Сказка Барби ? Что в подарках? сюрпризы ? сказка с куклами, одеждой
På Black Hat datasäkerhetskonferens i Las Vegas nästa vecka kommer forskare att visa programvara som de har utvecklat som kan stjäla online-uppgifter från användare av populära webbplatser som Facebook, eBay och Google.
Anfallet bygger på en ny typ av hybridfil som ser ut som olika saker för olika program. Genom att placera dessa filer på webbplatser som tillåter användare att ladda upp egna bilder kan forskarna kringgå säkerhetssystem och ta över kontona för webbsurfare som använder dessa webbplatser.
"Vi har kunnat komma med en Java applet som för alla ändamål är en bild ", säger John Heasman, vice vd för forskning vid NGS Software.
De kallar den här typen av filer en GIFAR, en sammandragning av GIF (grafikutbytesformat) och JAR (Java Archive), de två filtyperna som är blandade. På Black Hat kommer forskarna att visa deltagare hur man skapar GIFAR samtidigt som man slipper några viktiga detaljer för att förhindra att den används omedelbart i någon utbredd attack.
Filen ser ut exakt som en.gif-fil, En webbläsares Java-virtuella maskin öppnar den som en Java-arkivfil och kör den som en applet. Det ger angriparen möjlighet att köra Java-kod i offrets webbläsare. I sin del behandlar webbläsaren denna skadliga applet som om den skrevs av webbplatsens utvecklare.
Så här skulle en attack fungera: De dåliga killarna skulle skapa en profil på en av dessa populära webbplatser - Facebook till exempel - och ladda upp deras GIFAR som en bild på webbplatsen. Då skulle de lura offeret för att besöka en skadlig webbplats, vilket skulle säga att offrets webbläsare skulle öppna GIFAR. På den tiden skulle appleten springa i webbläsaren, vilket ger de dåliga killarna tillgång till offrets Facebook-konto.
Angreppet kan fungera på en webbplats som tillåter användare att ladda upp filer, eventuellt även på webbplatser som används för att ladda upp bankkort foton eller till och med Amazon.com, säger de.
Eftersom GIFAR öppnas av Java kan de öppnas i många typer av webbläsare.
Det finns dock en fångst. Offret måste vara inloggad på den webbplats som är värd för bilden för angreppet på jobbet. "Attacken kommer att fungera bäst vart du lämnar dig inloggad under långa perioder", säger Heasman.
Det finns ett par sätt att GIFAR-attacken skulle kunna misshandlas. Webbplatser kunde sätta upp sina filtreringsverktyg så att de kunde fånga upp hybridfilerna. Alternativt kan Sun strama upp Java runtime miljö för att förhindra att detta händer. Forskarna förväntar sig att Sun ska komma till rätta inte långt efter Black Hat-pratningen. Men forskare säger att medan en Java-fix kan inaktivera den här angreppsvektorn är problemet med skadligt innehåll som läggs på legitima webbapplikationer mycket större och thornier problem. "Det kommer att finnas andra sätt att göra detta med annan teknik", säger GIFAR-utvecklaren Nathan McFeters, en forskare med Ernst & Youngs avancerade säkerhetscenter.
"På sikt måste webbapplikationer ta kontroll över innehållet, säger McFeters. "Det är ett problem med webapplikationen. Den Java-attack som vi använder för närvarande är bara en vektor."
Han och hans andra Black Hat-presentatörer har berättat att de pratar Internet är brutna.
I slutändan kommer webbläsare att ha att göra några grundläggande förändringar i deras programvara, säger Jeremiah Grossman, chefstekniker med White Hat Security. "Det är inte så att Internet är trasigt," sa han. "Det är att webbläsarsäkerheten är trasig. Browsersäkerhet är verkligen en oxymoron."
En tidigare IT-personal med Bank of New York Mellon påtalade sig skyldig torsdag för att stjäla känslig information som tillhör 2.000 bankanställda och sedan använda dessa data för att stjäla mer än 1 miljon dollar från välgörenhetsorganisationer. > Adeniyi Adeyemi, 27, hade arbetat som kontraktstekniker på bankens huvudkontor i Manhattan och uppgifterna han stavat stal tillhörde i första hand medarbetare i bankens IT-avdelning. Han åtalade sig skyldig mot stöld, penningtvätt och dator tampering
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]
Det finns ett gammalt ordspråk att bygga en ny dator eller uppgradera en gammal: "Använd rätt verktyg för rätt jobb." Visst kan du använda ett smör kniv för att lossa en skruv eller ett tang för att dra åt ett moderkort, men det gör inte jobbet något jämnare, och man kan satsa på att det kan göra någon skada. Att använda rätt verktyg för ett visst jobb gör jobbet enklare och det förbättrar vanligtvis den slutliga kvaliteten på den färdiga produkten.
Varje systembyggare behöver ett antal verktyg för att slutföra alla PC-byggnader eller uppgradera med effektiviteten och precisionen hos en kirurg. Några av verktygen kommer att vara uppenbara, andra mindre.
ÄVen om ditt jobb inte har något att göra med grafisk design, är chansen att du fortfarande måste producera enstaka diagram. Om du är uppmanad att skapa ett nätverksschema, ett flödesschema, ett gränssnittsmockup eller ett org-diagram, är Gliffy ett onlineverktyg som försöker göra processen så enkelt som möjligt. Det är inte specialiserat på någon typ av diagram, men det rika biblioteket med glyphs och ett brett urval av startmallar gör det enkelt att skapa nästan alla tvådimensionella diagram.
Gliffy låter dig komma till affärer utan att öppna ett konto . Skapa ditt diagram först, oroa dig för att spara det senare. Det första du ser när du börjar arbeta i Flash-gränssnittet är en stor dialogruta som bjuder in dig att välja en mall. Dessa är indelade i nio kategorier, som spänner mellan spalten från webbdesign och Venn-diagram till flödesschema och UML (Universal Modeling Language, som används i programmering).