The Doppler Effect: what does motion do to waves?
תוכן עניינים:
- פחות מזמין לאקרים
- "מבחינה טכנית אני מוצא זה מאוד מעניין שהם יוצרים הצופה PDF כי מנצל את היכולות הקיימות של הדפדפן ", אמר קרסטן Eiram, מנהל המחקר הראשי בחברת הייעוץ אבטחה הסיכון מבוסס אבטחה, באמצעות הדוא"ל. "מכיוון שדפדפנים מתקדמים כעת עם תמיכת HTML5 ו- JavaScript שהם יכולים למעשה לנתח קובצי PDF, זה יכול להפוך את הצופה PDF נפרד חסר טעם עבור רוב המשתמשים, אשר רק צריך בסיסי יכולות הצפייה PDF."
רכיב הצופה המובנה ב- PDF, המבוסס על טכנולוגיות JavaScript ו- HTML5 אינטרנט, נוסף לגרסת הבטא של פיירפוקס 19, אמרה מוזילה ביום שישי.
יצרנית הדפדפן תיארה את מציג ה- PDF המובנה כבטוחה ובטוחה יותר מקובצי PDF של צפייה קניינית, כמו אלה שהותקנו על ידי Adobe Reader או Foxit Reader. עם זאת, כמה מומחי אבטחה ציינו כי זה כנראה לא יהיה ללא פגיעות.
"במשך מספר שנים יש כמה תוספים לצפייה במסמכי PDF בתוך פיירפוקס", אמר מנהל הנדסה מוזילה, ביל ווקר, מהנדס תוכנה מוזילה, ברנדן דאהל יום שישי בבלוג. "רבים מהתוספים האלה מגיעים עם קוד מקור סגור סגור שיכול לחשוף את המשתמשים לפגיעויות אבטחה, ותוספות לצפייה ב- PDF גם מגיעות עם קוד נוסף לעשות הרבה דברים ש- Firefox כבר עושה טוב ללא קוד קנייני, כגון ציור תמונות וטקסט".
הצופה המובנה ב- PDF הנבדק כעת נובע מפרויקט מעבדות של Mozilla בשם PDF.js. "הפרויקט של PDF.js מראה בבירור כי HTML5 ו- JavaScript הם כעת חזקים מספיק כדי ליצור יישומים שיכלו בעבר ליצור רק יישומים מקומיים", אמרו מהנדסי התוכנה של מוזילה. "לא רק שמרבית קובצי ה- PDF נטענים ומתרבים במהירות, הם פועלים בצורה מאובטחת ויש להם ממשק שמרגיש בבית בדפדפן".
מכיוון שהמשתמש משתמש בממשקי HTML5 סטנדרטיים (ממשקי תכנות יישומים), הוא יכול לפעול גם בדפדפנים שונים על פלטפורמות שונות, כמו טבליות וטלפונים ניידים. הדגמה חיה של הצופה רץ כיישום אינטרנט זמין באתר PDF.js.
"הצופה Powered.ps Powered ב - Firefox Beta הוא הצעד הראשון זה הופך להיות תכונה משולבת במלואה בתוך גירסת ההפצה של Firefox כך שהיתרונות שלה יכולים ליהנות מכל משתמשי פיירפוקס ", אמר מהנדסי התוכנה של מוזילה.
Mozilla לא הבהירה אם הצופה הזה ישמש כברירת מחדל גם במקרים שבהם מותקן תצוגת PDF של צד שלישי. החברה לא הגיבה מיד לבקשת תגובה.
פחות מזמין לאקרים
מומחי אבטחה סבורים כי הצופה המובנה ב- PDF יספק אבטחה רבה יותר למשתמשים, אך לא בהכרח משום שהוא לא יהיה נוטה פגיעות כמו צד שלישי הצופה PDF תוספות הם.
יישום כזה עשוי לספק אבטחה רבה יותר למשתמש הקצה כי בסיס המשתמש שלה יהיה קטן יותר בהשוואה לזה של Adobe Reader ו cybercriminals ימשיכו להתמקד בניצול הפופולרי ביותר, אמר סטפן טנאס, חוקר אבטחה בכיר במכון האנטי-וירוס, קספרסקי, בדוא"ל. "בעוד אני מתרגש לראות את פיירפוקס נותן מחשבה נוספת לאבטחת המשתמשים שלה, מה שמדאיג אותי הוא שגם הטכנולוגיות שעליהן מבוססת PDF.js יכולות להיות חשופות".
Tanase הצביע על כך שפגיעויות בדפדפן JavaScript מנוע טיוח הם לא נדיר. כדוגמה, הוא הצביע על CVE-2013-0750, פגיעות של ביצוע קוד מרחוק שנקבעה ב- Firefox 18 לפני מספר ימים. הפגיעות נובעת מבאג באופן שבו הדפדפן מחשב את האורך עבור שרשור מחרוזת ב- JavaScript.
פגיעות זו אינה יוצאת דופן, אלא הכלל, אמר Tanase. "דומים מתגלים מדי שנה, בעיקר בכל גירסת מוצר, וניתן להשתמש בהם על-ידי התוקפים כדי להפעיל קוד ולהתקין תוכנה, ללא צורך באינטראקציה של המשתמש מעבר לגלישה רגילה."
רכיב הצופה ב- PDF יכול להיות מאובטח יותר משליש - חלק מהתוספים אם זה כתוב לחלוטין ב- JavaScript / HTML5, תומאס קריסטנסן, קצין האבטחה הראשי של חברת המודיעין סיקוניה,"עם זאת, אין זה אומר שזה לא נוטה לפגיעויות, הוא אומר. "אם פונקציונליות חדשה נוספה לדפדפן או שקורא PDF הופך להיות חסוי בדפדפן, הוא עלול להיות פגיע ולהיות וקטור חדש לניצול פגיעויות אלה בדפדפן."
"מבחינה טכנית אני מוצא זה מאוד מעניין שהם יוצרים הצופה PDF כי מנצל את היכולות הקיימות של הדפדפן ", אמר קרסטן Eiram, מנהל המחקר הראשי בחברת הייעוץ אבטחה הסיכון מבוסס אבטחה, באמצעות הדוא"ל. "מכיוון שדפדפנים מתקדמים כעת עם תמיכת HTML5 ו- JavaScript שהם יכולים למעשה לנתח קובצי PDF, זה יכול להפוך את הצופה PDF נפרד חסר טעם עבור רוב המשתמשים, אשר רק צריך בסיסי יכולות הצפייה PDF."
באופן כללי, פחות קוד יש על מערכת, פחות חשופים זה להתקפות פוטנציאליות, אמר Eiram. באמצעות רכיב זה המובנה PDF הצופה במקום להתקין נפרד יישום קורא PDF, כי לעתים קרובות כולל תכונות משתמשים רבים לא באמת צריך וזה יכול להיות פגיע, מפחית את שטח ההתקפה הכולל של המערכת, הוא אמר.
Tanase גם מסכים עם תיאוריה זו. "יש יתרון ברור לשימוש באותו מנוע טיוח עבור שני דפי אינטרנט ו- PDF אשר צריך להיות הצביע: בסיס הקוד הוא קטן יותר, ולכן משטח ההתקפה ואת הסיכון הפוטנציאלי הוא הוריד", אמר.
Eiram סבור כי זה יגיע עד כמה מוצק את יישומי JavaScript ו- HTML5 בדפדפן. "הייתי מצפה שכל פגיעות ביישומים אלה תשפיע גם על הצופה ב- PDF", הוא אומר. למרבה המזל, אם פגיעות כזו נמצאה, העבודה של תיקונם נופלת לספק הדפדפן. לקובעי הדפדפנים, ובמיוחד למוזילה ול- Google, יש רקורד טוב מאוד של ניהול פגיעויות, ומבחינה היסטורית היו להם מנגנונים מעדכנים יותר מאשר ספקי צד שלישי, אמר טנאז.
דוח: הכנופיה הרוסית מקושרים סיטיבנק הגדול <<9> ה- FBI הוא בודק את גניבת של עשרות מיליוני דולרים של סיטינק על ידי האקרים מקושרים אל כנופיית רוסים, אמר ה"וול סטריט ג'ורנל " הרשויות חוקרות את גניבתם של עשרות מיליוני דולרים מסיטיבנק על ידי האקרים באמצעות תוכנה רוסית המותאמת לפיגועים, על פי דיווח חדשותי.
הפרת האבטחה בבנק המרכזי בארה"ב זוהתה באמצע השנה על סמך על פי נתוני האינטרנט, שהשתמשו בעבר בכנופיה של רשת העסקים הרוסית, כך דווח בוול סטריט ג'ורנל. רשת העסקים הרוסית היא קבוצה ידועה המקושרת לתוכנות זדוניות, פריצה, פורנוגרפיה של ילדים ודואר זבל. על פי הדו"ח, לא היה ידוע אם הכסף כבר התאושש ונציג סיטיבנק אמר כי לחברה לא היתה שום הפרה של המערכת או הפסדים. > [לקריאה נוספת: כיצד להסיר תוכנות זדוניות מהמחשב של Windows]
האקרים של Savviest הגיעו ממזרח אירופה, אומרים החוקרים. למרות מספר גדל והולך של התקפות סייבר מוצלחות שהושקו על ידי האקרים במזרח אסיה נגד חברות ומוסדות ממשלתיים ברחבי בעולם, בשנים האחרונות, הפושעים הקיברנטיים במזרח אירופה מהווים איום מתוחכם יותר על האינטרנט הגלובלי, על אף שמספר גדל והולך של התקפות סייבר מוצלחות שהושקו על ידי האקרים במזרח אסיה נגד חברות ומוסדות ממשלתיים ברחבי העולם בשנים האחרונות, במזרח "בעוד האקרים ממזרח אסיה שולטים בכותרות הקשורות לסייבר-סיסטמס ברחבי העולם, עם חדירת פרופיל ג
מזרח אירופים הם "בעלי מלאכה" כשמדובר בפיתוח תוכנות זדוניות, טוען קלרמן. "תוכנות זדוניות במזרח אירופה כל כך מעוצבות באלגנטיות, כינו את" ביצת פברז '"של עולם התוכנה הזדונית", הוא אמר.
מחברת תוכנות זדוניות פיננסיות מנסה להתחמק ממערכות אבטחה בנקאיות מקוונות על ידי חזרה לטכניקות גניבה מסורתיות יותר של דיוג, לפי חוקרי חברת האבטחה Trusteer. תוכניות בשימוש על ידי cybercriminals היום מסוגלים לחבל בזמן אמת עם הבנקאות המקוונת הפעלות ביוזמת הקורבנות על המחשבים שלהם. זה כולל את היכולת לבצע עסקאות הונאה ברקע ולהסתיר אותם מהמשתמש על ידי שינוי יתרת החשבון והיסטוריית העסקאות בתצוגה בדפדפן שלהם.
כתוצאה מכך, הבנקים החלו לפרוס מערכות כדי לפקח על האופן שבו לקוחות מקיימים אינטראקציה עם אתרי האינטרנט שלהם וזיהוי חריגות שעשויות להצביע על פעילות של תוכנות זדוניות. עם זאת, נראה כי כמה יוצרי תוכנות זדוניות חוזרים טכניקות מסורתיות יותר, כי כרוך לגנוב אישורים ולהשתמש בהם ממחשב אחר כדי להימנע מלהיות מזוהה. [