OWASP Top 10: Security Misconfiguration
"Ang mga pag-atake sa panig ng kliyente ay kung saan ang paradaym ay pupunta," sabi ni Smith. "Ang mga monolithic security system ay hindi na gumana."
Ginagamit ng mga Hacker ang mga Web browser bilang mga kasangkapan sa pagsasamantala upang maikalat ang malware at mangolekta ng sensitibong impormasyon. Ginamit ni Smith ang mga halimbawa mula sa mga kliyente ng kanyang kumpanya, na pinag-aaralan at sinisiyasat ang pag-atake ng computer, upang ipakita ang pagbabanta na ibinabanta ng spam ng blog at pag-atake ng SQL.
[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]
-Traffic mga site na may blog spam at nai-post na mga komento sa mga blog, sinabi niya. Ang mga komento ay kakaiba at tended na magkaroon ng mga di-Ingles na mga parirala na inilagay sa malaking mga bloke ng teksto na may mga random na mga salita hyperlinked, sinabi niya. Ang pag-click sa mga naturang link ay nag-trigger ng mga user sa mga site na parang mga blog ngunit mga pahina na puno ng malware, sinabi ni Smith.Ang isang Intsik na bangko ay may-ari ng mga domain para sa bawat site ng malware, ngunit ang mga IP (Internet Protocol) Ang pag-aaral ng mga link ay nagsiwalat na ang bawat isa ay naglalaman ng mga salita sa Russian o Romanian, sabi ni Smith. Sa pamamagitan ng paglalagay ng isang internasyonal na magsulid sa kanilang mga kasuklam-suklam na gawain, ang mga hacker ay umaasa na malito ang sinumang sinisiyasat ang kanilang trabaho, sinabi niya. "Paano mo susubaybayan ang mga ito pabalik sa masamang tao?" Sinabi niya, na ang pagsubaybay ay kumplikado sa mga hadlang sa wika, nagtatrabaho sa mga dayuhang organisasyon ng batas at pakikitungo sa mga bansa "na ayaw lamang makipag-usap sa amin."
Habang ang mga layunin ng pag-atake sa blog spam ay hindi maliwanag, sinabi Smith ang mga insentibo sa pananalapi maglingkod bilang pagganyak. Naka-install ang Adware pagkatapos bumisita ang isang user ng isang nahawaang site na nets ng pera ng hacker, gaya ng pag-click sa isang advertisement sa pahina. Ang iba pang mga hacker ay naghahanap upang palawakin ang kanilang mga botnet, o mga network ng mga nakompromisong machine na ginagamit para sa mga malevolent na layunin.
Sinisiyasat ng imbestigasyon ni Smith ang mga pag-atake sa isang account sa bahay ng DSL sa Russia. Ang internasyonal na kalikasan ng insidente ay hindi nag-uutos, sinabi niya.
Ang pag-atake ng SQL injection na tinutukoy ni Smith ay nagmula sa Tsina at tinangka na magnakaw ng impormasyon tungkol sa mga negosyo na bumisita sa Web site ng kumpanya, na siyang kliyente ng Smith.
Ang unang Hacker ay naglunsad ng isang SQL injection at nag-upload ng back door na nagpapahintulot sa kanila na kontrolin ang system.
Nabigo ang karagdagang mga injection ng SQL, kaya hinanap ng mga hacker ang system para sa isa pang pagsasamantala. Natagpuan nila ang isang library application na nagbibigay-daan sa mga imahe na mai-upload. Ang mga Hacker ay nag-upload ng isang GIF file na may isang linya ng code na nakapaloob sa imahe. Ang computer system ay nagbabasa ng tag ng GIF at na-upload ang larawan at awtomatikong isinasagawa ang code.
Mga Hacker "ay naka-target sa isang app na pinasadya, in-house, at inilunsad ang isang tukoy na atake laban sa app na iyon," sabi ni Smith. > Ang mga Hacker sa huli ay inilagay ang "iFrame" HTML code sa bawat pahina ng Web site ng kumpanya. Inilipat ng iFrames ang browser ng biktima sa isang server na nagdudulot sa computer gamit ang tool na tinatawag na "MPack." Ang tool na ito ay nagpapakilala sa isang OS at browser ng biktima at inilunsad ang mga pag-atake batay sa impormasyong iyon.
Ang resulta ay ang mga biktima ay nakakakuha ng hit na may maraming mga pag-atake, sinabi Smith.
Ngayon, SQL iniksyon atake ay ang nangungunang pagbabanta sa seguridad ng Web, Sinabi ni Ryan Barnett, direktor ng seguridad ng application sa Breach Security, sa isang pakikipanayam na hiwalay sa kumperensya.
Noong nakaraang taon, ang mga cybercriminals ay nagsimulang ilabas ang napakalaking pag-atake sa Web na nakompromiso ang higit sa 500,000 mga Web site, ayon sa security vendor. "Nagsimula sila noong Enero at napunta sa buong taon," sabi ni Barnett. Noong nakaraan, ang pag-atake ng isang SQL injection attack ay nag-time, ngunit noong nakaraang taon, ang mga attackers ay lumikha ng worm code na maaaring awtomatikong maghanap at mag-break sa daan-daang libu-libong mga site nang masyadong mabilis.
Ngayon, sa halip na pagnanakaw ng data mula sa mga na-hack na Web site, ang masasamang tao ay lalong lumalakad at nagtanim ng malisyosong mga script na umaatake sa mga bisita ng site. "Ngayon ang site ay nagiging isang depot ng malware," sinabi niya.
(Bob McMillan sa San Francisco ay nag-ambag sa ulat na ito.)
Paminsan-minsan ang mga update ay napakahalaga, ngunit ang pinaka-tila tulad ng tinkering. Ang PS3's Disyembre 2, 2008 v2.53 update ay nagdagdag ng full-screen na suporta para sa Adobe Flash. Ang pag-update ng Nobyembre 5, 2008 v.2.52 ay nagdala ng tatlong mga pag-aayos sa maliit na glitch. Ang Hulyo 29, 2008 v2.42-update ang enigmatically "pagbutihin [d] ang kalidad ng pag-playback ng ilang PlayStation 3 at PlayStation format software." Ang pag-update ng Hulyo 8, 2008 v2.41 ay naayos
![Paminsan-minsan ang mga update ay napakahalaga, ngunit ang pinaka-tila tulad ng tinkering. Ang PS3's Disyembre 2, 2008 v2.53 update ay nagdagdag ng full-screen na suporta para sa Adobe Flash. Ang pag-update ng Nobyembre 5, 2008 v.2.52 ay nagdala ng tatlong mga pag-aayos sa maliit na glitch. Ang Hulyo 29, 2008 v2.42-update ang enigmatically "pagbutihin [d] ang kalidad ng pag-playback ng ilang PlayStation 3 at PlayStation format software." Ang pag-update ng Hulyo 8, 2008 v2.41 ay naayos](https://i.joecomp.com/games-2018/are-sony-s-playstation-3-updates-getting-old.jpg "Paminsan-minsan ang mga update ay napakahalaga, ngunit ang pinaka-tila tulad ng tinkering. Ang PS3's Disyembre 2, 2008 v2.53 update ay nagdagdag ng full-screen na suporta para sa Adobe Flash. Ang pag-update ng Nobyembre 5, 2008 v.2.52 ay nagdala ng tatlong mga pag-aayos sa maliit na glitch. Ang Hulyo 29, 2008 v2.42-update ang enigmatically \"pagbutihin [d] ang kalidad ng pag-playback ng ilang PlayStation 3 at PlayStation format software.\" Ang pag-update ng Hulyo 8, 2008 v2.41 ay naayos")
Huwag ako mali, sa tingin ko talagang kahanga-hanga na nais ng Sony na maglinis ng ilang frequency. Ngunit hindi dapat isang kumpanya na may mga mapagkukunan ng Sony at isang predictable hardware development platform malinaw na ang windshield maagang ng panahon?
Ang tanging paliwanag mula sa AT & T tungkol sa blackout ng iPhone sa ngayon ay "Kami ay pana-panahon baguhin ang aming mga channel sa pag-promote at pamamahagi. " Ano ang ibig sabihin ng ano ba? Nilinaw namin na ang ibig sabihin ng AT & T na "baguhin" ang mga channel ng pamamahagi nito sa pamamagitan ng pag-aalis ng isa sa mga pinakamalaking market ng mamimili sa bansa?
AT & T ay nahaharap sa mga gumagamit, kakumpitensya, at FCC tungkol sa network nito at ang kakayahang magbigay ng sapat na serbisyo para sa mga customer ng AT & T wireless. Ang pagputol ng mga benta ng iPhone sa NY ay nag-alienates ng isang malaking pool ng mga mamimili at tacitly admits na ang mga kritiko ay tama - ang AT & T network ay hindi maaaring panghawakan ang iPhone. Hindi bababa sa, hindi sa New York.
Ang FTC noong Miyerkules ay inihayag na pinalawig nito ang pansamantalang pag-withdraw ng kaso laban sa antitrust laban sa Intel sa loob ng dalawang linggo habang ang dalawang panig ay nagpapatuloy sa mga talakayan sa pag-aayos. Ang unang FTC ay nagsuspinde sa mga legal na aksyon sa Hunyo 21, at ang bagong extension ay magbibigay ng mga pag-uusap sa pag-uusap hanggang Agosto 6. Ang isang ipinanukalang kasunduan ay nasa talahanayan, sinabi ng FTC sa isang pahayag.
Ang FTC noong Disyembre ay nagsampa ng isang kaso ng antitrust laban sa Intel, na nagcha-charge sa pinakamalaking tagagawa ng computer chip sa iligal na paggamit ng kanyang nangingibabaw na posisyon sa merkado upang pigilin ang kumpetisyon at palakasin ang kanyang monopolyo sa loob ng isang dekada. Sinasabi ng FTC na ang Intel ay nagsagawa ng isang "sistematikong kampanya" upang ihiwalay ang access ng mga rivals sa marketplace. Ang depinisyon ng FTC na sumulong sa isang kaso laban sa Intel ay du