Is de 2e lijn wel sterk genoeg?
Een veilige website uitvoeren betekent meer dan alleen waken tegen cross-site scripting en SQL-injectie-aanvallen. Gebreken in de bedrijfsprocessen die ten grondslag liggen aan websites kunnen ook ernstige beveiligingsrisico's met zich meebrengen, zei de CTO van een internetbeveiligingsbedrijf donderdag.
Gebreken in de processen of bedrijfslogica voor websites kunnen zeer winstgevend zijn voor hackers, vereisen weinig vaardigheden om te exploiteren en zijn soms technisch niet illegaal om van te profiteren, zei Jeremiah Grossman, CTO van WhiteHat Security, tijdens de Source Boston Security Showcase. "Deze problemen komen vaak voor als je weet waar je op moet letten", zei hij.
[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]
Hij bood verschillende voorbeelden van deze tekortkomingen, waaronder die gevonden in website-ontwerpen, Captcha-authenticatiesystemen en gebruikersprivileges. Mensen die hiervan profiteren, worden vaak simpelweg verbannen van het gebruik van een service, hoewel ze soms worden vervolgd.In 2007 werd een vrouw beschuldigd van het oplichting van QVC van US $ 412.000 door misbruik te maken van haar bedrijfslogica. Ze plaatste bestellingen voor 1800 items bij het thuiswinkelnetwerk en annuleerde vervolgens de bestellingen op haar website. Ze kreeg krediet voor het retourneren van de koopwaar, maar de items werden toch naar haar gestuurd en ze verkocht ze op eBay, zei het ministerie van Justitie. QVC werd zich ervan bewust dat eBay-gebruikers contact opnamen om items te ontvangen die nog in de verpakking zitten. De vrouw pleitte uiteindelijk schuldig om fraude te plegen.
De functies voor het resetten van een wachtwoord kunnen leiden tot ongeoorloofde accounttoegang als ze duidelijke vragen stellen en hackers kleine stukjes informatie over hun slachtoffers hebben. Grossman bood een voorbeeld met betrekking tot de voormalige mobiele serviceprovider Sprint. Om zijn wachtwoorden te resetten, zei hij, moest een hacker alleen het mobiele telefoonnummer van een persoon weten en een basisinformatie, zoals waar ze woonden of de auto die ze bestuurden. Dit had een hacker de mogelijkheid gegeven om nieuwe telefoons op naam van het slachtoffer te bestellen of nieuwe services op zijn telefoon te installeren.
E-coupons vormen een risico voor verkopers als de couponnummers elkaar na elkaar naderen. Een retailer zag een aantal van zijn dure artikelen voor een paar dollar verkopen nadat een hacker een script had geschreven om couponnummers te achterhalen die slechts een paar cijfers verschilden, zei Grossman. De retailer ontdekte het probleem toen in de systeemlogs een overvloed aan bestellingen werd onthuld die 's nachts werden verwerkt terwijl het hackerscript liep.
Hackers kunnen andere internetgebruikers overtuigen om Captcha-tests voor hen op te lossen door ze naar websites te lokken met de belofte van gratis muziek of inhoud voor volwassenen. Bij Captchas moet iemand een reeks verwarde tekens ontcijferen om zich aan te melden voor diensten zoals een e-mailaccount op het web. De websurfers lossen de Captchas op, die via een proxyserver naar de hacker worden verzonden, die ze vervolgens gebruikt om zich aan te melden voor meerdere e-mailaccounts voor het verzenden van spam of een andere activiteit.
"Zolang u genoeg gebruikers hebt aankomen op uw website heeft u de Captcha opgelost ", zei Grossman. "Slecht guys willen deze Captchas verslaan, zodat ze ons kunnen spammen."
Een ander minpunt is dat gebruikers toegang krijgen tot alle delen van een website wanneer ze een login of wachtwoord hebben voor een bepaalde service daar. Werknemers bij een Estse firma meldden zich bijvoorbeeld in 2004 aan voor de persservice van Business Wire. Het kwam tot de conclusie dat URL's op de site soms informatie bevatten over nieuwsberichten die nog niet openbaar waren gemaakt. Met behulp van een programma dat zoekt naar URL's, konden de werknemers van het bedrijf gevoelige bedrijfs- en financiële informatie ontdekken. Na het kopen en verkopen van aandelen op basis van deze informatie, verdienden de werknemers 7,8 miljoen dollar, maar werden ze ook getroffen door fraude door Amerikaanse toezichthouders.
Webbeveiliging gaat verder dan kwaliteitsgaranties en het juist ontwerpen van webapplicaties om aan te geven hoe de services zijn ingesteld om te werken, zei hij.
Iomega helpt u bij het klonen van uw systeem - en speelt ook media Bijna twee jaar zijn verstreken sinds Iomega en EMC (bekend van zijn back-up software) zich aansloten en het nieuwste aanbod van Iomega weerspiegelt de huidige focus van het bedrijf op integratie van de hardware en software-ervaring. Iomega's nieuwe v.Clone, hier geïntroduc
Virtualisatiesoftware is natuurlijk niet nieuw en verschillende fabrikanten hebben al eerder geprobeerd zorgen voor virtualisatie op een USB-flashstation. Het verschil hier is dat het een mainstream leverancier van harde schijven is die virtualisatie biedt voor consumenten - en dat doet op iets dat veel groter is dan een schamele flashdrive die nauwelijks je internetfavorieten en e-mail kan verwerken.
We besteden veel tijd aan het doorlezen van sociale netwerksites, maar dat is niet genoeg Dat betekent dat we allemaal sociale vlinders zijn. Het lijkt erop dat e-mail het nieuws van gisteren is geworden. Terwijl het controleren van e-mail vroeger onze belangrijkste reden was om online te gaan, besteden we nu meer van onze online tijd aan het surfen op sociale netwerken, volgens nieuwe nummers van Nielsen. We spenderen 23 procent van onze online tijd aan surfen op sociale netwerken zoals Faceboo
Dat nieuws hoeft mij niet per se te verbazen: ik kan 10 minuten doorbrengen op Facebook en verstrikt raken in de activiteiten van 25 verschillende mensen, terwijl het besteden van diezelfde 10 minuten aan e-mail me in staat zou stellen om veel nutteloze junkmail te verwijderen en misschien een bericht te lezen. Maar als ik echt stop om erover na te denken, houdt Facebook me niet echt beter verbonden met de meeste mensen. Hier zijn vijf redenen waarom.
Een vroege build van Microsoft's grote Windows 8-update is op het web verschenen , vol met handige nieuwe trucs en hints van geweldige inkomende functies. <> Na een overvloed aan geruchten, fluisteringen en missers in vacatures, hebben we nu concretere bewijzen van het gesloten Windows Blue-besturingssysteem van Microsoft: een eerlijke -goedheid lek van een vroege build van het besturingssysteem.
Het lek van "Windows Build 9364" verscheen zondagochtend op torrent- en bestandsdelingssites in de vorm van een 2,6 GB ISO-bestand en het nieuws van het lek brak over het net als een lopend vuurtje na een eerste verschijning op Windows 9 Beta. Hoewel Microsoft geen formele verklaring heeft afgelegd over het lek, is het hands-on ontleed door WinSuperSite en talloze forumbezoekers, en Build 9364 lijkt een 100 procent legitieme (en 100 procent ongeoorloofde) kijk op de toekomst van Windows.