Apple 81 miliardów dolarów, Microsoft 54, Google 43, Cisco 42, tyle pieniędzy amerykańscy giganci ery informatycznej trzymają na swoich kontach bankowych poza granicami USA. I co gorsza firmy te nie wiedzą co zrobić z tym olbrzymim majątkiem. Domagają się od rządu Stanów Zjednoczonych zmienienia sposobu naliczania podatków, które zmuszają je do wywożenia kapitału za granicę.
Popularność smartfonów i współpraca wewnątrz branży wpłynie na rozwój mobilnych usług finansowych, a w ciągu następnych sześciu lat w Europie liczba użytkowników mobilnej bankowości wzrośnie czterokrotnie – podaje tygodnik Computerworld za biurem Frost&Sulivan.
Poważna luka bezpieczeństwa usług terminalowych Windows umożliwia podpisanie dowolnej aplikacji. Stwarza to zagrożenia o nieznanej dotąd skali. W środowiskach korporacyjnych często korzysta się z usług terminalowych w środowisku serwerowym Microsoft Windows. W ten sposób można łatwo udostępnić wiele aplikacji biznesowych przez WAN lub w sieci lokalnej.
Aby uruchomić środowisko terminalowe do celów udostępniania aplikacji, na serwerze musi być zainstalowany mechanizm, który kontroluje licencjonowanie korzystania z usług terminalowych. W oprogramowaniu kontrolującym licencje tkwił bardzo poważny błąd, który umożliwiał cyfrowe podpisanie praktycznie dowolnego oprogramowania. Podpisany w ten sposób program był rozpoznawany przez system Windows jako zaufane oprogramowanie Microsoftu. Niekiedy mógł on być zainstalowany także za pomocą mechanizmów Windows Update.
Microsoft razem z systemem Windows 2000 Server wprowadził mechanizm zarządzania licencjami terminalowymi, korzystający z oprogramowania serwera licencji terminalowych oraz protokołu MS-RDPELE. Do zarządzania licencjami wykorzystuje się mechanizm certyfikatów wystawianych przez specjalne programy nazywane urzędami certyfikacyjnymi (CA - Certificate Authority). Najważniejszy jest Microsoft CA, którego certyfikaty są uznawane za zaufane w systemie Windows. Składnik systemu Windows określany jako "Licencjonowanie usług terminalowych" lub "License server" jest de facto lokalnym urzędem certyfikacji, podrzędnym do CA Microsoftu, określanego jako Microsoft Issuing CA.
Wydawane przez lokalne CA w firmach certyfikaty X.509 są właśnie licencjami terminalowymi. Powiązanie ich z CA Microsoftu odbywa się w procesie aktywacji serwera licencji usług terminalowych. Po aktywacji certyfikat staje się częścią głównej ścieżki zaufania Microsoft Root Authority. Certyfikat ten jest w pełni zaufany i ufa mu cały system operacyjny.
Specjaliści uważają, że koncepcja ta nie była zła. Technologia związana z urzędami certyfikacji i krótkotrwałymi certyfikatami jest dobrze znana i wykorzystywana w wielu systemach. Niemniej sposób realizacji, polegający na umieszczeniu serwera licencji w łańcuchu zaufania, przechowywaniu certyfikatów w oprogramowaniu bez stosownych zabezpieczeń (DPAPI, czyli interfejs programistyczny umożliwiający bezpieczne szyfrowanie oraz odszyfrowanie danych, jest zbyt słabe) i możliwość podpisania plików z dowolną nazwą (w tym Microsoftu) sprawiają, że mamy do czynienia z podatnością systemów Windows o nieznanej dotąd skali.
"Problem polega na tym, że certyfikat wystawiony na potrzeby licencjonowania usług terminalowych ma możliwość podpisywania aplikacji, co nie powinno występować. Oznacza to, że wykorzystując certyfikat, dowolny plik można podpisać w taki sposób, że wygląda on, jakby został stworzony przez firmę Microsoft. Plik ten będzie traktowany jako zaufany w systemie Windows" - mówi Maciej Iwanicki, konsultant w firmie Symantec Poland.
W przypadku tak poważnej podatności należy brać pod uwagę możliwość przejęcia kontroli nad dowolnym systemem Windows. Narzędzie do certyfikacji umożliwiło utworzenie plików wykonywalnych, które będą traktowane jako zaufane przez sam system operacyjny. Ofiarą może paść także wiele aplikacji innych firm, ufających plikom podpisanym cyfrowo przez Microsoft.
Wiadomo już, że z tej metody korzystali nie tylko hakerzy. Podrabianych podpisów cyfrowych używali także cyberprzestępcy do ukrytych ataków za pomocą złośliwego oprogramowania. Mechanizm wykorzystali także twórcy wirusa Flame, który uderzył w irańskie instalacje naftowe. Maciej Iwanicki wyjaśnia: "Złośliwe oprogramowanie Flame wykorzystało tę lukę, by podpisywać stworzone przez siebie kolejne warianty kodu. Tak utworzony plik będzie wyglądał tak, jakby został utworzony przez firmę Microsoft i, de facto, będzie traktowany jako zaufany przez cały system operacyjny. Wykorzystanie tej podatności umożliwiło również podszycie się Flame’a pod usługi aktualizacyjne Windows Update".
Wśród mężczyzn jest znacznie więcej "gadżeciarzy" niż wśród kobiet. Nowe kategorie urządzeń na początku są przyjmowane znacznie szybciej przez mężczyzn niż kobiety. Prezentowane wyniki pochodzą z badania na próbie 14 255 internautów w wieku 18-64 lat, wykonanego w maju br. dla magazynu Computerworld. Respondentów pytano o posiadane urządzenia elektroniczne oraz zamiar ich zakupu w ciągu sześciu miesięcy. Dodatkowe pytania dotyczyły rodzaju dostępu do internetu, z którego korzystają oraz płatnych audycji telewizyjnych (Video on Demand, Pay per View).
Pieniądz elektroniczny to ciągle niszowy obszar rynku płatności, jednak według ekspertów Deutsche Bank Research będzie on z czasem coraz bardziej zyskiwał na znaczeniu. Przyczyni się do tego rozwój innowacyjnych systemów płatności mobilnych, cyfryzacja usług finansowych oraz usługi pieniądza wirtualnego.