Zarządzanie tożsamością (51)

Odwiedziny serwisu przekładają się na konkretne dochody z reklam na nim wyświetlanych, zatem przekierowanie ruchu do innych serwerów może przynosić pieniądze przestępcom. Taki ruch można sprzedać, a do generowania kliknięć może posłużyć sieć przejętych komputerów-zombie.

Ataki w przyszłości będą bardziej precyzyjne niż obecnie i ochrona przed nimi będzie trudniejsza.

Przedstawiamy najważniejsze czynniki ryzyka, związane z wykorzystaniem samoobsługowych kanałów bankowości elektronicznej.

Naruszenie bezpieczeństwa w firmie przetwarzającej wrażliwe dane może powodować prawdziwą lawinę kosztów.

Blokowanie i filtrowanie ruchu (48)

Głównym zagrożeniem bezpieczeństwa danych przetwarzanych w komputerach firm jest złośliwe oprogramowanie. Jedną z metod ograniczania jego szkodliwości jest blokowanie ruchu za pomocą techniki DNS Blackholing.

Urządzenia wbudowane od dawna stanowią część infrastruktury IT, ale zbyt mało uwagi poświęca się ich bezpieczeństwu. Zaniedbania mogą przynieść katastrofalne skutki.

Europejska dyrektywa 2006/24/WE nakłada na operatorów obowiązek gromadzenia i przechowywania danych transmisyjnych przez okres 24 miesięcy. Obejmuje ona wszelkie środki elektronicznej komunikacji, w tym także usługi sms, e-mail, WWW oraz VoIP. Choć nadal trwają prace nad przepisami wykonawczymi do ustawy Prawo Telekomunikacyjne, określającymi ostateczny kształt implementowanych rozwiązań, już teraz budzą one wiele kontrowersji.

BotHunter wykrywa złośliwe oprogramowanie przy pomocy analizy ruchu sieciowego. W odróżnieniu od IPS-ów, koncentruje się na kontroli dwukierunkowej komunikacji.

Wykrywanie włamań (60)

Automatyka przemysłowa rzadko bywała celem ataków. Obecnie włamywacze interesują się także tym elementem infrastruktury firm.

Ataki w przyszłości będą bardziej precyzyjne niż obecnie i ochrona przed nimi będzie trudniejsza.

Administratorzy sieci Wi-Fi muszą pamiętać, że dzięki prostym w obsłudze narzędziom do łamania zabezpieczeń, ataki może przeprowadzić dzisiaj już nie tylko specjalista.

Część hakerów traktuje nowe systemy bezpieczeństwa jak rzuconą im rękawicę. Atakowane są przede wszystkim profesjonalne i popularne serwisy.

Zarządzanie konfiguracją (32)

Firma Adobe Systems rozważa wprowadzenie częstszych aktualizacji swoich produktów. W ubiegłym roku wprowadzono kwartalny harmonogram dostarczania aktualizacji dla oprogramowania Acrobat i Reader, obecnie planuje się cykl miesięczny.

W wielu organizacjach nadal wykorzystuje się starsze wersje oprogramowania, mimo tego, że aktualizacje niektórych produktów są dostępne bezpłatnie. Jest to bardzo poważna luka w bezpieczeństwie, którą niezwłocznie należy usunąć.

Jak pogodzić przetwarzanie danych niejawnych oraz publicznie dostępnych na jednym komputerze, zachowując rozdzielność między nimi? Zamiast przełączników KVM oraz dwóch zestawów komputerów, można zastosować specjalną, certyfikowaną stację roboczą.

O bezpieczeństwo systemów i aplikacji uruchamianych w modelu wirtualnym trzeba zadbać co najmniej tak dobrze, jak przy modelu tradycyjnym.

Bezpieczeństwo sieci WLAN (30)

Gdy dokonuje się konsolidacji wielu systemów, działających w różnych strefach usługowych, pojawia się pytanie o ryzyko biznesowe związane z bezpieczeństwem takiej instalacji.

Motorola zaprezentowała rozwiązanie AirDefense Wireless Vulnerability Assessment - technologię służącą do prewencyjnej analizy stopnia bezpieczeństwa sieci WiFi.

W Totalizatorze Sportowym niedawno ukończono wdrożenie systemu ochrony sieci firmowej, zabezpieczającego sieć w centrali i kilkunastu oddziałach terenowych.

Problem podsłuchu towarzyszy sieciom komputerowym od samego początku. Najnowszym osiągnięciem wykrywania ataków jest technika NSA do analizy czasu przesyłania danych.

Uwierzytelnianie (117)

Przedstawiamy listę 25 najważniejszych błędów programistycznych, które według organizacji MITRE przyczyniają się do powszechnej podatności oprogramowania na ataki.

Przedstawiamy najważniejsze czynniki ryzyka, związane z wykorzystaniem samoobsługowych kanałów bankowości elektronicznej.

Wśród klasycznych funkcji bezpieczeństwa teleinformatycznego, takich jak autentyczność, integralność czy poufność, funkcja anonimowości na pierwszy rzut oka stanowi pewien dysonans. Jednak wobec coraz bardziej rozpowszechnionej legislacji regulującej kwestie prywatności, znaczenie anonimowości będzie rosło.

Jednym z najbardziej rozpowszechnionych narzędzi do kradzieży haseł dostępowych do kont bankowości elektronicznej jest trojan ZeuS, znany także jako Zbot i Wnspoem. Stanowi dość poważne zagrożenie dla użytkowników w wielu krajach.

Kontrola dostępu (133)

Jeden z inżynierów Google opublikował kod eksploita, który umożliwia przeprowadzanie ataków, wykorzystując poważną lukę w bezpieczeństwie Windows XP.

Naruszenie bezpieczeństwa w firmie przetwarzającej wrażliwe dane może powodować prawdziwą lawinę kosztów.

Naruszenie bezpieczeństwa w firmie przetwarzającej wrażliwe dane może powodować prawdziwą lawinę kosztów.

Jednym z najbardziej rozpowszechnionych narzędzi do kradzieży haseł dostępowych do kont bankowości elektronicznej jest trojan ZeuS, znany także jako Zbot i Wnspoem. Stanowi dość poważne zagrożenie dla użytkowników w wielu krajach.

Infrastruktura PKI (14)

Jak przekonują analitycy Canalys w bieżącym roku rynek urządzeń i aplikacji zapewniających bezpieczeństwo informatyczne korporacji powróci do dwucyfrowej dynamiki wzrostowej. Tym samym zniwelowana zostania ubiegłoroczna stagnacja na tym polu wynosząca jedynie 7,2 proc. i odstająca znacznie od średniej na poziomie 20-30 proc.

Firma Secure Computing przygotowuje nową wersję urządzenia, łączącego zaporę ogniową i ochronę WWW, które wykorzystuje dane o reputacji zbierane przez system punktujący TrustedSource.

Podpis elektroniczny to temat ostatnio znów gorący. Nie dlatego jednak, że to nowa technologia, bo ta funkcjonuje już od kilkunastu dobrych lat. Podpis elektroniczny zaczyna torować sobie drogę w naszym systemie prawnym. Wszystko to odbywa się jednak dość opieszale i stwarza wrażenie chaosu. O co w tym wszystkim chodzi i jak w tej chwili wygląda sytuacja podpisu w Polsce?

Senat zrezygnował z zaproponowanego przez senatora PiS skrócenia terminu wdrożenia podpisu elektronicznego i przyjął rządowy projekt nowelizacji bez poprawek, co oznacza że administracja publiczna będzie miała obowiązek przyjmować dokumenty elektroniczne od maja 2008 roku. Ile tak na prawdę czasu ma administracja publiczna na wdrożenie podpisu?

Rozwiązania VPN (27)

Budując wirtualną sieć prywatną w firmie, zazwyczaj nie dokonuje się prawie żadnych analiz. Dział IT po prostu zamawia usługę, która wydaje się najbardziej zbliżona do potrzeb. To błąd.

Do przesyłania danych między oddziałami firm wykorzystuje się wirtualne sieci prywatne VPN. Można wykonać sieć siłami działu IT, choć skorzystanie z usług operatora pozwoli na wdrożenie w firmie telefonii internetowej lub innych, bardziej zaawansowanych usług.

Współczesne urządzenia UTM są wyposażone w zaawansowane narzędzia do analizy pakietów, które potrafią zablokować praktycznie każdy niepożądany ruch w sieci, na przykład generowany przez aplikacje peer-to-peer.

Firma włączyła do rodziny wielofunkcyjnych urządzeń zabezpieczających Firefox funkcjonalność SSL VPN, przekształcając je w zdalne bramy dostępowe dla urządzeń, które nie zawierają klienta IPSec.

Szyfrowanie danych (68)

Badacze firmy Intel opracowują cyfrowy generator liczb losowych, który będzie można wbudować w mikroprocesory. Jest to bardzo trudne zadanie, gdyż od jakości tych liczb zależy bezpieczeństwo szyfrowanej informacji.

W laboratorium kryminalistycznym Metropolitalnej Policji w Penge, niedaleko Londynu, opracowano technikę analizy częstotliwości sieci energetycznej (ENF, ang. electrical network frequency analysis), która umożliwia określenie czasu nagrania na podstawie fluktuacji sygnału sieci zasilającej.

Urządzenia wbudowane od dawna stanowią część infrastruktury IT, ale zbyt mało uwagi poświęca się ich bezpieczeństwu. Zaniedbania mogą przynieść katastrofalne skutki.

Telefony Blackberry posiadają wiele zabezpieczeń, które chronią zarówno treść komunikacji, jak i zasoby. Mimo to, pojawia się coraz więcej informacji o zagrożeniach dla tej platformy.

Infrastruktura PKI (9)

Jak przekonują analitycy Canalys w bieżącym roku rynek urządzeń i aplikacji zapewniających bezpieczeństwo informatyczne korporacji powróci do dwucyfrowej dynamiki wzrostowej. Tym samym zniwelowana zostania ubiegłoroczna stagnacja na tym polu wynosząca jedynie 7,2 proc. i odstająca znacznie od średniej na poziomie 20-30 proc.

Przedstawiamy krótki poradnik pozwalający na szybkie uruchomienie szyfrowanej poczty pod dwoma najpopularniejszymi aplikacjami pocztowymi.

Prezentujemy najlepsze produkty z dziedziny bezpieczeństwa według InfoWorld w kategoriach: rozwiązania antyspamowe, bezpieczeństwo aplikacji, bezpieczeństwo danych, zapory firewall i UTM, rozwiązania IDS i IPS, kontrola dostępu, ochrona sieci, VPN.

W ramach Forum Technologii Bankowych działającym przy Związku Banków Polskich powstała grupa robocza zajmująca się zagadnieniami identyfikacji użytkowników w bankowości elektronicznej czy systemach e-commerce. Ma ona wypracować nowe, uniwersalne standardy w zakresie uwierzytelniania w systemach transakcyjnych i serwisach internetowych.

IPsec (7)

Gdy dokonuje się konsolidacji wielu systemów, działających w różnych strefach usługowych, pojawia się pytanie o ryzyko biznesowe związane z bezpieczeństwem takiej instalacji.

Błędy i mała popularność IPv6 wciąż hamują masowe zastosowania nowego protokołu.

Jak przekonują analitycy Canalys w bieżącym roku rynek urządzeń i aplikacji zapewniających bezpieczeństwo informatyczne korporacji powróci do dwucyfrowej dynamiki wzrostowej. Tym samym zniwelowana zostania ubiegłoroczna stagnacja na tym polu wynosząca jedynie 7,2 proc. i odstająca znacznie od średniej na poziomie 20-30 proc.

Gdy w firma staje przed problemem połączenia odległych od siebie oddziałów, komputerów w jedną sieć, zwiększenia bezpieczeństwa połączeń pomiędzy oddziałami czy umożliwienia korzystania z firmowych zasobów danych zdalnym użytkownikom - rozwiązaniem są wirtualne sieci prywatne VPN (Virtual Private Network).

SSL (26)

Czy fakt stosowania szyfru RC4-MD5 w serwerze SSL jest już podatnością, którą należy wykazać w rapocie, czy też praktyką dopuszczalną z punktu widzenia bezpieczeństwa?

Osoby, które za pośrednictwem sieci Wi-Fi korzystają z serwisów wymagających logowania, narażają się na nieautoryzowane uzyskanie dostępu do ich kont przez przestępców - poinformowali specjaliści z firmy Errata Security, podczas konferencji Black Hat w Las Vegas, prezentując scenariusz takiego ataku.

Jak przekonują analitycy Canalys w bieżącym roku rynek urządzeń i aplikacji zapewniających bezpieczeństwo informatyczne korporacji powróci do dwucyfrowej dynamiki wzrostowej. Tym samym zniwelowana zostania ubiegłoroczna stagnacja na tym polu wynosząca jedynie 7,2 proc. i odstająca znacznie od średniej na poziomie 20-30 proc.

Połączenia chronione protokołem Secure Sockets Layer (SSL) mogą posłużyć autorom wirusów czy koni trojańskich do wygodnego dystrybuowania ich "produktów" - ostrzega Shane Coursen, konsultant z firmy Kaspersky Labs. Jego zdaniem, przestępcy mogą wkrótce zacząć wykorzystywać fakt, iż dla większości użytkowników pojawienie się ikony kłódki w przeglądarce jest jednoznacznym potwierdzeniem, że oto połączyli się z bezpieczną stroną.