Articole

Sumitul OWASP, securitate globală

Open Web Application Security Project (OWASP) a anunţat astăzi rezultatele sumitului OWASP din 2011. Peste 180 de experţi în securitate din peste 120 de companii si 30 de ţări diferite şi-au unit forţele pentru a planifica, a construi, şi a livra programe pentru îmbunătăţirea securităţii aplicaţiilor software din întreaga lume. Summit-ul a fost un pas semnificativ în direcţia misiunii pe care şi-a propus-o OWASP, de a se asigura că toate tipurile de organizaţii sunt pregătite pentru a construi, selecta şi folosi aplicatii software mai sigure.

OWASP a avansat zeci de iniţiative concrete pentru a aduce o securitate suplimentară la nivelul cerinţelor guvernelor, instituţiilor de învăţământ, furnizorilor de servicii web, organismelor de standardizare, echipelor de dezvoltare de software şi vânzătorilor de platforme mobile. Delegaţii s-au adunat în apropiere de Lisabona, în Portugalia, pentru o săptămână de sesiuni interactive de lucru şi discuţii. Summit-urile OWASP sunt foarte diferite de conferinţele cu prezentări statice. Aici sesiunile de lucru sunt folosite pentru dezvoltarea unor idei, pentru a crea software, proiecte de standarde, şi pentru a cultiva relaţii de durată.

Dintre cele mai importante rezultate ale întâlnirii din 2011 ale OWASP Summit trebuie menţionate:

  • parteneriat OWASP-Portugalia  – OWASP urmează să stabilească relaţii cu diferite guverne din întreaga lume, începând cu Grecia Statele Unite ale Americii, Brazilia, Portugalia. La Summit, reprezentanţii OWASP a lucrat direct cu înalţi funcţionari din industria IT portugheză pentru a stabili un protocol de lucru cu Portugalia pentru a îmbunătăţi capacităţile lor de aplicare a tehnicilor de securitate.
  • OWASP Outreach – la instituţiile de învăţământ – Implicarea studenţilor este o ocazie unică de a ajunge la dezvoltatori devreme în procesul de dezvoltare al acestora. La Summit, delegaţii au elaborat un Cod de conduită pentru OWASP adesat instituţiilor de învăţământ, a creat un plan detaliat pentru OWASP la capitolele Student şi dezvoltarea continuă a OWASP printr-un Portal pentru „Academii” cu studii extinse şi materiale de instruire.
  • OWASP Industry Outreach – OWASP a decis să îşi dezvolte industria prin sesiuni de lucru care vor avea loc la conferinţe majore OWASP începând cu OWASP UE 2011 în Dublin, Irlanda. Obiectivul acestor sesiuni va fi de a solicita feedback de la jucătorii mari din industrie pentru a ajuta la o mai bună contrare a eforturilor OWASP şi a se asigura că rezultatele OWASP sunt relevante pentru preocupările industriei.

Printre alte iniţiative mai merită menţionate:

  • OWASP Browser Security Project
  • OWASP-Apache Partnership
  • OWASP Mobile Security Initiative
  • OWASP Governance Expansion
  • International Focus
  • Application Security Programs
  • Application Security Certification

Despre OWASP:

Open Web Application Security Project (OWASP) este o comunitate răspândită în întreaga lume liberă, deschisă şi dedicată îmbunătăţirii securităţii la nivel mondial pentru software-ul de tip aplicaţie. Misiunea OWASP este de a creşte vizibilitatea aplicaţiilor de securitate, astfel încât oamenii şi organizaţiile să poată face decizii informate cu privire la riscurile de securitate. Oricine este liber săparticipe la OWASP şi toate materialele sunt disponibile sub o licenţă pentru software liber şi deschis. Aflaţi mai multe la www.owasp.org.

Google introduce autentificarea în doi paşi pentru GMail

Google a anunţat azi introducerea oficială a autentificării în doi paşi (two-factor authentication). Conceptul de autentificare multiplă nu e un lucru nou în domeniul securităţii informatice, fiind o practică foarte întâlnită la nivelul produselor de online banking, ca prim exemplu familiar tuturor.

Despre ce este vorba? Conceptul se referă la utilizarea unui factor suplimentar de autentificare pe lângă tradiţionala parolă. Autentificarea two-factor (în doi paşi) se bazează pe furnizarea a mai mult decât o informaţie pe care o cunoşti, fiind nevoie şi de un factor suplimentar de autentificare. Cei mai simpli factori adiţionali sunt cei care depind de ceea ce eşti (amprentă, scanare a retinei etc) şi de ceea ce deţii. Dacă utilizarea factorului „ce eşti” (cunoscut sub denumirea generică de autentificare biometrică) este ceva mai complicată când vine vorba de accesarea conţinutului online, factorul „ce deţin” este mai uşor de implementat.

Cred că vă gândiţi deja la micile device-uri pe care le aveţi în buzunar şi cu care obţineţi un token pe care apoi îl folosiţi pentru a vă autentifica în contul vostru de online banking (pentru toate băncile care se respectă, desigur).

Practic, folosind un lucru pe care îl cunoşti (parola) şi un lucru pe care îl deţii (generatorul de token), aţi obţinut o autentificare care depinde de doi factori (cu denumirea acceptabilă: în doi paşi).

Ne putem întoarce acum la google. Conturile de GMail au (în curând penru România, fiindcă în acest moment contul meu are linkul, dar e cu „available soon”) această nouă facilitate. Practic, după ce te-ai autentificat cu parola deja setată, Google îţi permite să ceri să fi autentificat şi cu al doilea factor, care depinde, în cazul Google, de a avea acces la propriul telefon, folosind în acest caz pe post de token generator. Cele mai simple variante de a genera acest token sunt telefoanele moderne: Android, iPhone, etc… dar şi dacă nu aveţi decât un Nokia 5110 puteţi totuşi să folosiţi sistemul prin facilitatea de SMS. Google vă va trimite deci un sms pe telefon în care vi se va comunica codul suplimentar (tokenul) pe care trebuie să îl introduceţi pentru a finaliza autentificarea.

Rămâne de văzut când va activa Google acest feature pentru toate conturile de Gmail (şi important pentru unii, pentru conturile de Google Apps) şi dacă această facilitate va include trimiterea de sms-uri şi în România, dar eu sunt destul de optimist, mai ales că atât în anunţul oficial, apărut azi, cât şi pe blogul lui Matt Cutts, de la Google, nu sunt menţionate restricţii semnificative, geometrice sau de timp.

Odată disponibilă această opţiune, în special dacă deţineţi un telefon modern care suportă această facilitate, vă recomand cu căldură să folosiţi această opţiune pentru a creşte siguranţa contului personal de GMail. În ciuda denumirii, de 2-factor-authentication, apreciez că securitatea contului creşte cu un factor de minim 10, fiindcă pentru a obţine acces la contul vostru, un alt utilizator va avea nevoie să cunoască parola curentă şi să aibă acces la telefonul înregistrat la GMail. Oricare din factori disponibil separat este complet inutil pentru a obţine acces la cont.

Viruşii i-au lovit cel mai tare pe Bulgari în 2010

Aproape o treime din utilizatorii din EU au fost victima unui virus în 2010, sau cel puţin asta arată biroul de statistică al uniunii în raportul Eurostat, publicat la 7 februarie şi citat de South Eastern Europe Times.

Raportul arată că 31% din internauţii din blocul celor 27 de ţări din EU au avut de-a face oficial cu viruşii în 2010. Cea mai mare rată este în Bulgaria, cu 58%, alte ţări cu incidente numeroase fiind Malta (50%), Slovacia (47%), Ungaria (46%) şi Italia (45%).

Cele mai mici procente de incidente în care au fost implicaţi viruşi, troieni sau alte tipuri de malware s-au înregistrat în Austria (14%) şi Irlanda (15%). Eurostat atrage atenţia totuşi că numărul real ar putea fi mai mare, fiindcă raportul îi include statistic doar pe cei care au şi realizat că au fost afectaţi.

România apare în statistică pe la mijloc în rândul ţărilor în care este folosit un program antivirus pentru protecţia calculatorului, cu 64%, deşi ne întrebăm dacă cifrele se bazează pe vânzările raportate de companiile care comercializează soluţii antivirus, fiindcă în acest caz procentul real este probabil mult mai mare.

Astaro preia compania românească de securitate CoSoSys

Astaro, o companie europeană de Management Unificat al Riscurilor Informatice (Unified Threat Management (UTM)) a cumpărat compania românească CoSoSys şi pe cea Daneză InspektOnline.  CoSoSys oferă soluţii de protecţie de date pentru echipamente mobile, atât pentru platforme PC cât şi Mac, iar InspektOnline oferă soluţii de log management prin intermediul unei soluţii găzduite (hosted service).

Compania ASARO a raportat o creştere de peste 30% în 2010, din care 50% aferente trimestrului 4 din 2010, crescând în acelaşi timp numărul de angajaţi la 215. Compania mai deţine Astaro RED şi Astaro Wireless Security — ambele subsidiare sub soluţia principală de UTM, Astaro Security Gateway şi Astaro Mail Archiving, prima soluţie de găzduire de la Astaro’s.

Jan Hichert, CEO la Astaro a declarat: „Datorită ritmului economic lent multe companii de tehnologie au decis să reducă eforturile de cercetare, dezvoltare şi inovare în 2009. Noi am decis abordarea opusă, iar rezultatele sunt 3 produse complet noi lansate în 2010. Atât Astaro RED cât şi Astaro Wireless Security au acoperit cerinţe urgente ale pieţei, iar Astaro Mail Archiving a deschis portofoliul nostru cu piaţa largă a serviciilor găzduite. Datorită acestor produse noi am reuşit să câştigăm o cotă de piaţă semnificativă şi am crescut mai repede decât piaţa, ceea ce ne ne va permite să investim în extinderea suplimentară a portofoliului nostru de produse.”

Armin Nistor a scris despre una din soluţiile CoSoSys pe blogul lui.