Google promite hackerilor recompense in valoare de 1 milion de dolari

Google ofera recompense in valoare totala de 1 milion de dolari pentru hackerii ce reusesc sa descopere un exploit complet functional al lui Chrome.

Compania este sigura pe ea si se asteapta sa nu ofere nicio recompensa deoarece in ultimii 6 ani, concurentii Pwn2Own de la conferinta CanSecWest au spart atat Internet Explorer cat si Safari in timp ce Chrome a ramas intact. Cu toate acesta, in acest an Google se ofera sa acorde chiar el marele premiu pentru hacking, luand decizia sa anuleze concursul Pwn2Own.

"Nu era tocmai in regula faptul ca participantilor le era permis sa intre in concurs fara a dezvalui exploituri complete sau toate bugurile folosite. Scopul sponsorizarii noastre este simplu: avem o oportunitate mare de a invata atunci cand vom primi rapoarte complete ale unor exploituri. Nu numai ca vom putem remedia bugurile, dar prin studierea vulnerabilitatilor si a tehnicilor de exploit ne putem imbunatati solutiile de atenuare, de testare automata si sandboxing. Acest lucru ne permite sa ne protejam mai bine utilizatorii", au scris pe un blog al companiei Chris Evans si Justin Schuh, membrii ai echipei de securitate Chrome.

Premiul de 1 milion de dolari va fi defalcat in sume diferite, in functie de gradul de risc al unui exploit. Astfel, premiul cel mare este de 60.000 de dolari pentru un exploit Chrome complet, folosind doar buguri existente in browser.

Creatorii de malware gasesc noi modalitati de a evita detectarea

Creatorii de malware adopta din ce in ce mai mult algoritmi flexibili de generare de domenii (DGAS) in scopul de a evita detectarea si de a preveni combaterea unui botnet de catre cercetatorii de securitate sau de catre agentiile de aplicare a legii.

DGAS sunt folosite in general ca un mecanism de rezerva pentru a trimite instructiuni catre calculatoarele infectate atunci cand serverele de comanda si control (C&C) devin indisponibile.

Algoritmii genereaza o lista de nume unice de domenii aleatoare in fiecare zi. Calculatoarele dintr-un botnet se conecteaza si primesc comenzi prin intermediul acestora atunci cand serverele primare nu pot fi accesate.

Cunoasterea algoritmului permite creatorilor de malware sa prezica ce nume de domeniu vor incerca sa acceseze calculatoarele infectate la o anumita data, astfel incat sa poata inregistra unul dintre acestea in prealabil.

Infamul vierme Conficker a folosit un algoritm de generare de domenii pentru a primi instructiuni din partea creatorilor sai. Acest lucru a adus tehnica in atentia publicului pentru o perioada scurta de timp în 2009.

Cu toate acestea, DGAS au avansat considerabil de atunci. In prezent exista o tendinta in dezvoltarea malware-ului sa puna in aplicare DGAS in scopul de a evita sistemele de securitate care se bazeaza pe reputatia numelui de domeniu, liste negre sau semnaturi.

Robotii cibernetici pot rezolva puzzle-uri CAPTCHA

A devenit din ce in ce mai greu in ultimii ani sa demonstram online ca suntem oameni. Literele ondulate, cunoscute sub denumirea de CAPTCHAs, care protejeaza site-urile impotriva spamului au devenit si mai distorsionate, deoarece robotii cibernetici si-au imbunatatit aptitudinea de a le citi.

Din aceasta cauza, NuCaptcha a lansat video CAPTCHAs, care sunt mai usor de citit de catre oameni, dar inca sigure, si au fost adoptate deja de catre unele site-uri, printre care si Groupon. Acum, cercetatorii de la Stanford sugereaza ca si acestea vor trebui sa devina mult mai criptice.

Elie Bursztein, cel ce a condus aceasta cercetare, explica pe blogul sau cum a proiectat un software care compara mai multe cadre din clipurile video de la NuCaptcha pentru a intui si a decoda literele distorsionate necesare pentru a intra pe un site protejat de un puzzle NuCaptcha. Video CAPTCHAs necesita utilizarea unor tehnici care nu erau folosite la puzzle-urile de dinainte, pentru a izola un puzzle de orice altceva din inregistrarea video, spune Bursztein. El raporteaza ca software-ul care identifica cadre video CAPTCHA le poate folosi si la inregistrarea video pentru a urmari miscarea literelor si pentru a le izola cu o precizie de aproape 100 %.

In raspuns, NuCaptcha a subliniat faptul ca software-ul lor urmareste computerele care rezolva puzzle-urile lor si le serveste versiuni mai complexe decat cele rezolvate de Bursztein. Cu toate acestea, Bursztein spune ca aceste versiuni nu reprezinta o piedica majora in fata metodelor sale de rezolvare a puzzle-urilor CAPTCHA.

Tipuri de hosting administrat

Asa cum sugereaza si numele, hosting-ul administrat (managed) se refera la planurile de gazduire care sunt administrate de catre furnizorul de hosting. Pe piata web hosting-ului, preturile pentru pachetele de hosting administrat variaza intre 30 si cateva sute de dolari pe luna. Un plan low end de hosting administrat implica VPS hosting, in timp ce un plan high end implica hosting pe un server dedicat. Deoarece variatia de preturi este foarte mare, este foarte important sa intelegem ce servicii si functii trebuie sa asteptam de la aceste planuri administrate de hosting.

Atunci cand companiile de hosting isi promoveaza planurile de hosting administrat, acestea folosesc adesea expresia "complet administrat" (fully managed). Acest termen este relativ, deoarece unii ar putea crede ca planul este complet administrat in timp ce altii ar putea crede ca suportul tehnic pe care il primesc de la furnizorul de hosting nu este suficient. Deci, regula de baza este: cu cat pretul este mai mare, cu atat veti beneficia de mai mult suport tehnic.

In cazul planului de hosting complet administrat, site-ul dvs. va fi monitorizat in mod regulat de webmasteri experientati. Asadar, nu trebuie sa va faceti griji cu privire la timpii de downtime ai serverului si alte probleme tehnice. Tot ce trebuie sa faceti este sa platiti, iar furnizorul de hosting administrat va face restul.

Exista de asemenea si planuri de hosting "partial administrate". In acest caz, site-ul dvs. este in continuare monitorizat de personalul tehnic al furnizorului de web hosting. Cu toate acestea, utilizatorii finali trebuie sa indeplineasca anumite functii administrative pentru a-si mentine site-urile. In aceasta situatie, utilizatorii finali vor avea mai mult control asupra propriilor servere. Asadar, este recomandat sa va consultati cu furnizorul dvs. de hosting pentru a afla cat de mult suport tehnic va este oferit inainte de a lua decizia finala.

Noul troian ZeuS nu mai are nevoie de servere de comanda si control

Infractorii cibernetici folosesc in prezent o versiune modificata a troianului ZeuS care nu se mai bazeaza pe servere dedicate de comanda si control (C&C) pentru a primi instructiuni, potrivit cercetatorilor de securitate Symantec.

Zeus este foarte popular in lumea infractorilor cibernetici deoarece este capabil de a fura o mare varietate de informatii, printre care documente si date de logare de la sistemele infectate. Timp de multi ani a fost arma preferata a celor mai multi escroci care vizau sistemele de online banking.

Codul sursa al troianului a fost publicat anul trecut pe forumurile neoficiale de pe internet, deschizand astfel calea tertelor parti de a aduce modificari si imbunatatiri la structura si functionalitatea acestuia.

In noiembrie 2011, cercetatorii de securitate au identificat o varianta puternic modificata a lui ZeuS, capabila de a transmite comenzi de la un computer compromis la altul, intr-o maniera peer-to-peer (P2P). Acea versiune a troianului inca era conectata la un server dedicat de C&C pentru a preda informatiile furate si pentru a primi instructiuni noi, dar folosea sistemul P2P ca un mecanism de backup in cazul in care serverul devenea indisponibil.

Cu toate acestea, o noua varianta detectata recent de Symantec a eliminat complet nevoia de conectare la servere C&C. "Fiecare peer din botnet poate actiona ca un server C&C, in timp ce niciunul dintre ele nu sunt cu adevarat" a declarat miercuri cercetatorul Symantec Andrea Lelli intr-un post pe blog.

Pentru a pune in aplicare aceasta functionalitate, creatorii noii variante ZeuS au inclus serverul web Nginx in troian, care permite oricarui calculator infectat sa primeasca si sa trimita date prin protocolul HTTP. Acest lucru face ca botnetul sa fie mai rezistent la tentative de anihilare, deoarece nu mai exista o singura piesa de rezistenta, ci mai multe, si impiedica de asemenea sistemele de urmarire a botneturilor, cum ar fi ZeusTracker.

Cercetatorii Symantec au aflat desprea aceasta noua varianta ZeuS ca distribuie programe antivirus false. Cu toate acestea, nimeni nu si-a dat inca seama cum trimite informatiile furate inapoi la atacatori, in lipsa unor servere dedicate de C&C.

Google vrea sa implementeze un manager de parole in Chrome

Google lucreaza la un nou manager de parole pentru browserul Chrome care va crea in mod automat parole puternice pentru utilizatori. Noul manager este in prezent în faza de proiectare, dar Google a descris procedeul prin care ar functiona.

Atunci cand un utilizator acceseaza o pagina despre care Chrome crede ca va cere crearea unui cont, acesta va afisa o pictograma in forma de cheie langa campul in care trebuie introdusa parola in formularul de inregistrare. In cazul in care utilizatorul da click pe acea cheie, Chrome il va intreba daca doreste sa creeze o parola. Daca utilizatorul spune da, Chrome va genera in mod automat o parola formata din litere, numere si caractere, care o fac foarte dificil de ghicit de catre un hacker si imposibil de retinut de catre utilizator si apoi ii va cere utilizatorului sa o aprobe.

Chrome va cere aprobarea parolei deoarece acesta nu poate incalca normele stabilite de un site. Asta inseamna ca utilizatorul s-ar putea sa modifice manual parola inainte de a fi acceptata de site.

Odata ce parola este acceptata, Chrome o va sincroniza cu celelalte dispozitive ale utilizatorului care ruleaza browserul, cu conditia ca functia de sincronizare sa fie activata pentru contul Chrome respectiv.

Google crede ca ideea sa este una buna, deoarece in cazul in care o persoana nu este nevoita sa tina minte o parola, atunci nu are cum sa o dea din greseala pe mana phisherilor sau a altor escroci cibernetici.

Securizarea transferurilor SSH pe un server cPanel

In timp ce SSH (Secure Shell) este un mod foarte util si sigur de a comunica la distanta cu un server dedicat, acesta poate fi, de asemenea, o vulnerabilitate a securitatii daca este configurat incorect. In cea mai mare parte a timpului, hackerii folosesc scanere de porturi si atacuri brute force pentru a patrunde intr-un server.

Iata 4 moduri de a asigura serviciul SSH pe un server cPanel:

1) Dezactivati root login

Cand dezactivati SSH root login, utilizatorii vor fi nevoiti sa se logheze in prima faza cu un cont de utilizator obisnuit. Abia apoi vor avea posibilitatea de a utiliza "su" sau "sudo" pentru a executa comenzi ca root.

2) Activati cPHulk Brute Force Protection

Activarea cPHulk va bloca accesul conturilor de utilizator si adreselor IP la serverul dvs. dupa prea multe incercari de login esuate.

3) Modificati portul implicit SSH

Prin schimbarea portului implicit SSH, exista mai putine sanse de a fi detectat de catre scanerele de porturi.

4) Folositi SSH Key Authentication

Cel mai bun mod de a preveni un atac brute force este de a utiliza SSH key authentication in locul clasicei combinatii nume de utilizator/parola.

Anonymous ameninta ca va lansa un atac DDoS asupra serverelor root de Internet

Viitoarea campanie anuntata de catre grupul de hacking Anonymous impotriva sistemului principal al Internetului de cautare adrese este putin probabil sa provoace daune mari, conform spuselor unui expert in securitate.

Intr-un avertisment postat pe Pastebin joia trecuta, Anonymous a declarat ca va lansa pe 31 martie un atac, ca parte din "Operatiunea Global Blackout", care va viza serverele root DNS (Domain Name System). Gruparea a declarat ca atacul a fost planificat ca un protest fata de "liderii nostri iresponsabili si dragii nostrii bancheri, din cauza carora oamenii mor de foame, doar pentru ca acestia sa-si satisfaca propriile lor nevoi egoiste, din pura distractie sadica".

Un DNS traduce un nume de site, cum ar fi www.megahost.ro, intr-o adresa IP numerica (Internet Protocol), care este utilizata de computere pentru a gasi respectivul site.

Desi exista 13 servere root, un atac asupra unuia nu le-ar afecta pe celelalte 12. In plus, un atac ar avea mai putin succes din cauza fenomenului "anycasting", care permite ca traficul de pe un server root sa fie redirectionat catre un alt server care contine o replica a acelorasi date. Exista sute de alte servere dedicate din intreaga lume care detin aceleasi date ca si serverele root, crescand astfel elasticitatea DNS.

Nu in ultimul rand, serverele root DNS sunt urmarite indeaproape. In cazul in care apar probleme, traficul malware de pe aceste servere root este blocat imediat, intreruperea durand cateva minute, deoarece sute de experti IT isi vor uni imediat fortele pentru a contracara orice tip de atac.

Twitter adopta HTTPS ca protocol de transfer implicit

Twitter a activat Secure Hypertext Transfer Protocol (HTTPS) ca protocol implicit pentru toti utilizatorii sai, ceea ce inseamna ca traficul de pe site-ul de microblogging este acum criptat, oferind o mai buna protectie impotriva atacurilor de tip man-in-the-middle.

HTTPS cripteaza informatiile inca din momentul logarii, prevenind interceptarea lor. Twitter, care a pus la dispozitia utilizatorilor optiunea HTTPS pentru prima data in luna martie a anului trecut, a declarat ca este deosebit de importanta utilizarea protocolului criptat atunci cand reteaua de socializare se acceseaza printr-o conexiune la internet nesecurizata, cum ar fi un hotspot Wi-Fi public. Utilizatorii au optiunea de a dezactiva HTTPS prin intermediul paginii Account Settings.

Initiativa a fost felicitata de catre firma de securitate Sophos, care a declarat ca utilizarea unui hotspot Wi-Fi public pentru a accesa Twitter, fara HTTPS, ar putea permite unui hacker sa intercepteze informatii sensibile, acest lucru insemnand ca ar putea posta tweeturi in locul dvs. sau ca v-ar putea citi mesajele private.

Google a devenit una dintre primele companii majore de pe internet ce a adoptat HTTPS pentru toate site-urile sale, in ianuarie 2010. Reteaua sociala Google+ are protocolul HTTPS activat inca din momentul lansarii.

Cu toate acestea, in cazul Facebook, HTTPS inca este dezactivat in mod implicit, in ciuda faptului ca utilizatorii au optiunea de a-l activa inca de acum un an.

Doua site-uri de typosquatting, "Wikapedia" si "Twtter", au fost desfiintate

Intai de toate, sa explicam ce inseamna fenomenul de "typosquatting". Acesta reprezinta inregistrarea unei variatii a denumirii unui domeniu-marca inregistrata pentru a putea beneficia de avantajele inevitabilului flux al traficului generat de introducerea gresita a adresei acestui domeniu de catre utilizatori. O latura aparte a acestui tip de variatii ale unor domenii de internet este reprezentata de site-urile clona, a caror principala atributie este aceea de a se folosi de imaginea si increderea pe care o inspira utilizatorului site-ul a carui denumire este derivata, insa al carui design este copiat.

Doua site-uri false care pretindeau a fi Wikipedia si Twitter au fost desfiintate de pe internet si amendate cu 100.000 de lire sterline fiecare. Astfel, site-urile de typosquatting, "Wikapedia" si "Twtter" pacaleau utilizatorii sa dea click pe anunturi false care ii anuntatu ca au castigat un premiu. In cazul acestor doua site-uri, pentru a primi un premiu, cum ar fi un iPad, oamenilor li se cerea numarul de telefon mobil. Apoi, site-urile trimiteau un text cu un cod PIN si un scurt sondaj de opinie. De fiecare data cand o persoana raspundea la o intrebare din acel sondaj, aceasta era taxata cu 1.50 lire sterline.

Companiile amendate pentru detinerea site-urilor Wikapedia si Twtter, R&D Media Europe si Unavalley BV din Amsterdam, au primit ordin judecatoresc sa restituie banii celor care au fost taxati pentru ca au raspuns la intrebarile sondajului, deoarece aceasta taxare nu era speficicata in mod clar pe anunturile premiilor.

In concluzie, atunci cand sunteti pus in situatia de a va da numarul cartii de credit unui site sau va vedeti nevoit sa dati click pe un anumit anunt pentru a trece la o alta pagina, ar fi bine sa verificati de doua ori numele de domeniu al site-ului pe care va aflati, inainte de a face unul din aceste lucruri, deoarece puteti foarte bine sa cadeti victima unor typosquatteri.

cPanel a lansat versiunea 11.32 a panoului de control si a Web Host Manager

cPanel a lansat astazi versiunea 11.32 a panoului de control pentru web hosting si a Web Host Manager (WHM), venind cu numeroase noutati, printre care si imbunatatiri la functionalitatea de mail si la pagina de login. De asemenea, suporta in mod oficial DKIM si include aplicatia de web analytics, Logaholic.

Functionalitate imbunatatita a mail-ului

cPanel a adus imbunatatiri la WHM Mail Queue Manager. Printre schimbari, acesta ofera utilizatorilor posibilitatea de a executa o comanda pe mai multe mesaje simultan, la alegerea utilizatorului. Cautarea si depanarea livrarilor de mail este simplificata prin adaugarea de rapoarte de livrare mail, pentru utilizatorii WHM, si Email Trace, pentru utilizatorii cPanel si de webmail.

Pagina de login a fost îmbunatatita

Utilizatorii cPanel si WHM vor observa, de asemenea, ca pagina de login a fost imbunatatita. Ferestrele de logare cPanel si WHM dispun acum de un design nou si de optiuni de localizare. Pagina de login va utiliza ca limbaj implicit pe cel folosit de browserul dvs. cPanel si WHM suporta 14 limbi diferite pentru interfata de conectare, iar utilizatorii o pot alege pe cea pe care doresc ca cPanel si WHM sa o foloseasca.

Suport pentru DKIM

DKIM se ocupa de validarea e-mailurilor primite. In versiunea 11.32, DKIM este acum suportat oficial si poate fi administrat din cPanel, prin intermediul caracteristicii de Autentificare Email.

Logaholic

Pe langa diversele imbunatatiri, pachetul de web analytics Logaholic este acum disponibil oficial pentru utilizatorii cPanel v.11.32.

Alte update-uri importante includ:

- Imbunatatirea ratei de limitare Email
- Un nou editor de configurare Exim
- Hooks System
- Suport pentru MySQL 5.5
- Suport pentru MyDNS-NG
- O mai buna gestionare a fisierelor prin intermediul interfetei cPanel File Manager
- Suport pentru IPv6 in Apache Distiller
- Reducerea consumului de memorie pentru cphulk, cpsrvd cpdavd, in modul inactiv

Daca doriti sa aflati mai multe despre updateurile si imbunatatirie din versiunea 11.32, accesati:http://docs.cpanel.net/twiki/bin/view/AllDocumentation/1132ReleaseNotes~~HEAD=NNS

Instrumentul "Do Not Track" promite o viteza de incarcare a paginilor web cu pana de 4 ori mai mare

Tehnologiile "Do Not Track"au devenit un standard pe internetul din ziua de azi, oferind utilizatorilor o varietate de moduri de a-si proteja intimitatea atunci cand navigheaza pe web. Desi exista numeroase instrumente anti-tracking disponibile pentru utilizatorii care nu vor sa fie urmariti - fie incorporate in browsere, fie ca add-on-uri - multe dintre ele sunt special concepute pentru un anumit browser, creeaza confuzie sau pur si simplu sunt dificil de utilizat, potrivit unui studiu de la Universitatea Carnegie Mellon , din toamna anului trecut.

Un instrument nou si gratuit a fost lansat joia trecuta si a fost construit special pentru a aborda multe dintre problemele ridicate in acel studiu si de a merge dincolo de ceea ce modurile de navigare private pot face. Se numeste Do Not Track Plus (DNT+) si functioneaza perfect cu Internet Explorer, Firefox, Chrome si Safari. In plus, poate creste viteza de încarcare a unei pagini web de pana la 4 ori.

Cu ajutorul sau, utilizatorii pot decide la nivel de site individual daca doresc sa blocheze sau sa permita urmarirea de catre acesta. Atunci cand vor ca activitatile lor sa ramana private, DNT+ poate bloca o lista de 580 de tehnologii diferite si peste 200 de companii de tracking.

Cu o interfata usor de utilizat, instrumentul are scopul de a impiedica agentiile de publicitate sa vizioneze ce site-uri acceseaza utilizatorii, ce interese comerciale au, hobby-uri, clickuri si amplasarea geografica. De asemnea, pastreaza o evidenta, astfel incat utilizatorii pot vedea cu usurinta cat de multe incercari de urmarire au fost blocate si de la ce firme.

Ce tip de hosting este potrivit pentru afacerea dvs.?

Dupa ce v-ati inregistrat numele de domeniu ales, urmatorul pas il constituie alegerea unui furnizor de hosting web. Cu toate acestea, gasirea celui ce se potriveste nevoilor dvs. poate fi uneori o sarcina dificila. Cel mai bine este sa introduceti in motorul de cautare Google cuvintele cheie web hosting sau hosting si sa vedeti care sunt primele rezultate afisate. De obicei, acelea sunt cele mai de incredere companii de hosting.

Nimeni nu poate nega faptul ca pentru a avea o prezenta online solida este nevoie de un serviciu de web hosting de incredere. Prezenta online a site-ului dvs. presupune accesibilitate nonstop la acesta. In caz contrar, riscati sa pierdeti potentiali clienti. Pentru acest lucru trebuie sa stiti sa alegeti pachetul de hosting potrivit site-ului dvs. Puteti alege dintre cele mai accesibile pachete de hosting (shared hosting) sau dintre cele mai profesionale pachete de hosting (hosting pe server dedicat).

Ce este shared hosting?

Aceasta este o situatie in care partile unui server web sunt impartite intre mai multi utilizatori si este considerata o optiune low-cost deoarece si pretul se imparte in egala masura. Aceasta este optiunea ideala pentru cei aflati cu afacerea la inceput de drum si care dispun de un buget limitat. Megahost ofera pachete de shared hosting cu preturi incepand de la 0,99 euro/luna.

Ce este hostingul pe server dedicat?

Aceasta este situatia in care compania de hosting inchiriaza intreg serverul unui singur client. Aveti posibilitatea de a alege un server dedicat administrat, caz in care compania de hosting va avea grija ca acesta sa ruleze la parametrii optimi sau puteti opta pentru un server dedicat neadministrat, caz in care utilizatorul va trebui sa se asigure de buna functionare a acestuia. Avantajul unui astfel de plan de hosting este acela ca veti avea mereu resurse pentru nevoile site-ului dvs., mai ales in cazul in care acesta primeste foarte multi vizitatori in fiecare zi. Din aceasta cauza, acest plan de hosting este de obicei folosit de catre intreprinderile mari, iar pretul sau incepe de la 59,9 euro/luna.

Securizarea aplicatiilor web

Fiind preocupati in principal de problemele legate de securiatea retelei si integritatea fisierelor, a ajuns sa fie foarte usor sa trecem cu vederea securitatatea aplicatiilor web. Realitatea este ca, chiar si cu un firewall bine pus la punct si cu un sistem de operare securizat si cu update-urile la zi, site-urile dvs. raman vulnerabile la atacuri ce pot exploata deficientele de securitate a aplicatiilor web.

Exista cateva lucruri pe care le puteti face pentru a va securiza aplicatiile web si anume:

1) Utilizati aplicatii de incredere. Chiar daca pare evident, multi administratori de sistem vor angaja parti terte sau vor instala software netestat, fara a tine seama de cat de sigure sunt. Inainte de a proceda astfel, alocati-va putin timp cercetarii, testarii si eventual consultarii cu furnizorul dvs. de web hosting. Mai mult decat atat, daca utilizati o aplicatie web open source, asigurati-va ca este cu update-urile la zi si fiti receptiv la ultimele noutati in materie de securitate.

2) Adaugati extra protectie. Chiar daca credeti ca codul dvs. este in siguranta, nu strica sa aveti inca un strat de protectie suplimentara. Un firewall pentru aplicatii web va poate ajuta in prevenirea atacurilor neasteptate. Exista, de asemenea, unele exploatari de scripting care pot fi prevenite daca faceti modificarile potrivite si monitorizati atent intreaga activitate.

3) Depistati vulnerabilitatile. Poate ca cea mai importanta masura pe care o puteti lua pentru a preveni atacurile este sa afla care dintre ele reprezinta cea mai mare amenintare la adresa site-ului dvs. Sunteti vulnerabil la cross-site scripting (XSS), SQL injection sau la vreo metoda de atac noua care inca nu a fost catalogata? Scanand sistemul de vulnerabilitati, aveti posibilitatea sa localizati problemele si sa le eliminati. Ca sa vedeti o lista de scanere de aplicatii web, accesati SecTools.org.

In concluzie, aplicatiile web nu trebuie sa fie o amenintare pentru site-ul dvs. Folosind aplicatii web de incredere si un firewall si scanand periodic sistemul de vulnerabilitati, va veti putea concentra atentia asupra vizitatorilor site-ului dvs. si nu asupra atacatorilor sai.

Ce este un open relay si cu ce va poate afecta pe dvs.?

Una dintre experientele cele mai neplacute prin care puteti trece este aceea de a fi acuzat de ceva ce nu ati facut. Imaginati-va ca intr-o zi, politia bate la usa dvs. si va spune ca sunteti arestat pentru savarsirea unei fapte pe care dvs. stiti ca nu ati comis-o.

In industria de web hosting, politia anti-spam poate batea la usa dvs. virtuala, aratandu-va ca adresa dvs. IP tocmai a trecut pe lista neagra DNS. Daca nu aveti nicio idee de ce s-a intamplat acest lucru, sansa este ca un spammer sa fi gasit o modalitate de a va exploata serverul dedicat sau VPS-ul, iar un open relay (sistem prin care se pot trimite e-mailuri fara autentificare) ar putea fi cauza.

Un server SMTP este parte a serverului de mail care se ocupa de trimiterea e-mailurilor. Orice e-mail trimis trebuie sa fie procesat de catre serverul SMTP. In mod ideal, acest server dispune de unele masuri de securitate care impiedica utilizatorii necunoscuti sa-l exploateze. Un open relay este un server SMTP care permite oricui sa-l foloseasca. Spammerii il pot folosi pentru a trimite e-mailuri si va aparea ca si cum a fost trimis de dvs., chiar daca nu ati trimis nimic.

Listele negre DNS vor identifica aceste open relays si vor informa alte servere de mail sa le respinga. Ca urmare, in cazul in care serverul dvs. ajunge pe o lista neagra, nu veti mai putea trimite e-mailuri catre alte servere de mail care utilizeaza un serviciu de blacklisting. Odata ce ati identificat si rezolvat problema open relay, veti fi eliminat de pe listele negre, dar acest proces poate dura ceva timp.

Problema cu un open relay este usor de rezolvat cu o autentificare SMTP corespunzatoare, si puteti gasi instrumente online care pot testa serverul de mail pentru a vedea daca acesta are un open relay. Tinand cont de acest lucru, aceasta problema de securitate periculoasa nu trebuie amanata, deoarece reprezinta o amenintare la adresa afacerii dvs.

NGINX ofera suport comercial pentru serverul web open source

Serverul web open source NGINX a anuntat ca de acum ofera suport comercial pentru companiile care folosesc serverul web, facand si prima sa oferta comerciala in acest sens.

Proiectat pentru afaceri web comerciale de dimensiuni mici, mijlocii sau mari, serviciile de suport comercial sunt livrate de catre creatorii si dezvoltatorii NGINX pentru a oferi suport tehnic si servicii de consultanta de calitate.

Optiunile de suport sunt destinate acelor utilizatori care au nevoie de mai mult ajutor decat poate oferi comunitatea open source. Astfel, NGINX fiind al doilea cel mai popular server web din lume, compania este cu siguranta intr-o pozitie ce ii permite sa adopte cu succes un model de suport platit.

NGINX ofera trei pachete de suport tehnic - Esential, Avansat si Premium - asigurand suport pentru instalare, configurare, imbunatatirea performantei, intretinerea software-ului, proiectare, implementare si optimizare.

Compania ofera de asemenea servicii de consultanta pentru a ajuta clientii sa-si creeze configuratii personalizate sau sa adauge noi caracteristici si functionalitati configuratiei existente.

NGINX ofera solutionare rapida a problemelor si a incidentelor ce pot aparea, inclusiv remedieri de buguri. Clientii care se aboneaza vor primi, de asemenea, notificari proactive cu privire la schimbarile majore, patch-uri de securitate, lansari de software nou, precum si recomandari cu privire la update-uri si upgrade-uri disponibile.

Google introduce domenii de tari pe Blogger pentru a ajuta la eliminarea continutului inadecvat

Google redirectioneaza utilizatorii de pe Blogger catre domenii de tari, pentru a oferi flexibilitate si pentru a se conforma cu normele de eliminare a continutului inadecvat din diferite tari. Aceasta miscare sugereaza ca exista companii de internet in lume care sunt obligate sa respecte regulile locale, asa ca Google încearca sa castige utilizatori din tarile in care exista restrictii cu privire la continut pornografic, politic si religios.

In urmatoarele saptamani, unii utilizatorii ar putea observa ca adresa URL a unui blog pe care il citesc a fost redirectionata catre un domeniu de tara de nivel superior, a declarat Google pe o pagina de pe Blogger.

Google a fost dat in judecata in India, in legatura cu continutul de pe site-urile sale, care este considerat a fi inacceptabil. In luna ianuarie, guvernul indian a permis unei instante din New Delhi demararea urmaririi penale a Google, Facebook si alte 19 companii, dupa ce Vinay Rai, editor al unui ziar local, a propus sanctionarea acestora pentru continut inacceptabil pe site-urile lor.

Guvernul indian a cerut de asemenea ca Google sa dezvolte mecanisme de eliminare rapida a continutului online considerat inacceptabil în conformitate cu legislatia indiana.

Servicii precum Blogger, YouTube si Google+ ajuta utilizatorii sa se exprime si sa impartaseasca diferite puncte de vedere, . In cazul în care continutul este ilegal sau incalca termenii serviciului Google, compania il va elimina, a declarat Google.

Ce este un hypervisor si ce face acesta?

Un hypervisor este un manager de masini virtuale care permite mai multor sisteme de operare sa foloseasca resursele hardware ale unei singure gazde. Hypervisor-ul este cel care controleaza si aloca aceste resurse, asigurand totodata si izolarea intre masinile virtuale. Cum indeplineste hypervisor-ul aceste sarcini? Hypervisor-ul controleaza direct resursele hardware asigurand o interfata virtuala unificata prin intermediul careia masinile virtuale au acces la aceste resurse. Acestea nu au nevoie de a cunoaste detalii low-level despre hardware-ul instalat, ceea ce este si un mare avantaj, acela de a putea migra masinile virtuale pe alte servere.

Trei din cele mai intalnite tipuri de virtualizare sunt: emularea, virtualizarea nativa si paravirtualizarea.

1) In cazul emularii, masina virtuala simuleaza intreaga configuratie hardware (CPU, memorie, I/O) necesara pentru a rula un sistem de operare nemodificat destinat unei configuratii hardware complet diferita. Cel mai mare dezavantaj al emularii este performanta scazuta. Cateva emulatoare cunoscute ar fi QEMU, Bochs, PearPC.

2) Virtualizarea nativa este similara cu emularea, sistemele de operare nemodificate ruland pe masini virtuale, fara a fi constiente de mediul virtual, diferenta notabila fiind faptul ca acestea ruleaza pe aceeasi configuratie hardware. In aceasta situatie hypervisor-ul asigura accesul la hardware, nemaifiind nevoie de folosirea unei aplicatii pentru simularea unei configuratii diferite. Cele mai reprezentative produse din aceasta zona sunt produsele VMware si Microsoft Virtual Server

3) Paravirtualizarea este diferita de virtualizarea nativa prin faptul ca hypervisor-ul expune o versiune modificata a hardware-ului existent, pastrand totusi configuratia. Aceasta modificare face ca suportul pentru mai multe sisteme de operare sa fie mai simplu, dar acestea trebuie sa fie putin modificate si sa fie constiente de mediul virtual. Microsoft Hyper-V si XEN sunt cele mai cunoscute produse ce ofera paravirtualizare.

Virtualizarea serverelor este considerata de catre specialisti ca fiind tehnologia care ofera, la ora actuala, un raspuns optim la solicitarile de eficientizare si reducere a costurilor. Pentru a beneficia insa de toate avantajele oferite de virtualizare, migrarea serverelor fizice trebuie realizata urmand o serie de pasi logici, integrati intr-un proiect coerent; o abordare care poate evita ricurile inerente trecerii la o noua tehnologie.

Cum sa alegeti cel mai bun pachet de e-Commerce hosting

Aproape fiecare companie de web hosting ofera un anumit tip de pachet de e-commerce hosting. Pana la urma, clientii de e-commerce hosting fac bani din site-urile lor si de aceea sunt dispusi sa investeasca pentru ca acestea sa fie productive.

Exista cu siguranta, motive economice si care tin de serviciile cu clientii atunci cand vine vorba de alegerea unui anumite companii de hosting, dar in acest articol va vom dezvalui 5 aspecte tehnice de care ar trebui sa tineti seama atunci cand va alegeti un furnizor de e-commerce hosting.

1) Certificate SSL accesibile - Deoarece trebuie sa cumparati un certificat SSL si sa-l implementati pe site-ul dvs., cu usurinta si fara batai de cap.

2) Software e-Commerce - Exista o multitudine de aplicatii gratuite de e-Commerce disponibile. Un bun furnizor de e-Commerce hosting va va instala gratuit aplicatia pe care doriti sa o utilizati.

3) Software de analiza - Singura modalitate eficienta de a urmari progresul afacerii dvs. online este sa studiati traficul site-ului dvs. Multi furnizori de e-Commerce hosting ofera propriul software de analiza, precum si integrarea cu software de analiza al unei terte parti.

4) Securitate avansata - In functie de tipul afacerii pe care o derulati, este probabil sa aveti nevoie de un nivel mai ridicat de securitate fata de un site obisnuit.

5) Scalabilitate - Pe masura ce afacerea dvs. creste, si site-ul va creste odata cu ea. Daca intr-un an de zile pachetul de e-Commerce hosting va fi depasit de cerintele site-ului, atunci va trebui sa optati pentru altceva, asa ca mai bine va asigurati de la bun inceput ca pachetul pe care il achizitonati permite scalabilitatea resurselor.

Ca in orice afacere, faceti-va intotdeauna un plan si incercati sa priviti dincolo de pret. De asemenea, nu ezitati sa cereti si parerea unui expert IT inainte de a continua. Acest lucru v-ar putea ajuta sa economisiti timp si bani.

Autoritatile romane mai aresteaza o persoana suspecta ca ar fi patruns in servere NASA si ale Pentagonului

Luni, 30 ianuarie, autoritatile romane au arestat un barbat de 20 de ani din Timisoara, sub acuzatiile ca ar fi patruns in serverele NASA si ale Departamentului Apararii din SUA.

Manole Razvan Cernăianu a fost acuzat de accesare si transfer neautorizat de date dintr-un server privat si de provocarea unor intreruperi majore ale unui sistem informatic, a declarat Directia de Investigare a Infractiunilor de Criminalitate Organizată si Terorism (DIICOT).

Autoritatile sustin ca Cernăianu a accesat mai multe proprietăti online ale guvernului american, inclusiv un server NASA si un site al Pentagonului. De asemena, suspectul a copiat informatii confidentiale de pe aceste sisteme si le-a publicat pe blogul sau personal.

Mediafax citeaza din surse anonime cum ca Cernăianu, student la Automatica, este considerat a fi hackerul cunoscut online ca TinKode.

De-a lungul ultimilor ani, TinKode a expus in mod repetat bresele de securitate ale unor site-uri cu profil inalt, inclusiv cele care apartin armatei americane, NASA, Marinei Regale a Marii Britanii, Agentiei Spatiale Europene, MySQL si Google.

De cele mai multe ori, TinKode a dezvaluit toate vulnerabilitatile gasite. El nu a notifica in prealabil partile afectate ci doar a inclus in declaratiile sale publice mostre ale informatiilor stocate pe serverele vulnerabile. Cu toate acestea, el a raportat vulnerabilitatile intr-un mod responsabil, fapt care i-a castigat un loc in Google's Security Hall of Fame.

TinKode a declarat in trecut nu au fost niciodată rau intentionat, dar autoritătile sustin că actiunile sale au provocat daune semnificative serverelor vizate.

Dacă va fi găsit vinovat, Cernăianu ar deveni al treilea hacker roman condamnat de intruziune in serverele NASA. Robert Butyka, 26 de ani, din Cluj-Napoca, cunoscut online sub numele de Iceman, si Victor Faur, 28 de ani, din Arad, cunoscut online sub numele de SirVic, au primit pedepse cu inchisoarea, cu suspendare, pentru actiuni similare.

A fost lansat Firefox 10

La 6 saptamani dupa lansarea Firefox 9, Mozilla a lansat urmatoarea versiune a renumitului sau browser open source.

Desi software-ul vine cu o serie de imbunatatiri pentru utilizatori si dezvoltatori, cel mai notabil este faptul ca in aceasta versiune este introdus programul pentru afaceri, Extended Support Release (ESR), la care Mozilla a lucrat impreuna cu filiala sa, Enterprise User Working Group, pe care a reinfiintat-o vara trecuta.

Versiunile programului ESR vor fi lansate la intervale mai mari de timp decat versiunile standard de Firefox, sunt in asa fel incat sa aiba timp sa raspunda cerintelor corporatiilor care trebuie sa instaleze si sa testeze o versiune noua de browser la fiecare 6 saptamani (intervalul la care se lanseaza o noua versiune a browserului Firefox).

Acum, incepand cu Firefox 10, ESR nu va mai fi actualizat timp de 42 de saptamani, sau la fiecare a saptea lansare a unei versiuni noi a browserului Firefox, oferind utilizatorilor business un timp mai indelungat pentru a se obisnui cu noua optiune. Astfel, conform planului de lansare la fiecare 42 de saptamani, urmatoarea versiune ESR ar trebui sa apara odata cu lansarea Firefox 17 din noiembrie.

O alta premiera in editia Firefox 10 este dezactivarea automata a add-on-urilor incompatibile si marcarea celorlalte ca fiind compatibile. Aceasta este parte a procesului de actualizare silentioasa implementata browserului de la Mozilla.

Firefox 10 a fost lansat ieri, 31 ianuarie si este de asemenea disponibil in versiunile pentru Windows, Linux si Mac.