Bu kamera ile yüzünüz şifreniz

Kanadalı Bioscrypt firması hem Webcam olarak hem de yüzü üç boyutta tarayan bir güvenlik sistemi olarak kullanılabilen yeni bir kamera ürününü duyurdu. Bioscrypt 3D DeskCam ürünlerinin endüstride bir ilk olduğunu vurguluyor. Kamera infrared ve lens ile yüzü 3 boyutta tarayabiliyorve kullanıcıların bilgisayara erişimini kontrol edebiliyor.

Firma'dan Ryan Zlockie "kamera kişinin alnına, göz yuvalarına, burun köprüsü gibi belirli yerler ile birlikte 40,000 tanım noktasına bakıyor" diyor ve yüz tanıma sisteminin bütün testleri geçtiğini söylüyor.

Bioscrypt'e göre 3D DeskCam online servislere girişte şifre, token veya akıllı kartların kullanımı ihtiyacını kaldıracak.

Ayrıca 3D özelliği ile kişinin kendisine benzeyen avatar lar yaratarak online oyunlarda veya hızlı mesajlaşma programlarında kullanabilecekler.

3D yüz tanıma çok hızlı ve iris taramadaki gibi çok yakınlaşmanız gerekmiyor. Kullanıcıların bir şeye dokunması gerekmediğinden parmak izi tanımadaki gibi yağlı parmak vb dertler de olmuyor.

Bu yılın ikinci yarısında çıkacak olan kameranın fiyatı $350 olacak fakat talebe göre $200 dolar civarına inebileceği tahmin ediliyor.

Microsoft Windows ANI başlığı hafıza taşması açığı


Henüz yaması çıkmamış olan Windows'un animated cursor dosyalarını işleyişindeki açık aktif olarak exploit ediliyor. Windows animated cursor dosyasının başlığında belirtilen boyut değerini doğru olarak kontrol etmiyor. Bu sayede uzaktan sistemde istenilen kodu çalıştırmak mümkün olabiliyor. Açıktan yaralanılabilmesi için kullanıcının bir bağlantı adresine tıklaması, özel hazırlanmış HTML epostayı okuması veya forward etmesi, veya bu tip dosya bulunduran bir klasöre erişmesi gerekiyor.

Çözüm:
Microsoft bu açık ile ilgili yamayı 10 nisan da çıkaracaktı fakat exploit kodunun kullanılması sebebi ile tarihi öne alarak yarın yama çıkaracaklarını duyurdu.
eEye da bu açık için bir yama çıkardı:
eEye Digital Security - Research
Aşağıdaki adresteki geçici çözüm önerileri uygulanabilir:
US-CERT Vulnerability Note VU#191609

Kaynak: US-CERT Technical Cyber Security Alert TA07-089A -- Microsoft Windows ANI header stack buffer overflow
Ref: http://www.microsoft.com/technet/security/advisory/935423.mspx
Computer Security Research - McAfee Avert Labs Blog
TROJ_ANICMOO.AX - Description and solution
http://www.determina.com/security.research/flash/ani.html
Etkilenen Sistemler

Etkilenenler:
Microsoft Windows 2000, XP, Server 2003, ve Vista etkileniyor.
Etkilenen uygulamalar:
* Microsoft Internet Explorer
* Microsoft Outlook
* Microsoft Outlook Express
* Microsoft Windows Mail
* Microsoft Windows Explorer

Kaspersky: Vista Windows XP'den daha güvensiz


Güvenlik firması Kaspersky'ye göre Vista'nın yönetici haklarının ayrılması sistemi Kullanıcı Hesabı Kontrolü (User Account Control - UAC) kullanıcıları bezdirecek ve kullanıcılar bu özelliği kapatacaklar. Natalya Kaspersky UAC olmadan Vista'nın Windows XP SP2'den daha güvensiz olacağını söyledi.

Kaspersky Microsoft'un ForeFront ürünündeki virüs tarama motorlarından birini sağlıyor.

Microsoft güvenlik ürünleri müdürü Arno Edelman Kaspersky'nin iddialarına şaşırdıklarını ifade etti. "Başarılı iş ortaklarımız var ve Kaspersky bizim en iyi ortaklarımızdan biri. Söylediklerini biraz tuhaf buluyorum çünkü Microsoft güvenlik ürünleri hakkında detaylı bilgi sahibiler".

Geçmişteki güvenlik stratejileri konusunda sert eleştiriler alan Microsoft bu konuya yaklaşımlarını geliştirmek konusunda pek çok çalışma yaptı ve Vista'yı en güvenli işletim sistemleri olarak duyurdu.

Fakat Kaspersky firması, analistlerinin UAC'ı atlatmak için beş adet yöntem keşfettiklerini ve kötü amaçlı kod geliştiricilerinin daha çok güvenlik açığı bulacaklarını belirtti.

Ayrıca, Kaspersky de Vista kernel'ini koruma amaçlı olan PatchGuard'ın güvenlik firmalarının çalışmalarını engellediği konusunda Symantec ve McAfee'ye katıldı.

Kaspersky firmasının kurucusu Eugene Kaspersky güvenlik yazılımı üreticisi firmaların Vista ile belirlenen yöntemlerle uğraşması gerekirken bilgisayar korsanlar için bu tip bir kısıtlamanın söz konusu olmadığını belirtti. "Vista lisanslaması siber suçluların umurunda değil. Kurallara uymaları ve Antivirüs yazılımı üreticileri gibi sertifika sahibi olmaları gerekmiyor".