Ovaj stari ali dobar napad može da ošteti vaše veb aplikacije

SQL injekcioni napadi su dobro razumljivi i lako se mogu sprečiti, a prioritet za ublažavanje rizika treba u prvom redu da bude sprečavanje napada SQL injekcijom. Slušajte junaka crtanog filma i pročistite ulazne podatke za baze podataka. SQL injekcija, ili SQLi, je jedan od najmanje sofisticiranih bezbednosnih napada na veb aplikacije koje mogu dati protivniku potpunu kontrolu nad bazom podataka vaše veb aplikacije. Ovekovečen u crtanom filmu "Little Bobby Drop Tables" u XKCD 327, SQLi je prvi put otkriven 1998. godine, ali i dalje nastavlja da dodijava veb aplikacijama preko interneta. Čak i OWASP Top Ten navodi injekciju kao pretnju za bezbednost veb aplikacija.

'Blockchain' ima potencijal da poboljša šifrovanje i autentifikaciju, a to bi mogla biti dobra vest za IoT bezbednost i za DDoS zaštitu. 'Blockchain' je decentralizovana, distribuirana elektronska knjiga bazirana na modelu pružanja apsolutne bezbednosti i poverenja. Korišćenjem kriptografije, transakcije se snimaju hronološki i javno, svaka sa vremenskim pečatom i povezana sa prethodnom transakcijom. Kritično, ovi ulančani digitalni "blokovi" mogu se ažurirati samo putem konsenzusa svih učesnika, pa je presretanje podataka, menjanje i brisanje takoreći nemoguće. Kao rezultat toga, nakon što je 2016. godine dostigao čuveni Gartnerov "vrhunac ciklusa", 'blockchain' je postao prioritet za lidere u industriji, posebno u finansijskim uslugama, energetici i proizvodnji. Potvrđivanje Bitcoin plaćanja možda je postalo najcitiraniji slučaj upotrebe, ali ova tehnologija može se proširiti na aplikacije poput mreža za isporuku sadržaja i sisteme pametnih mreža.

Za kompanije koje rade isključivo u oblaku, čitav posao može biti ugrožen. Treba potražiti pomoć u nadgledanju i proveri konfiguracije bezbednosti oblaka. Prošle jeseni jedan istraživač bezbednosti je otkrio četiri Amazon S3 baketa (engl. bucket) za skladištenje sa veoma osetljivim podacima kao što su klijentska ovlašćenja i jedna rezervna kopija baze podataka sa 40.000 lozinki. Accenture je slučajno postavio baket sa omogućenim javnim pristupom, pa su sve informacije bile potpuno izložene. Istraživač je obavestio Accenture, a Accenture je zaključao podatke sledećeg dana. Accenture nije bio jedini. Druge kompanije koje su ostavile svoje Amazon S3 bakete otvorene za javnost su Dow Jones, Verizon i vojna obaveštajna agencija INSCOM. Loše vesti su se nastavile.

Veštačka inteligencija će imati sve veći uticaj na tehnologiju sajber bezbednosti kao pomoćna aplikacija, a ne kao nova kategorija proizvoda. Ako želite da shvatite šta se dešava sa veštačkom inteligencijom (VI) i sajber-bezbednošću, ne gledajte dalje od vesti ove nedelje. U ponedeljak, Palo Alto Networks je predstavio Magnyfier, rešenje za bihejvioralnu analitiku u kojoj se strukturno i nestrukturirano mašinsko obučavanje koristi za modeliranje ponašanja mreže i poboljšanje detekcije pretnji. Pored toga, matična kompanija Google, Alphabet, najavila je Chronicle, platformu za inteligenciju sajber bezbednosti koja poklanja velike količine skladišta, procesorske moći i napredne analitike podacima o sajber bezbednosti, kako bi se ubrzalo pretraživanje i otkrivanje igala u sve većem stogu sena.

Apelacioni sud je doneo odluku da je nadzor koji sprovodi britanska vlada nezakonit i da delovi zakona koji takav proces odobravaju nisu u skladu sa zakonima Evropske unije. Zamenik predsednika Laburističke partije i član parlamenta Tom Votson doveo je u pitanje Akt o zadržavanju podataka i istražnim nadležnostima koji odobrava nadzor koji država sprovodi nad građanima. Sudije Apelacionog suda su označile delove tog akta kao nezakonite jer prikupljeni podaci nisu iskorišćeni za suzbijanje teških kriminalnih dela, niti je nezavisno i zvanično određeno ko im može pristupiti.

Kompanija Kaspersky Lab pod neprestanim je napadima u Sjedinjenim Državama jer se veruje da kompanija može da dođe do ličnih – a ponekad i tajnih – podataka klijenata i da ih može proslediti ruskoj vladi. Izgleda da cela priča počinje u samoj kompaniji ili, bolje rečeno, unutrašnjoj borbi oko prevlasti, koju je izgleda uspela da osvoji strana povezana sa ruskim obaveštajnim službama. Sve je počelo 19. aprila 2011. godine kad je Ivan Kasperski, tad student četvrte godine, otet ispred kompanije InfoWatch, inače podružnice kompanije Kasperski, kojom je rukovodila Ivanova majka. Naime Natalija Kasperski je sa svojim tadašnjim suprugom – kasnije su se razveli – osnovala kompaniju Kasperski još 1997. godine. Nesrećnog mladića su ubacili u automobil, vezali mu oči i odvezli ga u kuću na periferiji Moskve.  Eugen Kasperski je u to vreme bio u Londonu. Kad je odgovorio na telefonski poziv, glas sa druge strane ga je obavestio da mu je sin otet i da je otkupnina 3 miliona evra. Kasperski je odmah pozvao Igora Čekunova, navodno nekadašnjeg oficira KGB-a, koji je bio advokat kompanije i veza sa Federalnom službom bezbednosti (naslednikom KGB-a). Čekunov je odmah preduzeo sve potrebne akcije da bi se mladić spasao i uz pomoć jedinica za specijalne operacije, pronađen je posle četiri dana.