Pozor, vaš FB račun bo blokiran! Razen, če kliknete na link…

Ste tudi vi oz. vaša Facebook stran prejela od t.i. Notification Pages (nekateri prejemajo tudi od FB Security Pages), da bo vaš račun blokiran v kolikor ponovno ne potrdite računa? Seveda s klikom na link…

Goljufi z naslovno sliko in uporabo besed kot sta Facebook, Bloking… ter naslova Facebooka želijo prestrašiti uporabnike, da ti kliknejo na link ter ponovno vpišejo uporabniško ime (spletno pošto) in geslo.

Gre za krajo gesel (phishing) s čimer si pridobijo nadzor nad vašo FB stranjo oz. profilom.

Kako veste, da vas niso kontaktirali iz Facebooka?

  • Kot prvo njihove uradne strani imajo modro kljukico.

    Facebook uporablja dve barvno različni kljukici – modro kljukico (pomeni, da je Facebook potrdil profil ali stran kot avtentično. Uporablja se za javne osebnosti, medijska podjetja in znamke) ter sivo kljukico (z njo Facebook potrdi, da gre za pravo, avtentično stran, profil podjetja ali organizacije)
    Žal kljukice še niso vsem (geografsko) na voljo.
  • Facebook vas ne kontaktira z deljenjem objave
  • Stran deli enake komentarje za vsako stran, ki jo bodo “izključili”
  • S klikom na povezavo se več ne nahajate na Facebook strani (domeni)

Kaj lahko storite?

  • Blokirajte sporočila te strani
  • Prijavite stran kot prevaro
  • Povezavo do FB strani, ki je komentirala vašo objavo lahko pošljete tudi na cert@cert.si kjer bodo poskrbeli, da onemogočijo krajo gesel.

Kako izboljšati varnost Joomla spletne strani v 6 korakih

  1. Geslo
    – Ko ste si ustvarili spletno stran, ne obdržite prednastavljenega uporabniškega imena in gesla (ta je navadno kar admin).
    – Za vstop v administratorsko okolje zahtevajte geslo.

    Za pomoč:
    – Najslabša gesla, kako ustvariti dobro geslo:
    https://blog.zabec.net/kraja-gesel-najslabsa-gesla-so/
    – Administrativno okolje > ustvarite .httaccess v administrator directory: https://docs.joomla.org/How_do_you_password_protect_directories_using_htaccess%3F

  1. Razširitve
    Joomla vam ponuja ogromno možnosti razširitev, kadarkoli potrebujete kaj novega, vam je na voljo malo morje razširitev, ki jih lahko opravite s samo nekaj kliki.
    Pa vendar je potrebno pri tem biti izjemno previden, veliko razširitev je t.i. third party, kar pomeni, da niso uradne in večina vdorov se zgodi prav preko njih.

    – V kolikor razširitev več ne uporabljate, potrebujete, jih izbrišite. Več ko imate neposodobljene kode v vaši spletni strani, večja je možnost vdora in zlorabe.

    – Posodabljajte razširitve! Največkrat so na voljo t.i. security fixes, ki odpravljajo varnostne pomankljivosti. Nikoli jih ne izpustite.

    Za pomoč:
    – Lista ranljivih razširitev, ki se sproti posodablja:
    https://vel.joomla.org/live-vel
    – Testiranje razširitev v varnem okolju:
    https://www.joomlatools.com/developer/tools/vagrant/
    Sporočanje posodobitev razširitev:
    https://docs.joomla.org/Help36:Extensions_Extension_Manager_Update

  1. Dovoljenja
    Največji problem predstavlja dovoljenje, ki prav vsem dovoljuje, da lahko prilagajajo, dostopajo do datotek in jih gledajo, dovoljenje se imenuje 777.

    – Dovoljenja uporabljate samo tam kjer jih resnično potrebujete (pa še ta lahko omejite), vse ostalo naj ostane zaklenjeno.

    Za pomoč:
    – Tipična Joomla dovoljenja:
    PHP nastavljen na 0444 > nihče ne more zapisovati v dokument
    Imeniki nastavljeni na 0755 > samo lastnik imenika lahko zapisuje vanj, ostali ga lahko berejo in izvedejo.
    Datoteke nastavljene na 0644 > lastnik lahko zapisuje, ostali jih lahko samo berejo

  2. SSL certifikati
    SSL certifikat potrebujete v kolikor želite ustvariti varno komunikacijo med vašo spletno stranjo in uporabnikom.
    Če imate t.i. e-commerce spletno stran potem je ta certifikat nujno potreben (s SSLjem se med spletno prijavo v trgovino in uporabnikom ustvari kriptirana povezava, v kolikor SSLja nimate je prijava uporabnika v t.i. plain textu), za manjše spletne strani lahko sami precenite ali ga potrebujete ali ne. Vsekakor pa bo doprinesel https zaupanje v vašo spletno stran.

    Za pomoč:
    – Varna in zaupanja vredna spletna trgovina:
    https://blog.zabec.net/varna-in-zaupanja-vredna-spletna-trgovina/
    – Kateri SSL certifikat naj izberem:
    https://blog.zabec.net/kateri-ssl-certifikat-naj-izberem/
    Za pomoč pri izbiri se lahko obrnete tudi na naš podporni center: info@zabec.net
    Ponujamo vam več kot 30 različnih certifikatov: https://www.zabec.net/gostovanje/ssl-certifikati

  3. Posodobljena različica Joomle
    Ena izmed najbolj pomembnih stvari je redno posodabljanje Joomle na najnovejšo različico.
    Vendar pred vsako večjo posodobitvijo naredite backup.

    Za pomoč:
    – Joomla obvestila:
    https://www.joomla.org/announcements.html

  1. Utrdite PHP konfikuracijo
    Če potrebujete prenos dokumentov za upravljalca dokumentov, kot je napr. DOCman ali FILEman, sledečih možnosti ne nastavljajte.

    PHP directives lahko spremenite v vašem php.ini datoteki:

  • expose_php = 0 :
    s tem prikrijete katero različico PHPja uporabljate, tako napadalcem otežite delo, saj ne vedo točno katero ranljivost je najbolje izrabiti.
  • open_basedir = “/var/www/yoursite.com:/tmp/” :
    s tem ukažete PHPju, da lahko uporablja samo to mapo (privzeto je na shared strežnikih nastavljeno pravilno)
  • display_errors = 0 :
    s tem boste preprečili, da bi napadalci vedeli kje je možnost vdora v vašo stran
  • disable_functions = exec,passthru,shell_exec,system,
proc_open,proc_close,proc_terminate,popen,curl_exec,curl_multi_exec,
show_source,posix_kill,posix_getpwuid,posix_mkfifo,posix_setpgid,
posix_setsid,posix_setuid,posix_setuid,posix_uname,php_uname,syslog
    s tem onemogočite (izklopite) nevarne PHP metode, tako, da jih napadalci ne morejo uporabiti oz. škodovati vašemu sistemu.

Vir: https://www.incapsula.com/blog/10-tips-to-improve-your-joomla-website-security.html

Pregled omrežne varnosti Slovenija 2015

Screen Shot 2016-06-03 at 11.18.48

Povzetek / hiter pregled SI-CERTovega poročila o omrežni varnosti za leto 2015.

Kdo je (so) SI-CERT in s čim se ukvarja?

Sloveanian Computer Emergency Response Team ali SI-CERT je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.

Si-Cert deluje že od leta 1995 (jeseni 2015 je minilo 20 let od prve prijave incidenta na Si-Cert) in sicer pod okriljem javnega zavoda Arnes.

Si-Cert koordinira razreševanje incidentov, izdaja opozorila o okužbah, grožnjah na elektronskih omrežjih ter izvaja nacionalni program za ozaveščanje in izobraževanje imenovan Varni na internetu.

 

Screen Shot 2016-06-03 at 11.19.08

Stran SI-CERTa: https://cert.si
Stran Varni na internetu: https://www.varninainternetu.si

 

Screen Shot 2016-06-03 at 11.18.01

ALI IMAMO SLOVENCI HEKERJE?

Okroglo obletnico so proslavili s filmom #HEKERJI.SI s katerim so širši javnosti želeli prikazati ozadje in celotno zgodbo razvoja hekerske skupnosti pri nas.

Film si lahko ogledate na: http://www.hekerji.si/film/

Screen Shot 2016-06-03 at 10.57.35

STATISTIKA

Screen Shot 2016-06-03 at 11.19.27

(Tehnični napadi, goljufije in prevare, vprašanja in zahtevki, drugo)

V letu 2015 so na SI-CERTU obravnavali:

  • v povprečju 11 prijav incidentov na dan
  • zgodilo se je 283 phishing incidentov
  • več kot 400 primerov škodljive kode

Oškodovanje v letu 2015:

  • 720 EUR je znašalo povprečno oškodovanje pri spletnem nakupovanju ( v letu 2014 je bil znesek 1000 EUR)
  • 1.140 EUR je znašalo povprečno oškodovanje pri spletni goljufiji (v letu 2014 se je znesek gibal okoli 500 EUR)
  • 18.000 EUR je znašalo največje posamezno oškodavanje pri nigerijski prevari

Nekaj izbranih SI-CERT incidentov:

  • Januar: Phishing napad na komitente šestih slovenskih bank
  • Maj: Mumblehad okuži Linux strežnike
  • Junij: Izsiljevanje “sextortion” z intimnimi posnetki
  • Julij: Stagefright android ranljivost
  • November: TeslaCrypt

Nekaj izbranih incidentov, ki smo si jih najbolje zapomnili mi:

  • Januar: Phishing napad na komitente slovenskih bank
  • Februar: Ghost, ki prizadene večino Linux sistema
  • Avgust: Stagefright ranljivost Android telefonov, phisihing maili “Delavske hranilnice, pojav reklam na FB za lažno spletno trgovino Michael Kors, W10 ransomware
  • September: phishing strani na ebay. de, cryptolocker izsiljevalski virus
  • Oktober: WordPress Heartbeat, pojav reklam za lažno spletno Ugg trgovino na FB
  • November: pojavi se phishing na nosilce generičnih domen
  • December: Joomla 0-day Remote Command Execution Vulnerability, Telekom opozori na lažno raziskavo zadovoljstva

logo_1

PROGRAM VARNI NA INTERNETU

“Skrbi pa nas lahko dejstvo, da za izpeljavo večine teh goljufij napadalci niso potrebovali naprednega računalniška znanja, zadostovale so že preproste tehnike socialnega inženiringa. Davek za našo neozaveščenost, naivnost in nepoznavanje spletnih mehanizmov torej že plačujemo.” Pravi Marta Štefanič, program Varni na internetu

Cilji programa so:

  • poučiti uporabnike spleta, kako kar najbolje prepoznajo različne spletne goljufije
  • informirati o varnem spletnem nakupovanju in uporabi bančnih sistemov
  • kako zavarovati svojo identiteto, predvsem na družabnih omrežjih

Menimo, da svoje delo opravljajo odlično, jasno in enostavno razumljivo uporabniku.

Se spomnite njihovih akcij
Ne bodi osel na spletu, pozanimaj se!
Neverjetna ponudba

Absolutno priporočamo vsem, da redno obiskujete njihov spletni portal https://www.varninainternetu.si ali jim sledite na Facebooku, Twitterju.

Celotno Poročilo o omrežni varnosti za leto 2015 pa vam je na voljo tukaj: https://cert.si/wp-content/uploads/2016/06/SI-CERT_LP_2015.pdf

Varnost odprtokodnih CMSjev (WordPress, Magento, Drupal in Joomla!) v prvem četrtletju 2016

Poročilo temelji na zbranih podatkih in analizi skupine Securi Remediation Group (RG) v katero sta vključena IRT (Incident Response Team) in MRT (Malware Research Team).

Celotno poročilo iz katerega smo črpali si lahko preberete TUKAJ, mi pa smo naredili krajši pregled in izbor podatkov za katere menimo, da so zanimivi, uporabni za vas.

Število spletnih strani narašča z razvojem tehnologije in dostopnostjo odprtokodnih CMSjev, med njimi so najbolj popularni štirje (pravijo, da je preko njih izdelanih več kot tretjino spleta):

  • WordPress
  • Joomla!
  • Drupal
  • Magento

WordPress je vodilni na CMS trgu z več kot 60% tržnim deležom.
Nišno pa hitreje rastejo druge platforme – napr. Magento je zelo popularen med prodajnimi stranmi in večjimi organizacijami, medtem ko Drupal pokriva predvsem vladne organizacije, na splošno, če vse skupaj zaokrožimo pa ostaja WP še vednjo kralj.

Platforme pa so nam s svojo odprtostjo prinesle tudi izzive, če gledamo na internet kot celoto, saj se je pojavila množica nekvalificiranih “razvijalcev” in “upravljalcev” strani izdelanih na teh platformah, ki na koncu še vedno potrebujejo nekoga z znanjem, ko pride do bolj “zapletenih” zadev ali težav.

Securi analiza je pokazala, da je bilo od 11.000+ okuženih straneh kar 75% narejenih na WP platformi in kar 50%+ teh strani je bilo zastaranih.
V primerjavi s podobnimi platformami (Joomla! in Drupal) je bilo to še “vredu”, saj je bilo tam kar 80% softwara zastaranega.

Marca 2016 je Googlovo poročilo pokazalo, da so več kot 50 milijonov spletnih uporabnikov “pozdravili” s sporočilom o nevarnosti spletne strani na katero želijo vstopiti, bodisi naj bi jim ta skušala namestiti škodljivo programsko opremo ali celo skušala ukrasti podatke.
V primerjavi z lanskim letom (marec 2015) naj bi bilo to število 17 milijonov.

Screen Shot 2016-05-20 at 11.04.57

Google trenutno na črno listo (Kaj je črna lista si lahko preberete TUKAJ) vsak teden uvrsti več kot 70.000* spletnih strani (približno 20 tisoč zaradi malware in 50 tisoč zaradi phishinga).
*brez spam SEO in ostalih taktik

I. POROČILO

Pri Securi pravijo:
“To poročilo temelji na reprezentativnem vzorcu celotnih spletnih mest na katerih smo delali v Q1, v koledarskem letu (CY), 2016 (CY16-Q1).
Skupno smo uporabili 11.485 okuženih spletnih strani. Gre za vzorčenje, ki nam je dalo najbolj dosledne podatke iz katerih smo lahko pripravili to poročilo.”

Več kot 78% spletnih strani na katerih so delali v prvem četrtletju 2016 je bilo zgrajenih na WordPress platformi, sledi Joomla! s 14%.
V vseh primerih, ne glede na platformo, je vodilni vzrok za okužbe izkoriščanje programskih ranljivosti prilagodljivih komponent, ne pa samega jedra.
Prilagodljive komponente so neposredno povezane z integracijo vtičnikov, drugih razširitev, komponent, modulov, predlog, tem…

SLIKA1

Opazimo lahko, da se v prvi četrtini tega leta ni zgodilo nič presenetljivega glede na zadnjo četrtino lanskega leta, opazimo celo lahko celo manjši padec okužb pri WP in povečanje števila okužb pri Joomla! spletnih straneh.

Pri WP so še posebej izkoriščeni vtičniki.
Tri vodilne ranljivosti programske opreme, ki so vplivalne na večno spletnih mest v prvem četrtletju so bile: RevSLider, GravityForms vtičniki in skripta TimThumb.

SLIKA5

SLIKA2

SLIKA3

Povečan procent pri Magentu naj bi povzročila ShopLift Supee 5344 ranljivost (ena najbolj resnih razkritih ranljivosti oz. RCE ranljivost imenovana tudi shoplift bug) in XSS ranljivost (pri tej ranljivosti napadalci prevzamejo administrativni račun in vstavijo novega).

Glede na druge platforme (ki jih napadalci po večini ozkoriščajo za SEO, phishing ali spam) se pri Magentu pokaže, da napadalci direktno ciljajo na kreditne kartice kar je običajno za prodajne spletne strani, vendar jih je največ oz. je največji porast prav pri Magentu.
Zakaj?
Predvidevajo da uporabniki (v testu) Magenta obdelujejo podatke o karticah lokalno na strežniku namesto prek tretjih oseb in napadalci se tega zavedajo.

II. ZASTARELOST

 

Screen Shot 2016-05-20 at 14.03.26

Zastarelost sofwara je problem že od nekdaj, saj napadalci hitro ugotovijo njegovo ranljivosti.

CMS je smatran za zastarel, če ga ni bilo na zadnji različici priporočene varnostne različice v odzivnem času, ko se je zgodi incident.

Kljub temu, da WP vedno bolj opozarja na pomembnost posodabljanja, je bilo od 11 tisoč + okuženih strani kar 56% od vseh okuženih WP strani zastarelih. Kar je “super” če to številko primerjamo z Magentom – cca. 96%!

Izziv glede zastarelosti se kaže predvsem glede treh stvari: težave z združljivostjo, pomanjkanja osebja na voljo za pomoč pri migraciji ter izvedba po meri uporabnika.

Zaključimo lahko s tem, da lastniki spletnih strani na teh platformah, kljub varnostnim grožnjam in obvestilom o ranljivosti niso sposobni dohajati vseh teh opozoril in groženj, zato se vedno bolj zanašajo na WAF (Website Application Firewall) ali na napredno tehniko virtualnega patchinga.

III. ZLONAMERNA PROGRAMSKA OPREMA

Zlorabljene spletne strani so lahko okužene z različnimi “družinami” zlonamerene programske opreme, odvisno kaj napadalec želi z njo doseči.

SLIKA6

Približno 32% vseh okuženih primerov spletnih strani je izrabljenih za SEO spam kampanje –  stran je okužena s spam vsebino ali preusmeri uporabnika na spam stran. Največkrat uporabljene spam vsebine so v povezavi s farmacevtskimi izdelki (viagra, erekcija, cialis…) sledi zabava (kazinoji in porno).

IV. ZAKLJUČEK

Argument, da naj lastniki spletnih strani le-te preprosto samo posodabljajo, sam po sebi ni dovolj, zavedati se je potrebno, da je večina teh strani del večjega bolj kompleksnejšega okolja v katera lastniki spletnih strani vključijo, namestijo vse kar jim je dostopno. Lastniki se morajo osredotočiti na vse spletne strani in ostale integracije v tem okolju, da pri preprečili t.i. cross-site okužbe. Kar pa zna biti precej zapleteno zaradi vseh novosti in nastavitev, ki so jim na voljo, na splošno pa primankuje spletnega znanja glede poznavanja celotnega sistema ter nastavitev oz. namestitev.

Vir in originalni članek:
https://sucuri.net/website-security/Reports/Sucuri-Website-Hacked-Report-2016Q1.pdf

6 nasvetov za varnejši Facebook profil

like

1. Dvojna avtentikacija

2FA (Two Factor Authentication) ali dvojna avtentikacija je enostaven način preverjanja za prijavo v Facebook. Poteka tako, da  prejmete verifikacijsko kodo na svoj telefon. Po vpisu te kode se lahko prijavite v svoj Facebook Profil.

Torej, tudi če nepridipravi izvejo vaše ime in geslo, brez druge stopnje (kode) ne bodo morali vstopiti v vaš profil.

Nastavitev:
Prijavite se v vaš Facebook profil > Settings (nastavitve) > Security Settings (varnostne nastavitve) > Login Approvals 

SLIKA1

 YT Video: StaySafeOnline1 – Two Steps Ahead: Protecting Your Digital Life

2. Kdo me lahko najde – skrite se pred iskalniki

Imejte zasebnost (no, vsaj del) tudi na Facebooku.

Nastavitev:
Prijavite se v vaš Facebook profil > Settings (nastavitve) > Privacy (zasebnost)

  1. Kdo vas lahko najde po vašem ePoštnem naslovu. Bolje samo prijatelji, kot pa tudi milijoni ostalih FB uporabnikov.
  2. Kdo vas lahko najde po vaši telefonski številki? Ponovno, bolje samo prijatelji.
  3. Ali želite, da iskalniki vodijo do vašega Facebook profila? NE! Torej, ne obkljukajte kvadratka.

SLIKA2

3. Imejte nadzor nad svojo časovnico in objavami/slikami kjer ste označeni

Načeloma naj bi za Facebook prijatelje vedno imeli resnično samo osebe, ki jih poznamo in jim lahko zaupamo, vendar previdnosti ni nikoli odveč, zato imejte nadzor na t.i. Tagi in objavami prijateljev na vaši časovnici. 

Nastavitve:
Prijavite se v vaš Facebook profi > Settings (nastavitve) > Timline and Tagging (časovnica in oznake) 

  1. Kdo lahko dodaja stvari na vašo časovnico ter ali želite pregledati objavo preden se objavi na vaši časovnici?
    Najboljša nastavitev je samo VI, če pa želite to omogočiti tudi vašim Prijateljem potem bodite pozorni na drugo možnost –  JA (on) vedno preglejte kaj ostali želijo objaviti na vaši časovnici – s tem prav za prav sami dodate neko objavo ali pa jo pustite neobjavljeno.SLIKA 3
  2. Upravljanje s Tagi
    – vedno imejte pregled na tem ali se bo tagana slika objavila na vaši časovnico ali ne (ON)
    – kdo vse vidi tage, če je nekdo objavil fotko na kateri je nekdo podoben vam?
    (NO ONE)

SLIKA4

4. Vaše objave/zapisi

Pri tem bodite bolj pozorni na 2 stvari.

A. Omejitve na časovnici
– omejite, da bodo vaše objave lahko videli samo prijatelji ali samo določeni prijatelji – napr. tisti, ki so vam najbolj blizu.

Pri vaši objavi imate gumb Public (klik nanj) > označite kdo želite, da vidi vašo objavo. Ta nastavitev se bo shranila, vendar lahko za vsako objavo označite drugačne nastavitve.

SLIKA5

B. Stare objave

Nastavitve:
Settings (nastavitve) > Privacy > Posts (objave)

  1. Omejite kdo vse lahko vidi objave, ki ste jih delili v preteklosti s prijatelji ali so bile javne. (LIMIT OLD POSTS)SLIKA6

5. Razdelite prijatelje

Vsi imamo tiste prijatelje, ki so nam zelo blizu, tiste, ki so nam malo manj, znance, daljne znance, sorodnike….

Kako / kje upravljam s seznamom?
Na levi strani svojega profila vidite kategorijo Friends (prijatelji)

SLIKA7

> kliknite na More (več) > + Create List (ustvarite seznam)

SLIKA8

Seznam lahko poimenujete, člane seznama pa dodate tako, da pričnete pisati ime ali priimek prijatelja.
Ko ste končali, kliknite na Create (ustvari).
Tako lahko določene objave delite z določenimi listami.

Lahko pa dodate prijatelje oz. tiste osebe na listo Restricted (ta je že ustvarjena) – te bodo lahko videli le vaše objave in dele profila, ki ste jih označili kot Public (javno).

6. Aplikacije z vašo FB prijavo

Vsi uporabljamo aplikacije, so smešne, zabavne, nekatere nepogrešljive. Pa veste v koliko aplikacij ste prijavljeni z vašimi Facebook podatki? So se katere pritihotapile med vaše aplikacije, pa jih sploh niste odobrili?

Nastavitve:
Settings (nastavitve) > Apps (aplikacije)

Pokaže se vam v katere aplikacije vse ste prijavljeni z vašimi Facebook podatki.
Aplikacijo lahko uredite (klik na svinčnik) ali jo izbrišete (klik na križec).

Stagefright ranljivost Android telefonov

Kaj je Stagefright?Android-Broken-640x353

V zadjem tednu smo poročali o virusu imenovanem Stagefright.
Strokovnjaki so v programski knjjižnici Stagefright odkrili več kritičnih ranljivosti, ki jih napadalci lahko izkoristijo tako, da s samo poznavanjem vaše telefonske številke pridobijo dostop do mikrofona, kamere in celo do roota (jedro sistema).

Kako se širi?

Opaženo je bilo, da se virus najhitreje širi s pomočjo MMS sporočil v katerem je posebej prirejen posnetek (exploit), ta izkoristi ranljivost.
Virus se aktivira ob ogledu sporočila, pri aplikaciji Hangouts pa avtomatsko.

Kako izvem, če je moj Android ranljiv?

To lahko izveste s pomočjo dveh aplikacij.
1. Lookout Stagefright Detector
2
Zimperium Stagefright Detector App

Kaj lahko storim, če je moj telefon ranljiv?

1. Če vaš messaging app podpira (Messaging and Hangouts ga) možnost izključi avtomatsko sprejemanje MMSov, jo uporabite.
2. Če naprava podpira blokiranje MMS sporočil od neznane osebe, uporabite to možnost.

Viri:

https://www.cert.si/si-cert-2015-03-android-stagefright-ranljivost/
https://nakedsecurity.sophos.com/2015/07/28/the-stagefright-hole-in-android-what-you-need-to-know/
Slika: http://www.extremetech.com/mobile/210906-950m-phones-at-risk-for-stagefright-text-hack-thanks-to-android-fragmentation

DaaS – namizje kot storitev

Kaj je DaaS?1104507_70670260

DaaS ali Desktop as a Service oz. Namizje kot storitev, je storitev v oblaku, ki vam omogoča, da iz katerekoli naprave (računalnik, telefon, tablica) ter iz kjerkoli (ne glede na vašo lokacijo) varno dostopate do vaših podatkov.

Včasih so to storitev uporabljala večja podjetja, kmalu so se jim pridružila tudi srednja, saj DaaS omogoča racionalnejšo porabo stredstev. S tehnologijo, ki se je razvijala v zadnjih letih, pa je DaaS postal dostopen tudi malim podjetjem ter posameznikom.

5 glavnih prednosti DaaS storitve, ki vam jo ponujamo tudi pri nas: (https://www.zabec.net/cloud):

  • VARNOST
    Vsi vaši podatki, tudi osebni, so varni pred nepridipravi na našem strežniku, hkrati pa je tudi povezava (VPN) s katero dostopate do podatkov izjemno varna. Torej bi lahko posplošili, da gre tukaj za dvojno enkripcijo.
  • FLEKSIBILNOST
    Do podatkov lahko dostopate iz kjerkoli in kadarkoli. Enostavno nadaljujete tam kjer ste ostali z delom napr. v službi.
  • PRIHRANEK
    Ni vam potrebno imeti fizičnih strežnikov, ki zahtevajo prostor, vzdrželavca. Osebe, ki ste jim vi dovolili dostop se enostavno povežejo preko virtualnega strežnika v oblaku na virtualno namizje kjer imajo vse podatke – tudi tiste osvežene, ki jih je naredila oseba napr. na neki drugi lokaciji.
  • OBNOVITEV PODATKOV
    Sedaj boste lahko brez skrbi, če boste izgubili računalnik ali če boste vanj spustili virus, saj boste enostavno iz naprave, preko virtualnega namizja lahko vse osvežili in enostavno ter hiro naložili nazaj.
  • HITROST
    Vase dokumente lahko hranite v polni velikosti, do njih pa dostopate hitro, prav tako jih hitro tudi naložite in prenašate. Seveda, pa so vam na voljo tudi različne aplikacije, ki vso zadevo še pohitrijo.

Kdo bi to imel?

Super za:

  • računovodstvo
  • zavarovalništvo
  • vsako podjetje
  • trgovino
  • nepremičninske agencije
  • založništvo, časopisi…

Poglejte si kako v realnosti DaaS deluje na zgoraj opisanih primerih: https://www.zabec.net/cloud/daas—desktop-as-service/primeri-uporabe

Članek je napisan iz podatkov na: https://www.zabec.net/cloud

Ranljivost nekaterih WP vtičnikov

Včeraj so t.i. WP Security varuhi imenovani Sucuri, opozorili na pomanjkljivo varnost nekaterih WP vtičnikov (plugins).

Problem je nastal pri tem, da WordPress Official Documentation (WP uradna dokumentacija) za funkciji (add_query_arg() and remove_query_arg() functions) ni bila dovolj jasno spisana, zato so jo nekateri programerji uporabljali na ne najbolj varen način pri nekaterih vtičnikih.

Torej, če imate nameščene sledeče vtičnike:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

JIH POSODOBITE!

Sucuri pravi, da bi nove, varne posodobitve že morale biti na voljo za vse uporabnike.
Prav tako pa opozarjajo, da redno posodabljajte svoj WP in tudi ostale vtičnike.

Vir: https://blog.sucuri.net/2015/04/security-advisory-xss-vulnerability-affecting-multiple-wordpress-plugins.html?utm_campaign=Security%20Advisory&utm_content=14396847&utm_medium=social&utm_source=twitter

Pa smo res varni na spletu? Ocene spletnih strani

Že ptički čivkajo kako moramo skrbeti za svoje podatke, kako morajo različni spletni ponudniki varovati naše podatke, da se moramo upreti tistim, ki tega ne delajo….

Zadnje čase je takšnih sporočil in opozoril raznih spletnih portalov ogromno, še Google je pričel (oz. bo pričel) višje rangirati varne spletne strani (članek Google pravi: enkripcija spletnih strani si lahko preberte tukaj).

Ko je nekdo na FB objavil varnostno oceno portala eDavki, sem se kar zgrozila, pa sem si mislila, ok, saj ne more biti tako slabo. In tako sem se odločila, da tudi sama malce pobrskam po top straneh pri nas.

Poiskala sem katere so te top strani v Sloveniji, seznam sem našla na Alexa strani.
Izmed stotih (objavljenih je top 500) sem izbrala takšne, ki so se meni, kot iz strani uporabnika in potrošnika, zdele pomembne.

Za analizo strani uporabila Qualys SSL Labs, ki preverja varnost naših SSL certifikatov.

Kaj je SSL?

SSL certifikat je potrdilo za strežnik oz. spletno stran, ki ga izda pooblaščena organizacija. Certifikat zagotavlja, da je komunikacijski kanal med uporabnikom in strežnikom varen.

Kakšne rezultate sem dobila si lahko ogledate spodaj, če vas določena stran še bolj podrobno zanima pa lahko tudi sami pobrskate na zgoraj omenjenem testu strani.

Potrebno pa je tudi omeniti, da je varnost izrednega pomena pri straneh kjer se pretakajo osebni podatki. Za ostale strani je priporočljivo, da imajo takšno ali drugačno  zaščito, samo ta ni tako izrednega pomena.

Rezultati torej predstavljajo: Kako varni so podatki, ki se prenašajo med strežnikom in uporabnikom.

1. ZPS (zps.si)
Zveza potrošnikov slovenije: Slovenskim potrošnikom omogočajo boljše in varnejše nakupe.
zpsi
2. IP-RS (ip-rs.si)
Informacijski pooblaščenec. Pri katerem so med drugim v pristojnosti tudi varstvo osebnih podatkov.
IPrs3ePacient (epacient.si)
Portal za elektronsko naročanje zdravstvenih storitev.
epacient
4. ProKlik NLB (proklik.nlb.si)
Elektronsko bančništvo
kliknlb

5. Mojedelo (mojedelo.com)
Zaposlitveni portal.
mojedelo
6. AJPES (ajpes.si)
Agencija Republike Slovenije za javnopravne evidence in storitve.
ajpes7. Oglasi (oglasi.si)
Portal za oddajo ali kupovanje preko oglasov.
oglasi8. Telekom Slovenije (telekom.si)
Internet, telefonija, televizija. Nakupovanje, naročanje.
telekom9. Mimovrste (mimovrste.si)
Spletna trgovina
mimovrste10. 1nadan (1nadan.si)
Ponudnik kuponov
1nadan11. Nepremičnine (nepremicnine.net)
Portal za iskanje nepremičnine ali oddaje oglasa.

nepremicnine12. eUprava (e-uprava.gov.si)
Državni portal Republike Slovenije

eUprava13. eDavki (edavki.durs.si)
Elektronsko davčno poslovanje. Prek eDavkov lahko vložite večino obrazcev, ki jih morate kot davčni zavezanci oddati DURSu. Nekatere obrazce lahko oddate tudi brez certifikata.

edavki14. Bolha (bolha.com)
Oglasniški portal
bolha15. 24ur (24ur.com)
Novice
24ur16. Google Slovenija
Spletni iskalnik
googleZ zelo slabo popotnico sem šla preverit tudi spletne strani, ki se ukvarjajo izključno z opozarjanjem potrošnikov o varnosti na spletu. Ampak kot že rečeno, če se pri njih ne pretakajo osebni podatki, potem je varnost priporočljiva, ne pa obvezna (kot bi morala biti za nekatere).

1. Varni na internetu (varninainternetu.si)
varninainternetu2. Safe-si (safe.si)
safe3. Varni internet (varniinternet.si)
varniinternet4. Si Cert (cert.si)
cert

 

 

Google pravi: enkripcija spletnih strani

Pozor razvijalci spletnih strani, Google bo pričel uporabljal enkripcijo spletnih strani ali Screen Shot 2014-08-08 at 10.53.15 HTTPS kot signal za boljše rangiranje (pozicijo) spletne strani.

V uvajanju enkripcija strani še ne bo tako močan faktor rangiranja (kot je napr. kvaliteta vsebine), vendar naj bi se to čez čas spremenilo – bolj ko boste vlagali v varnost spletne strani, bolj boste pomembni.

Google naj bi razkril tudi najboljše primere s katerimi si bodo spletni razvijalci lahko pomagali in razumeli kaj morajo storiti in čemu se morajo izogniti.

Znano bo tudi katere vrste certifikatov boste potrebovali (SSL certifikati), povedali bodo kako uporabiti URLje za vire na isti zavarovani domeni, ter razkrili najboljše prakse glede indeksiranja strani…

Nekaj napotkov smo že prejeli:
1. Preučite kakšen certifikat potrebuje vaša spletna stran: navadni, več-domenski, razširjeni…
2. Uporabite 2048 bitni ključ
3. Vsi URL naslovi naj vsebujejo https
4. Ne blokirajte si svoje https spletne strani z uporabo robots.txt
5. Izogibajte se neideksiranim meta tag robotom

Prav tako pa se že lahko priključite razpravi o enkripciji na Googlovem forumu Webmaster Help Forums ali testirate svoje trenutne HTTPS z orodjem Qualys Lab tool.

Torej, preklopite (slej kot prej) na HTTPS in zavarujte svoje spletne strani s certifikati.