Kövess minket!

Tech

4 kockázat, ami az ön alkalmazásait is fenyegetheti

Az alkalmazások 79 százaléka tartalmaz veszélyes sebezhetőséget, ezért a sérülékenységek vizsgálata és javítása különös gondot igényel, hiszen a legapróbb hiba is komoly kibertámadások előtt tárhatja ki a kapukat.

A Micro Focus elemzése szerint az alkalmazások közel négyötöde tartalmaz legalább egy kritikus vagy súlyos sebezhetőséget. Az ilyen sérülékenységek komoly veszélyt jelenthetnek, hiszen a kiberbűnözők kihasználhatják a biztonsági réseket, és ezeken keresztül megtámadhatják a hibás szoftvereket használó szervezetek rendszereit. Fontos tehát, hogy a vállalatok mindent megtegyenek azért, hogy kiküszöböljék ezeket a problémákat, és minimalizálják a kockázatokat. A Micro Focus szakértői összegyűjtötték a leggyakoribb kockázatokat és nehézségeket, amelyek felmerülhetnek az alkalmazások biztonsága kapcsán – áll közleményben.

Végtelen védtelenség

Gyakran előfordul, hogy hosszabb időbe telik, mire elkészül a hibajavítás a már felfedezett sérülékenységek orvoslására. Így az adott szoftvert használó szervezetek védtelenek maradnak még abban az esetben is, ha kiemelt figyelmet fordítanak arra, hogy naprakészen tartsák rendszereiket, és a már kiadott frissítéseket a lehető legrövidebb időn belül telepítsék.

A későn ébredők pluszköltségei

Minél tovább várnak egy probléma orvoslásával, annál több nehézséggel és költséggel jár a megoldása. Ez az élet számos területén jellemző, és nincs ez másképp az alkalmazások biztonsága terén sem: minél később jutnak el a sérülékenységek javításához a szoftverfejlesztési ciklusban, annál többe kerül a folyamat.

Értelemszerűen akkor a legegyszerűbb és legolcsóbb a biztonsági hibák korrigálása, ha arra még a követelmények és az architektúra kialakításánál kerül sor. Körülbelül ötször ekkora összeget igényel, ha a kódolás során javítják azokat, és tízszer nagyobbat, ha a komponensek tesztelésekor gondoskodnak a sérülékenységekről. A szám pedig akár a harmincszorosára is nőhet, ha a kiadásig várnak a sebezhetőségek kezelésével.

Ismétlődő hibák

Több fejlesztőcsapatnál előfordul, hogy ugyanazokat a hibákat követik el újra és újra. Tipikusan ilyen például az input validation hiba, amelynek során a szoftver nem ellenőrzi megfelelően a bevitt adatokat, ez pedig lehetőséget biztosít a támadók számára a rosszindulatú kódok bejuttatására.

A Micro Focus adatai alapján az ilyen jellegű sérülékenységek száma nem csökken. Az Application Security Research kutatás során 2015-ben a vizsgált alkalmazások 52 százalékában észleltek ilyen sebezhetőséget. 2016-ban ez a szám 44 százalék volt, majd 2017-ben újra visszaugrott 50 százalékra.

Előbb a fejlesztés, aztán a biztonság

Ha a biztonsági tesztelés nem része a DevOps folyamatoknak, akkor a hibák csak később derülnek ki, így azok javításáról is csupán később tudnak gondoskodni a szakemberek. A Micro Focus felmérése azt mutatta ki, hogy ezen a területen szerencsére javulás érzékelhető. Egyre több vállalatnál végeznek ugyanis automatizált biztonsági ellenőrzéseket a fejlesztés során, így időben kiadhatják a kódokat anélkül, hogy a sebesség a minőség rovására menne. 2016-ban a statikus alkalmazásbiztonsági tesztelés során feltárt hibáknak közel 30 százalékát javították 30 napon belül, míg ez a szám 2017-re már 87 százalékra nőtt.

A Micro Focus szakértői azt javasolják a vállalatok számára, hogy vértezzék fel fejlesztőiket a megfelelő eszközökkel, amelyek segítségével gyorsan és egyszerűen megtalálhatják és javíthatják a hibákat. A Fortify termékcsaláddal például a szoftverfejlesztési ciklus minden egyes lépésénél, automatizáltan tesztelhető az alkalmazások biztonsága. A helyben működtethető és felhőalapú változatban is elérhető megoldások révén proaktívan feltérképezhetők és orvosolhatók a sérülékenységek a fejlesztés és üzemeltetés során egyaránt.

Tech

Szokatlan módszerrel nyomoz a szivárogtatók után az Apple

Minden évben menetrendszerú, hogy különböző szivárogtatóktól kikerülnek az új iPhone-ok prototípusai, így sokszor már hónapokkal a megjelenés előtt tudjuk, hogy mire is lehet számítani.

Közzétéve:

A borítókép illusztráció, a forrása: Pixabay

Az Apple az utóbbi időben egyre keményebben igyekszik kezelni a szivárogtatókat, aminek most egy újabb példáját láthatjuk: egy kínai úriembernek ugyanis hivatalos felszólítást küldtek levélben.

A Motherboard nevű lap oknyomozói feltárták, hogy az ilyen jellegű prototípusok egy titokzatos kör által kerülnek ki a helyi Foxconn-üzemből, ahol az Apple készülékeinek jelentős részét gyártják.

Az egyelőre nem tiszta, hogy a szivárogtató(k) az Apple vagy a Foxconn alkalmazottai, de jellemzően a kicsempészett prototípusokat rendkívül drágán adják el olyan gyűjtőknek, akik hajlandóak ezért embertelen összegeket fizetni – írja az Origo.

Tovább olvasom

Tech

Az EU-nak nem elég átlátható a Google keresőmotorja

Az Európai Bizottság arra szólította fel hétfőn a Google-t, hogy az uniós jogszabályoknak megfelelően tegye átláthatóvá keresőprogramja működési elvét a keresési találatok sorrendjének meghatározása terén; különben az amerikai internetes szolgáltató szankciók bevezetésével nézhet szembe – tájékoztatott az uniós bizottság hétfőn.

Közzétéve:

A borítókép illusztráció, a forrása: Pixabay

Didier Reynders igazságügyi biztos közleményében hangsúlyozta: az európai fogyasztóknak tudniuk kell, hogy az internetes szolgáltató milyen szempontok alapján rangsorolja a keresőmotorja által kiadott keresési eredményeket, és azt, hogy az online fizetési műveletek befolyásolhatják-e a találati sorrendet.

Elmondta, az Európai Bizottság azt várja a Google-tól, hogy a keresőmotorja által közölt repülőjáratok és szállodák árai esetében a végleges, valóban kifizetni köteles összeget mutassa, és a találatok tartalmazzák az előre kiszámítható egyéb díjakat vagy adókat is.

A cégnek továbbá felül kell vizsgálnia a Google Store általános feltételeit, ugyanis “egyes esetekben a kereskedő és a fogyasztó között a jogok jelentős egyensúlyhiánya áll fenn az utóbbi kárára” – közölte a biztos. Hozzátette: a programnak kerülnie kell a területi alapú tartalomkorlátozást (geo-blocking) is. Ezenkívül, ha a fogyasztóvédelmi hatóságok a szabályokat sértő tartalomról számolnak be, a Google-nak gyorsabban kell reagálnia az észrevételre a jelzett tartalom azonnali eltávolításával vagy az azokhoz hozzáférés letiltásával.

“Az EU fogyasztóit nem szabad félrevezetni, akkor sem, ha keresőmotorokat használnak a nyaralásuk megtervezéséhez. A fogyasztóknak átlátható és elfogulatlan információk alapján kell tudni meghozniuk döntéseiket” – fogalmazott Reynders.

A Google-nak két hónap áll rendelkezésére, hogy választ adjon az Európai Bizottságnak, amelyben ismerteti, milyen változásokat kíván tenni a keresési találatok átláthatóvá tételére.

Ha a Google kötelezettségvállalásait a brüsszeli testület nem tartja elégségesnek, párbeszéd kezdődik a felek között. Eredménytelensége esetén a nemzeti hatóságok szankciók bevezetéséről dönthetnek – tette hozzá az uniós biztos.

Tovább olvasom

Tech

A kormányzati feljelentés a konzultációs oldalt ért támadás miatt

A kormány büntető feljelentést tesz a konzultációs oldalt ért informatikai támadás miatt – olvasható a kormany.hu oldalon hétfő este közzétett hírben.

Közzétéve:

A borítókép illusztráció, a forrása: Pixabay

A kormányzati szervek azt észlelték, hogy informatikai támadást indítottak a konzultáció hivatalos internetes oldala ellen, tömeges kitöltéssel próbálkoznak az elkövetők.

A kormányzati szervek megteszik a szükséges lépéseket, beleértve a büntető feljelentést is. A korábbi konzultációs honlapot ért támadás ügyében azóta vádemelésre is sor került.

Elfogadhatatlannak tartjuk, hogy egyes szereplők különböző módszerekkel próbálják ellehetetleníteni a járvány utáni életről szóló párbeszédet.

A minimálbér-emelés, a családi adóvisszatérítés, a hitelmoratórium vagy a gyermekek védelmének kérdése magyarok millióinak életét érintik, ezért is biztatunk mindenkit arra, hogy mondja el véleményét – olvasható a kormányzati portálon.

Tovább olvasom