Kategorija: Novice

Bolj kot karkoli drugega, bi morali biti zaskrbljeni v zvezi z zasebnostjo

Skupnost brskalnikov ni skrivala svojega skupnega cilja –> šifriranega interneta. Že v letošnjem letu smo videli, da so brskalniki začeli označevati spletna mesta s polji za prijavo, ki niso podana prek HTTPS.

Ena od največjih panog, ki še ni šifrirana, so masovni medij. Če preverimo najbolj obiskane spletne strani ugotovimo, da jih veliko še ni šifriranih. Nekateri to odlašajo do zadnjega trenutka, ko brskalniki to še omogočajo.

Na žalost je to razmišljanje neprimerno za bralce medijev. Razlog za to je preprost: zasebnost.

SSL blokira sledenje

V ZDA in po svetu smo dosegli, da se razprava o zasebnosti širi. Vlada in zasebna podjetja sledijo internetnim uporabnikom, kar pa SSL onemogoča.

Ena od prednosti SSL je, da blokira dejavnost posameznika na vaši spletni strani. Seveda lahko nekdo vidi, da je brskalnik osebe obiskal spletno mesto s protokolom SSL, vendar ne vidi, po katerih straneh brska.

Za posameznika je to velika prednost. Na primer, če ima spletno mesto z novicami perspektivni odsek, za katerega se zanimate in ga redno spremljate, lahko nekdo izbira podrobnosti o vas. Ta vrsta informacij je tisto, kar oglaševalcem omogoča ciljno oglaševanje in omogoča tretjim osebam, da vas profilirajo.

Spletna mesta z novicami imajo dolžnost, da zaščitijo zasebnost svojih bralcev in preprečijo, da bi jih spremljali pri brskanju po njihovih spletnih straneh.

S svobodo tiska pod skoraj nenehnim napadom in rednimi prilivi “ponarejenih novic” bi bilo slabo, če bi videli legitimno novico, ki bi bila označena za “ne varno”. Najslabše je, če izgleda, da je medijem vseeno za zasebnost njihovih bralcev – in prav zato bi morali šifrirati svoje strani.

Napadi DDoS, ki uporabljajo botnete iz naprav IoT, niso le možni – ampak se dogajajo.

DDoS napadi in botneti

Odkar obstaja hekanje, je DDoS je postal eden od najpogosteje uporabljenih napadov. Distributed Denial of Service ali DDoS, prekine delovanje strežnika ali omrežja tako, da ga preobremeni z neželenimi zahtevami in ga zruši.

Da se izklopi napad DISTRIBUTED Denial of Service, se morajo zahteve posredovati prek omrežja računalnikov. Pošiljanje vseh zahtev iz enega računalnika bi bilo logistično nemogoče in prav tako bi bilo enostavno blokirati izvor zahteve.
Namesto tega ustvarite botnet. Če želite to narediti, okužite na stotine, tisoče – morda celo milijone – računalnikov z zlonamerno programsko opremo, ki naprave dejansko spremenijo v bot. Značilno je, da računalnik ne kaže nobenih znakov okužbe, saj zlonamerna programska oprema večinoma miruje, dokler napadalec ne odpre računalnika.
Ko napadalec določi svoj cilj in je pripravljen na začetek, botnet začne pošiljati zahteve v strežnik ali omrežje, ki ga napada. Obseg zahtev (ali neželene vsebine ali karkoli se prenaša), skupaj s številom različnih virov, iz katerih izvirajo zahtevki, zruši strežnik ali omrežje, da je brez povezave.
Ko se poglobiš, je zadeva veliko bolj zapletena, vendar opis zadošča za nadaljnjo razpravo.

Preberi več Izkoriščanje internetnih naprav: kako ustvariti botnet hladilnikov

Kljub nasprotnim argumentom, izdatno preverjanje (EV) zagotavlja izjemno vrednost.

V juliju je Troy Hunt, strokovnjak za varnost in učitelj, ki je znan po orodju “Have I Been Pwned”?, napisal dolg članek o vrednostih certifikatov z izdatnim preverjanjem (Extended Validation – EV).

V članku se je spraševal o vrednosti EV certifikatov in ali jih uporabniki sploh opazijo. Hunt zaključuje:

“Bistvo je, da je učinkovitost EV certifikatov dandanes odvisna od ljudi, ki prepoznavajo [sic] kaj mislijo, in ustrezno prilagajajo njihovo vedenje. Težko se je sprijazniti s tem … “

To je vsekakor res. EV certifikati se zanašajo na uporabnika, da jih opazi in uporabi ta podatek. Ampak ali to pomeni, da EV certifikati nimajo vrednosti?

Preden se lotimo tega vprašanja, si vzemimo trenutek, da najprej predstavimo izraze:

Preberi več Zakaj potrebujemo resnično svetovno identiteto: vrednost EV

Ko gre za HTTPS in Google, je na tapeti veliko več kot samo vaša varnost

Google se močno zavzema za univerzalno šifriranje v letu 2017. V resnici je to skupnost brskalnikov, vendar je Google vodja in se v tem pogledu zavzema kot aktivist.

Trenutno je ogromen prepad med organi za izdajo potrdil in brskalniki, zlasti Google-om, o tem, kako naj to izgleda. Dobri argumenti so podani na obeh straneh. Problem je, da je samo ena stran odprta pri navzkrižju interesov. Preberi več Googlov 80-milijardni konflikt interesov

Rešitev za potrditev domene SSL za izboljšanje varnosti uporabnikov.

“Phishing” oz. lažno predstavljanje je sedaj bolj razširjen kot kdaj koli prej. Po mnenju Odbora APWG za internetno politiko je bilo leto 2016 resnično rekordno leto za lažno predstavljanje, leta 2017 pa je že na vrhu. Ta rast je v veliki meri naravna zaradi stalne rasti interneta. Vendar pa je zaradi sedanjega SSL sistema, ki ustvarja popolne pogoje za lažno predstavljanje – t.i. phishing, število prevar še večje.

Ta problem je dejansko sotočje dveh trendov. Prva je nedavna poteza brskalnikov, ki jih vodijo Google in Mozilla, da spremenijo uporabniški vmesnik (User Interface – UI) iz podcenjene ikone ključavnice v bolj privlačno in očitno zeleno binarno “Secure” / “Not Secure”, ki se je pričelo z izdajo programa Chrome 56 / Firefox 51.

To v povezavi s hitrim širjenjem prostega SSL-ja je ustvarilo okolje, v katerem lahko lažne spletne strani dodajo SSL in označijo stran kot »varno«. Prepričani smo, da se vsi strinjamo, da je spletno mesto z lažnim predstavljanjem označeno kot »varno«, slaba stvar . Izboljša moč lažnega predstavljanja.

In ne glede na začetne namere, trenutni uporabniški vmesnik pomaga pri lažnem predstavljanju.

Preberi več Brskalniki morajo prenehati pomagati hekerjem izvajati “Phishing”