Arhiva pentru categoria ‘Securitate’

Kaspersky lanseaza suita 2010

luni, iunie 29th, 2009

kav-kis-2010Deocamdata oficial doar in SUA, dar toti clientii de Kaspersky Anti-Virus 2009 sau Kaspersky Internet Security 2009 pot face upgrade gratuit la versiunea 2010 folosind cheia de activare existenta. Am adaugat deja cele doua produse pe site-ul nostru, spre vanzare. Livrarea fiind electronica, practic, ceea ce se vinde este cheia de activare a produsului si un certificat (pdf) care atesta ca sunteti posesorii licentei.

Kaspersky Internet Security (KIS) 2010 contine, in plus fata de varianta anti-virus, un firewall pentru filtrarea conexiunilor internet, un modul anti-phishing si un sandbox, pentru testarea aplicatiilor suspecte. Kaspersky Anti-Virus (KAV) 2010 este ideal utilizatorilor avansati care deja au un firewall performant (de exemplu, pe gateway-ul sau router-ul de acces internet), stiu sa nu dea click pe link-uri suspecte primite pe mail si nu doresc decat strict un antivirus performant. Ca bonus, KAV 2010 vine cu o tastatura virtuala.

Tags: , , ,
Postat in Noutati, Securitate | 2 Comment-uri »

HttpOnly – in sfarsit, un plus de securitate

miercuri, ianuarie 28th, 2009

Una din metodele folosite de „baietii rai” pentru a sparge conturi se bazeaza pe injectarea de cod JavaScript in paginile atacate (XSS) si culegerea unor date private (cum ar fi identificatorul de sesiune stocat in cookie).

In 2006 Microsoft a inventat httpOnly, un cuvant trimis in header care specifica faptul ca un cookie setat de server nu poate fi accesat din JavaScript sau alte scripturi care ruleaza in browser. Ideea, foarte buna de altfel, a fost implementata in IE6 SP1 si ulterior in FireFox 2.

Totusi a aparut repede o problema: (mai mult…)

Tags: , ,
Postat in Securitate | 1 Comment »

Magazinele virtuale din .ro stau prost la capitolul securitate

miercuri, octombrie 8th, 2008

La o analiza sumara, cel putin 11 din cele 41 (?) de site-uri inscrise la Gala Premiilor eCommerce 2008 au probleme de securitate care le-ar putea afecta activitatea. Asta inseamna peste 25% .. destul de mult. 

Tehnic, e vorba despre XSS, aka Cross-Site-Scripting, care inseamna injectarea de cod (de obicei javascript) intr-un site prin intermediul unor variabile nesecurizate (sau in cazul unora din site-uri, insuficient securizate). Din fericire, o astfel de vulnerabilitate e destul de usor de depistat si reparat, dar ar fi mult mai bine daca autorii site-urilor ar evita din start astfel de probleme.

Prin XSS se poate de exemplu manipula sesiunea (asta inseamna ca, in anumite conditii, cineva sari peste autentificare). Sau, daca datele sunt salvate in site si accesibile si altor vizitaori (de ex: „ultimele cautari”), li se pot fura datele de acces ale acestora din urma, ii pot infecta cu diversi virusi/etc. Nu-i nevoie decat de putina atentie pentru a evita astfel de probleme.

Tags: , ,
Postat in Securitate | 4 Comment-uri »

Conexiune FTP securizata „FTP over SSL”

miercuri, august 27th, 2008

FTP, unul din cele mai vechi protocoale pentru transferul de fisiere intre client si server, sufera pe partea de securitate. Mai exact, parola este trimisa in clar intre client si server si poate fi interceptata de rauvoitori. Din fericire, solutii sunt mai multe. Toate conturile de FTP din cPanel permit conectarea la server printr-un protocol securizat numit FTP over SSL explicit (care foloseste o conexiune SSL). Avantajul unei conexiuni SSL este dublu: pe de-o parte se stabileste o conexiune criptata intre computer si server iar pe de alta parte se autentifica serverul (pentru a evita atacurile de tip man-in-the-middle).

Am testat aceasta conexiune in doua programe (clienti) FTP: FileZilla, disponibil gratuit (poate fi descarcat de aici) si SmartFTP (comercial + licenta de evaluare). Filezilla are un sitemanager care permite setarea FTP over SSL explicit:

Dupa conectare va apare o fereastra de notificare in care se prezinta datele din certificat. Este nevoie sa acceptati certificatul SSL ca fiind de incredere (chiar daca certificatul SSL folosit de server este emis de o autoritate de certificare recunoscuta, numele de domeniu difera de cele mai multe ori de cel de pe certificat).

In SmartFTP exista o iconita in bara de adresa, langa numele hostului, de unde se poate selecta protocolul (implicit este FTP):

Odata problema conexiunii pana la server rezolvata mai ramane doar sa va protejati propiul calculator impotriva virusilor (in special a troienelor sau a keylogg-erelor care va pot fura parola stocata respectiv introdusa).

Tags: ,
Postat in How To, Securitate | 1 Comment »

Scanner XSS

joi, august 21st, 2008

Acunetix ofera gratuit un program pentru detectarea problemelor de securitate ale unui site web. Se scaneaza doar posibilele vulnerabilitati XSS (cross-site-scripting) – cauzate de programarea defectuoasa a site-urilor.
 
L-am testa pe un site care stiu sigur ca are astfel de probleme dar fara niciun rezultat. De aceea e recomandata o verificare a site-ului inainte de lansarea in productie – macar minimala, prin inlocuirea unor valori din URL cu un javascrip alert(1); pus frumos intre taguri.

Tags: ,
Postat in Securitate | 1 Comment »