej v informacijski hrbtenici podjetja) in ne le v končnih izdelkih.

To odločitev je vzpodbudil majski dogodek, ko so dobili poročilo, da je nekdo odkril veliko luknjo v njihovem notranjem omrežju. Hitro so jo zakrpali, nato...

5 komentarjev

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

Forbes - Letos je v Vancouvru na tekmovanju Pwn2Own zelo hitro padel Googlov brskalnik Chrome, ki je bil lani edini nedotaknjen. Razbila ga je francoska skupina hekerjev oziroma raziskovalcev iz podjetja VUPEN, ki ima z Googlom in ostalimi proizvajalci programske opreme precej zapleten odnos. Ko so na primer lani maja objavili napad na Chrome, ki je omogočil poganjanje poljubne izvršljive kode, Googlu ali kam drugam na splet niso posredovali podrobnosti o napadu. Google je tedaj odvrnil, da gre za luknjo v vtičniku za Flashu in da to v resnici "ni njihov problem", na kar je VUPEN odgovoril, da pa je vseeno problem za uporabnike, saj je Flash luknja delovala na privzeti različici Chroma z že vključenim Flashem.

VUPEN je resda francosko varnostno podjetje,...

40 komentarjev

Facebook finančno nagrajuje odkrite ranljivosti

Facebook - Podobno kot to počneta Google in Mozilla, je tudi Facebook napovedal finančno nagrajevanje odkritih hroščev na svojih straneh in v svojih aplikacijah. Medtem ko Google plačuje do 3.133,7 dolarjev, odvisno od resnosti ranljivosti, in Mozilla 3000 dolarjev, je Facebook svojo nagrado za zdaj postavil na 500 dolarjev. Za velike luknje lahko podelijo tudi večjo nagrado, a se o tem odloča vsakokrat posebej.

Pripravili so poseben portal Whitehat, kjer lahko odkritelji odgovorno javijo napake, tako da ima Facebook čas za odpravo, odkritelji pa kandidirajo za 500 dolarjev. Pri tem so izključene napake v aplikacijah tretjih proizvajalcev, tretjih strani, napake kot posledice napadov DoS in...

3 komentarji

Google po enem letu podelil najvišjo nagrado za lovce na hrošče v Chromu

vir: Google
Google - Po enem letu od začetka nagrajevanja prijavljenih lukenj v brskalniku Chrome je Google presodil, da si prvi prijavitelj zasluži najvišjo nagrado v višini 3133,7 dolarjev (za manjše ranljivosti se dobi 500, 1000 ali 1337 dolarjev). Sergey Glazunov prejme za svoje neutrudno lovljenje hroščev 3133,7 dolarjev in še osnovno nagrado v višini 1337 dolarjev ter trikrat po 1000 dolarjev. Ni slabo.

Glazunov je našel eno kritično ranljivost in štiri ranljivosti, ki so označene kot zelo pomembne. Skupno je Google v novi podverziji Chroma 8.0.552.237 popravil 13 pomembnih ranljivosti, kar jih je stalo približno 14 tisoč...

19 komentarjev

Mozilla odkrite ranljivosti bogateje nagrajuje

Mozilla.org - Mozilla je doslej odkrite ranljivosti v Firefoxu nagrajevala s 500 dolarji, sedaj pa so razpisano nagrado povišali na 3000 dolarjev. Poleg že prej vključenega brskalnika Firefox Web, so odslej zajeti tudi Firefox Mobile in še nekaj novih izdelkov. Odkrivanje neznanih ranljivosti je bilo že prej in še ostaja donosen posel, vreden dosti več od piškavih 500 dolarjev. Četudi vnemar pustimo nelegalne možnosti, ko je prodaja ranljivosti zainteresiranim kupcem, ki bodo za dobro odšteli mnogo več, ostane mnogo legalnih potov, kako iz njih iztržiti čim več. Poleg publicitete, ki so jo prijavitelji deležni od medijev, mnogi na varnostnih luknjah sedijo do raznih tekmovanj v vdiranju, kjer so na voljo lepe nagrade (npr. Pwn2Own). Mozilla upa, da bo z novo politiko prepričala odkritelje ranljivosti, da jih kmalu javijo.

5 komentarjev

Z ranljivostmi se živahno trguje

Življenjski cikel zero day ranljivosti

Slashdot - Mnogokrat pišemo o tako imenovanih zero day ranljivostih programov, pri čemer se vedno obregamo na urnost proizvajalcev pri pripravi popravkov, redko pa se govori o ekonomski vrednosti teh ranljivosti. Kot so pokazali zadnji napadi, so zero day ranljivosti dragocene tako za napadalce kot tudi obrambo.

Kot pišejo v zanimivem članku na Net Security, je treba za odkritje kakšne kvalitetne luknje žrtvovati približno tri mesece trdega dela hekerjev. Ti zato na podzemnih trgih ranljivosti, ki so se razcveteli v zadnjem času, zanje zahtevajo več sto tisoč dolarjev. Na njih so poleg zlikovcev dejavne tudi vladne agencije, ki lahko cene navijejo tudi milijona dolarjev. Obstaja pa še beli trg, kjer sodelujejo podjetja, kot so VeriSign, TippingPoint in Google, ki kupujejo zero day ranljivosti z namenom pokrpati svoje izdelke,...

7 komentarjev