Connect with us

Security

A fost gasit un backdoor in firmware-ul routerelor D-Link

Published

on

Un backdoor a fost gasit in firmware-ul folosit de numeroase routere D-Link care ar putea permite atacatorului sa schimbe setarile dispozitivului, aceasta fiind o problema de securitate serioasa si care ar putea fi folosita pentru supraveghere.

Craig Heffner, un cercetator de vulnerabilitate de la Tactical Network Solutions, care este specializat in sisteme incorporate si wireless a gasit o vulnerabilitate. Acesta a scris pe blog-ul sau ca interfata web de la cateva modele de routere D-Link ar putea fi accesata daca „user agent string-ul” din browser este setat la „xmlset_roodkcableoj28840ybtide„. Curios este ca daca cealalta jumatate a user agent string-ului este inversata si numarul este sters va afisa „edit by joel backdoor„, ceea ce inseamna ca a fost plasat intentionat.

D-Link_DI-524

Presupun ca dezvoltatorii au realizat ca anumite programe/servicii trebuie sa fie capabile sa schimbe automat setarile dispozitivului. Realizand ca serverul web dispunea de codul care schimba aceste setari, acestia au decis sa trimita serverului cereri ori de cate ori aveau nevoie sa schimbe ceva„, a scris Heffner.

Singura problema era ca accesul la serverul web se facea cu un username si o parola, pe care utilizatorul o putea schimba. Insa, intr-un moment de eureka, Joel a aparut si a spus:’Nu va faceti griji, am eu un plan’!„.

Industria tehnologiei a fost zguduita de documentele oferite de Edward Snowden din interiorul NSA, care indica clar ca urmaritorii din agentiile de spionaj au backdoor-ul ca metoda pentru a pacali securitatea. Insa dezvoltatorii fac uneori greseli sau in alte cazuri, iau decizii proaste de securitate.

Avand accesul la setarile router-ului, un atacator ar putea fura traficul de Internet printr-un alt server si ar putea citi datele de trafic necriptate. Pentru a gasi medelele de routere D-Link vulnerabile, Haffner a folosit un motor de cautare numit Shodan, care este proiectat sa gaseasca orice dispozitiv conectat la Internet, incepand de la frigidere la camere de supraveghere si routere. „Modelele de la D-Link afectate includ: DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 si, posibil, DIR-615. Acelasi firmware este folosit si de routerele BRL-04UR si BRL-04CW fabricate de Planex. O cautare web mai amanuntita a scos la iveala ca user agent string-ul a fost postat pe un forum rus in urma cu trei ani, ceea ce inseamna ca se stia de el de ceva timp.” a scris Heffner.

Click to comment

Leave a Reply

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Security

Top 10 cele mai proaste parole folosite în anul 2016

Published

on

By

Top 10 cele mai proaste parole folosite în anul 2016

Ne aflăm în anul 2017 iar mediul online este din ce în ce mai folosit, chiar și de oamenii mai în vârstă. Datorită agitației din viața de zi cu zi, sistemul bancar, plățile pentru diferite servicii, programarea pentru unele servicii sau cumpărăturile, sunt acum mult mai la îndemână în mediul online.


Cu toate că infracțiunile online au crescut din ce în ce mai mult, unii oameni pur și simplu nu înțeleg și nu profită de cel mai simplu lucru pe care ei îl pot face pentru a-și securiza conturile din mediul online.

Top 10 cele mai proaste parole folosite în anul 2016

Recent, cei de la Keeper Security au lansat o listă cu cele mai comune parole folosite de utilizatori în anul 2016. Eu prefer să le numesc cele mai proaste parole din 2016 pe care oamenii ar trebui să le evite.

Top 10 cele mai proaste parole folosite în anul 2016

De acum încolo ai grijă ce parole foloseși pentru contul tău și îți recomand să citești și articolul cu sfaturi despre cum să prevenim furtul de identitate.

Continue Reading

Security

Sfaturi despre cum să prevenim furtul de identitate

Published

on

By

furtul_de_identitate_digitala

Furtul de identitate nu mai constituie de mult o noutate pentru noi. În anul 2012, existau aproximaitv 12.6 milioane de cazuri de furt de identitate, numai în SUA, iar din păcate, numărul infracţiunilor de acest gen este din ce în ce mai mare. Furtul de identitate este furtul de informaţii ce aparţin unei alte persoane şi folosite pentru câştig personal sau financiar. De la numerele cardurilor de credit până la informaţii personale, cum ar fi nume, adresa, datele de contact, CNP şi alte documente personale, toate acestea constituie o mare problemă dacă ajung pe mâinile unei persoane nepotrivite.


Identitatea dvs. poate fi furată în numeroase moduri. Hoţii vă pot fura numerele de card de credit atunci când vă faceţi cumpărăturile on-line, prin diferite metode de hacking, viruşi sau malware. Ei pot chiar să vă manipuleze să daţi datele personale fără ca dvs. să vă daţi seama de acest lucru (phishing).

cum-previi-furtul-de-identitate-digitala

În agitaţia de zi cu zi, mulţi trec cu vederea pericolul potenţial de a fi o victimă a unui furt de identiate, care, cum spuneam şi mai sus, este în creştere datorită internetului. În acest articol vă vom da câteva sfaturi care vă vor ajuta să nu ajungeţi victima unui furt de identitate.

Mare atenţie la alegerea parolelor

Cele mai multe conturi on-line conţin date personale precum nume, adresa, chiar şi CNP-uri sau carduri de credit, pe site-uri precum paypal.com (să nu uităm că acesta a fost atacat de nenumărate ori). Prin urmare, trebuie să fim foarte atenţi la alegerea parolelor. Alegeţi cuvinte şi numere pe care nimeni nu ar fi în măsură să le ghicească. Există chiar şi o mulţime de programe care generează parole automat.

  • Nu folosiţi aceiaşi parolă pentru toate conturile dumneavoastră, parolele trebuie să fie diferite!;
  • Nu folosiţi PIN-uri uşor de ghicit precum, data de naştere, numărul de telefon, etc.;
  • În parolă folosiţi atât litere cât şi cifre;
  • Nu ţineţi parolele şi datele importante pe computer. Dacă este necesar să aveţi un document cu parole şi date importante precum copii de acte, facturi, etc. cel mai bine este să le stocaţi pe un CD sau un hard disk extern care va fi conectat, ATENŢIE! la un computer care nu are acces la internet;
  • Nu utilizați niciodată „Reține parola” pe orice site care conține informații personale sau financiare.
  • securitate

    Protejați-vă computerul

    Mulţi hoţi de identitate folosesc programe spyware sau keylogger pentru a obţine informaţii personale din calculatoarele victimelor. Deoarece nu puteţi observa nimic în neregulă cu computerul dumneavoastră, nu înseamnă că acesta este complet securizat. Spre deosebire de viruşii normali, spyware şi programele keylogger sunt proiectate să acţioneze invizibil, din această cauza un simplu antivirus nu le-ar putea detecta. Astfel, un keylogger se instaleaza în computerul victimei şi adună cât mai multe informaţii precum parole, conturi bancare, date personale, şi tot ceea ce victima tastează. Un firewall puternic actualizat în mod regulat, un program antivirus şi un program antispyware vă vor ajuta să preveniţi instalarea unui keylogger în computerul dumeavoastră.

  • Antivirus, firewall, antispyware – toate cu upgrade la zi;
  • Descărcaţi aplicaţiile de pe site-urile oficiale;
  • După descărcarea oricărei aplicaţii verificaţi-o cu programul antivirus şi antispyware;
  • Nu instalaţi orbeşte aplicaţii luate de la cunoscuţi sau chiar „prieteni”;
  • Nu descărcaţi ataşamentele din e-mail-urile primite de la persoane necunoscute! Dacă le descărcaţi verificaţi-le imediat cu un antivirus şi antispyware;

  • Feriţi-vă de escrocheriile de tip phishing

    Phishing-ul presupune acele email-uri aparent inofensive, care vă solicită verificarea anumitor lucruri, cum ar fi „validarea parolelor”, „validarea numerelor de cont” sau „verificarea conturilor inactive”, cerandu-vă astfel logarea pe un anumit site, care defapt este unul de tip phishing (vezi imaginea de mai jos). Orice e-mail care vă solicită introducerea unor parole, PIN-uri sau logarea pe anumite site-uri, ar trebui să vă stârnească semne de întrebare.

    facebook-phishing

  • Dacă primiţi un e-mail care pare a fi trimis de banca la care dumneavoastră aveţi deschis un cont, prin care vă sunt cerute informaţiile dvs., cum ar fi o parolă sau oricare alte date personale, nu contează din ce motiv, NU deschideţi link-urile din e-mail. Cel mai bine este să contactaţi personalul de la bancă folosind numerele de telefon de pe site-ul oficial al băncii, nicidecum din e-mail;
  • Un alt tip de phishing includ e-mail-urile în care afli că ai câştigat o maşină sau mai ştiu eu ce model de telefon. Serios? Nu ai participat la nici un concurs sau joc de neoroc şi totuşi eşti unul dintre fericiţii câştigători ai….? Nimeni nu îţi va face cadou o maşină sau orice alt ceva peste noapte. În concluzie nu daţi click pe link-urile din e-mail-urile de acest tip.

  • Aveți grijă atunci când faceţi cumpărături on-line

    Dacă vrei să faci cumpărături on-line, ar trebui să fii antent la unele aspecte înainte de aţi introduce datele cardurilor de credit. Preţurile foarte scăzute sau cadourile oferite de unele „magazine on-line” te pot face să regreţi. Înainte de a introduce datele cardului de credit, verifică dacă site-ul foloseşte adresa URL https, această adresă garantează criptarea datelor introduse în browser până în momentul în care acestea ajung la server. Un alt aspect care trebuie luat în vedere este certificatul de securitate şi identitatea vânzătorului, aceste informaţii trebuie să se afle pe site.

  • Recomandat ar fi să folosiţi un card de credit separat doar pentru cumpărăturile on-line;
  • Nu stoca informaţii pe site-ul magazinului, indiferent cât de popular ar fi. Imaginaţi-vă ce s-ar întâmpla dacă site-ul magazinului va fi spart.
  • securitate-card-de-credit

    Continue Reading

    Altele

    Situaţia confidenţialităţii pe Internet în acest moment

    Published

    on

    By

    De mai mult de un deceniu auzim incontinuu ca, confidentialitatea a disparut, mai ales cand vine vorba de confidentialitatea online. Pe langa Guvern, care atunci cand faxurile erau high-tech, au scris legi prin care sa obtina cu actiuni judiciare minime date despre o anumita persoana, mai exista si site-uri (ca si pe cel care il citesti), care depoziteaza cookie-uri cu scopul de a-ti urmari miscarile facute in mediul online. Numarul track-erelor s-a dublat intr-un an, in timp ce advertiserii si avocatii continua sa se contrazica asupra definitiei termenilor ca „urmarire” (tracking) si „alegere” (choice). Atunci cand consumatorii incearca sa blocheze urmarirea, companii ca Google cauta intotdeauna cai de a evita acest lucru.


    In plus, cei mai multi dintre noi oferim date fara nicun fel de retinere pe site-uri „de socializare”, cum ar fi Facebook, Twitter, Google Plus si altele, ingrijorandu-ne foarte putin ca datele noastre personale sunt colectate atat de cei din domeniul marketing-ului, cat si de cei din Guvern. Exista o intreaga industrie care se ocupa cu culesul acestor date, potrivindu-le cu activitatile din lumea reala, ca mai apoi sa decida cand este momentul mai prielnic sa votezi cu o anumita tabara politica, daca esti in magazin pentru a-ti cumpara o masina si alte chestii care ar putea sa spuna ceva despre viata ta personala in folosul anumitor interese.

    web_privacy

    Chiar daca au existat eforturi de a se ajunge la un compromis in legatura cu colectarea datelor, acestea s-au dovedit a fi in zadar. Acum aproximativ doi ani Federal Trade Commission a cerut advertiserilor, avocatilor, publisherilor si companiilor tehnologice sa initieze voluntar un standard Do Not Track cu care toata lumea ar fi multumita. Dupa mai mult de 50 de intalniri ale W3C Tracking Protection Working Group, acestia nu au ajuns la un consens. Intre timp, numarul companiilor care isi urmaresc consumatorii pe Web a crescut de la aproape 800 la mai mult de 1300 pe parcusul anului trecut, potrivit raportului privind urmarirea la nivel global realizat de Evidon.

    Atunci cand Microsoft a anuntat ca Internet Explorer 10 va fi lansat cu optiunea „Do Not Track”, industria publicitatii a spus ca va refuza sa recunoasca setarile standard ale IE10 pentru ca „nu reprezinta cerinta utilizatorului”. Acest lucru a starnit ingrijorari printre cativa avocati, sustinatori ai confidentialitatii, care se temeau ca acest lucru va darama in intregime procesul „Do Not Track”. Industria de publicitate a mai pornit asemenea alarme, atunci cand Mozilla a anuntat ca va considera automata blocarea cookie-urilor din partea terta in urmatoarea versiune a browser-ului Firefox.

    In timp ce grupuri ca Network Advertising Initiative si Digital Advertising Alliance ofera mecanisme de alegere pentru consumatori, acestia nu fac decat sa colecteze date pentru a livra anunturi directionate catre cel care ofera informatii.

    Dar, atunci cand legislatia da gres, exista tehnologia. In ziua de azi, orice utilizator avand cunostinte decente in lumea computerelor poate sa se bucure de o experienta pe Internet, relativ privata, folosind anumite unelte sau servicii. De exemplu, utlizatorii pot folosi DoNotTrackMe de la Abine, Ghostery de la Evidon sau Disconnect pentru a contracara urmarirea online. De asemenea, pot folosi motoare de cautare precum DuckDuckGo sau Ixquick, care nu inregistreaza adresa IP sau alta informatie care poate fi folosita pentru identificarea ta. Servicii ca PrivateProxy si HideMyAss pot sa-ti mascheze IP-ul sau unelte precum Privacyscore si Priveazy, care ajuta consumatorii sa ia decizii mai bune despre ce date sa impartaseasca, ce site-uri sa foloseasca si ce aplicatii sa instaleze.

    Aceste unelte gratuite, probabil, nu vor opri NSA sa te spioneze, dar pot opri companiile de marketing sau altele de acest gen sa iti urmareasca pasii virtuali si sa-ti construiasca profile pe baza obisnuintelor si preferintelor.

    Problema acestor unelte? Multe dintre site-uri nu vor functiona bine. Cautarile anonime exclud personalizarea, acest lucru fiind dorit de utilizatorii de la Google sau Bing. Navigarea pe Internet via unui serviciu IP Proxy poate fi dureros de inceata. Si va trebui sa-ti setezi aceste unelte pentru fiecare browser pe fiecare dispozitiv conectat la Internet (PC, tableta, laptop sau telefon).


    De ce avem noi nevoie este un singur download care iti permite sa navighezi intr-o maniera mai sigura„, a spus Gabriel Weinberg, fondator al DuckDuckGo. „Nu cred ca avem nevoie de confidentialitate in procent de 100%, dar daca ajungem la 90% fara sa sacrificam foarte mult poate fi un avantaj major„.

    Nicio companie nu a impachetat toate aceste unelte intr-o singura platforma destul de simpla pentru fiecare utilizator„, a admis Andy Sudbury, CTO si co-fondator al Abine. „Si toate companiile bine pozitionate, care ar putea construi un sistem de confidentialitate prin design, aici vorbind de Microsoft, Apple si Google, sunt toate implicate in afacerea cu colectarea datelor„.

    Totusi, acesta a notat ca, confidentialitatea devine tendinta. Produse ca DoNotTrackMe sunt integrate in suite de securitate de la companii ca Avira sau Checkpoint. Confidentialitatea imbunatatita a devenit setarea standard in browsere populare ca Internet Explorer, Mozila Firefox si Safari de la Apple, totusi lovitura din partea industriei de publicitate online fiind prezenta in toate aceste cazuri.

    Confidentialitatea din ziua de azi este asemenatoare cu situatia securitatii de la sfarsitul anilor ’90. In acele zile setarea unui firewall era destul de complicata. Apoi a aparut Zone Alarm. Acum fiecare utilizator care ruleaza un dispozitiv cu sistem de operare Windows are un firewall integrat. Cred, cu desavarsire, ca in cinci ani vom avea mult mai mult control asupra informatiilor personale decat avem in ziua de azi„, a afirmat Sudbury.

    Totodata, in lumea online au aparut cateva grupuri care se chinuie sa faca o afacere din confidentialitate. „In cinci pana la sapte ani, cei mai multi consumatori vor avea capacitatea sa-si managerieze propriile date. Vor avea posibilitatea de a se loga in propriile conturi, determinand ce informatie va fi impartita, cine o va vedea si ce vor primi in schimb pentru acest lucru”, a prezis Fatemeh Khatibloo, analist senior la Forrester Research. Acesta a mai afirmat ca, colectorii de date si marile intreprinderi vor adopta PIDM (personal identity management) pentru un motiv simplu: vor economisi bani. Pierderile de date au costat pentru companii ca Sony say Epsilon milioane de dolari, iar acestea cheltuie in continuare sume astronomice obtinand si stocand date cu care nu stiu ce sa faca, nu prea au nevoie de ele si se chinuie sa le tina in siguranta.

    In schimb, consumatorii vor adopta PIDM pentru ca le ofera control asupra propriilor date si vor primi ceva de valoare in schimb pentru ele, cum ar fi oferte sau servicii gratuite. In aceasta schema consumatorii isi vor depozita datele cu ajutorul serviciilor cloud securizate. Furnizatorii acestor servicii vor fi responsabili pentru securitatea datelor, in timp ce consumatorii vor fi mai sceptici la capitolul oferirii datelor, iar companiilor vor primi date mult mai corecte„, a spus Khatibloo.

    Revenind la situatia prezenta, Trevor Hughes, CEO la International Association of Privacy Professionals a afirmat ca „Acum ei stiu totul despre noi, insa noi nu stim totul despre ei. Cred ca acest lucru va ajunge la un echilibru in timp”. Acesta arata cu degetul catre propria industrie afirmand ca, confidentialitatea este departe de disparitie, sustinand ca acum 15 ani profesia de profesionist de confidentialitate nu exista, iar acum exista mai mult de 12000 de profesionisti in 78 de tari, care incearca sa-si indrume companiile sa foloseasca datele responsabil si in siguranta. „Jobul de sef de confidentialitate inseamna sa-ti dai seama cum societatea poate extrage o valoare maxima din acele date, in timp ce protejezi consumatorii de pericole. Vreau sa traiesc intr-o lume unde informatia lucreaza pentru noi si cred ca acest lucru se va intampla„.

    Continue Reading

    Misiuni Grand Theft Auto

    Personaje din jocuri

    Trending