bezpieczeństwo (strona 242 z 273)

Aktualizacja, 17:30 Otrzymaliśmy odpowiedź od wydawcy dziennika: Bardzo przepraszamy Czytelników strony rp.pl za chwilowe problemy spowodowane niezależnymi od nas przyczynami.Wspólnie z dostawca usług IT pracujemy nad rozwiązaniem sprawy.

Na początku tygodnia informowaliśmy o wykrytych lukach w oprogramowaniu dysków sieciowych firmy Western Digital. Szybko okazało się, że usterki znane są od dłuższego czasu i krytyczne luki zostały już załatane aktualizacjami, więc o ile użytkownik posiada najświeższe oprogramowanie w swoim urządzeniu, nie musi się niczego obawiać. WD nie planuje jednak na tym poprzestać i pracuje nad nowymi aktualizacjami, bo i znane są kolejne zagrożenia, które mogą zaszkodzić użytkownikom.

Koniec zeszłego roku nie był dla Apple udany. Upubliczniona została krytyczna luka, która pozwalała na dostęp do roota bez podania hasła. Dziś społeczność zgłasza, że w macOS 10.13.2 bez hasła można uzyskać dostęp do konfiguracji App Store. Nie ma jednak powodu do paniki, a podnoszenie alarmu jest w tym przypadku nieco na wyrost.

Coraz głośniej organy ścigania zachodnich państw domagają sięwbudowania w urządzenia mobilne i oprogramowanie komunikacyjnefurtek, przez które można by było uzyskać dostęp do danych ichużytkowników. Dopiero co dyrektor FBI Christopher Wray poskarżyłsię, że amerykańska policja federalna przechowuje 8 tysięcysmartfonów, do których nie może uzyskać dostępu mimo uzyskaniasądowego nakazu. Skargi i żale chyba jednak nic nie dadzą.Kryptografia staje się coraz powszechniejsza i jest w staniezabezpieczyć przed wścibskimi coraz więcej – teraz już nawetgrupowe czaty.

Wciąż najlepiej sprzedają się samochody z silnikami spalinowymi, ale od lat systematycznie na popularności zyskują pojazdy elektryczne i hybrydowe, także hybrydy typu plug-in, które naładować można po podłączeniu do gniazdka. Czy jednak jest to wystarczająco bezpieczne pod względem oprogramowania? Okazuje się, że aktualnie wykorzystywane systemy niewiele mają wspólnego z bezpieczeństwem, a cyberprzestępcy mogą wykraść prywatne dane właściciela samochodu i obciążyć go finansowo.

WPA2, powszechnie wykorzystywany dziś standard zabezpieczeńsieci bezprzewodowych, jest w zasadzie bezpieczny. To prawda, znamypewneataki (na czele z KRACK-iem)pozwalające zabezpieczenia w określonych okolicznościachprzełamać, ale na pewno nie ma powtórki sytuacji ze starego WEP,gdzie każdy w kilka minut jest w stanie pozyskać hasło do Wi-Fi. Ajednak stowarzyszenie branżowe WiFi Alliance uznało, że czaszrobić krok naprzód w dziedzinie zabezpieczeń. Zapowiedziało nowystandard, WPA3. Jego pełna specyfikacja będzie dostępna później,ale już teraz poznaliśmy cztery główne zmiany, jakie wprowadza.

Aktualizacja, 16:00 Otrzymaliśmy oficjalne stanowisko WD w tej sprawie. Potwierdza ono, że luka wykryta została w ubiegłym roku i wtedy też załatana odpowiednią aktualizacją. Western Digital zapoznało się i przeanalizowało doniesienia nt. błędów w zabezpieczeniach produktów z serii. Specjalista ds. Bezpieczeństwa, który odkrył problem, skontaktował się z nami w 2017 r. – zgłoszone przez niego krytyczne luki w zabezpieczeniach zostały załatane w aktualizacji firmware’u w 2017 (w wersji v2.30.172). W kolejnych aktualizacjach usunięto również pomniejsze błędy. Zdecydowanie zachęcamy klientów do kontaktowania się ze wsparciem technicznym Western Digital (https://support.wdc.com) w celu uzyskania pomocy w kwestii aktualizowania naszych urządzeń. Przypominamy też, że zawsze należy dbać, by na urządzeniu zainstalowane było najnowsze oprogramowanie – rekomendowanym rozwiązaniem jest korzystanie z funkcji automatycznych aktualizacji. Zalecamy również wdrożenie klasycznych dobrych praktyk z dziedziny bezpieczeństwa, takich jak regularne tworzenie kopii zapasowych danych czy ochronę hasłami, a także zabezpieczenie routera za pomocą którego korzystamy z osobistej chmury lub urządzenia NAS. Western Digital stale pracuje nad zwiększeniem możliwości oraz poziomu bezpieczeństwa naszych produktów – współpracujemy w tym celu m.in. ze społecznością ekspertów ds. bezpieczeństwa i rozwiązujemy zgłaszane przez nich problemy. Zachęcamy naszych klientów również do odpowiedzialnego zgłaszania wszelkich takich problemów, co pozwoli naszym specjalistom na bieżąco usuwać błędy i zapewnić klientom odpowiedni poziom bezpieczeństwa.

Inżynierowie Google mieli nosa, ostrzegającprzed nie tylko przed błędami w mechanizmach zdalnego zarządzaniakomputerem Intela, ale też przed analogicznymi własnościowymirozwiązaniami na platformie AMD. W październiku zeszłego rokuprezentując swoje minimalne linuksowe firmware NERF mówili – niewierzcie we wszystko, co przeczytaliście o Ryzenie. A terazokazuje się, że AMD Platform Security Processor (PSP) podatny jestna błąd przepełnienia bufora, pozwalający napastnikowi nawykonanie na nim własnego kodu i wydobycie przechowywanych tamdanych.

Ostatnie dni przynoszą coraz więcej odkryć w związku z błędami w procesorach, które mogą przełożyć się na nawet 30-procentowe spowolnienie pracy komputerów. Wszyscy stanęli na nogi, aby jak najszybciej wydać łatki, które zabezpieczają przed luką, ale jednocześnie mocno reorganizują sposób zarządzania pamięcią, przez co, pomijając spadek wydajności, niewykluczone są problemy z antywirusami.

W smartfonach Samsunga wykryto w ubiegłym roku podatność, dzięki której odpowiednio przygotowany exploit (SVE-2017-10086) jest w stanie uzyskać dostęp do pamięci urządzenia podczas transferu plików przez USB do komputera. Może się to stać zarówno przy korzystaniu z protokołu MTP, jak i w trybie tylko ładowanie, a co ważne nawet wtedy, gdy nie odblokowaliśmy ekranu urządzenia. Wykorzystujący tę podatność exploit nadal pozostaje realnym zagrożeniem, choć odpowiednie łatki oprogramowania zostały już wydane.

Oficjalny sklep z aplikacjami na Androida to ogromna baza, ale niestety mimo kontroli Google, nie jest wolny od złośliwego oprogramowania. Tym razem w Google Play odkrytych zostało 36 fałszywych aplikacji, mających według opisu podnieść bezpieczeństwo. Najczęściej oferowały podstawową funkcjonalność, ale ich prawdziwy cel był inny – zdobycie prywatnych danych i wyświetlanie reklam.

Poważna wada projektowa dostępu do pamięci w procesorach Intela, znana jako KPTI, jest nieco mniej groźna na komputerach z jabłkiem. Częściowe zabezpieczenie trafiło do użytkowników już miesiąc temu, wraz z najbliższą aktualizacją zaś dostaniemy bardziej kompleksowe rozwiązanie. Póki co korzystający z komputerów z macOS-em High Sierra nie skarżą się na spadki wydajności procesora, ale będziemy mogli o tym mówić dopiero po wydaniu wersji 10.13.3 systemu.

Nie czekając, aż konkurencja wypuści aktualizacje, na łamach bloga Google Project Zero badaczeszczegółowo udokumentowali nagłośniony wczoraj, bardzo poważny błąd w procesorach.

W Sieci pojawia się coraz więcej zgłoszeń o kolejnych próbach oszustw. Tym razem mowa o głuchych telefonach i nieodebranych połączeniach z numerów z prefiksem +53. Istotą jest zmuszenie ofiary do oddzwonienia na wspomniany numer, co może się wiązać ze sporą opłatą, ponieważ dodzwonimy się za granicę, a konkretnie do kogoś z Kuby. O szczegółach informuje Niebezpiecznik.

Usługi i urządzenia pozwalające na śledzenie położenia z pomocą GPS-u nie są bezpieczne. Analitycy znaleźli serię poważnych luk, które nazwali zbiorczo Trackmageddon.

Pod koniec 2017 roku w grupach dyskusyjnych poświęconychbezpieczeństwu mówiło się o jakimś poważnym błędzie wpopularnych hiperwizorach, związanym z nieuprawnionym dostępem dopamięci. Wszystko wskazuje na to, że to nie jest żaden poważnybłąd w hiperwizorach. Mamy do czynienia z jedną z najgorszychkatastrof w historii IT, sprzętowym błędem w procesorach Intela, amożliwe że i innych. Spodziewajcie się, że już niebawem Waszekomputery będą pracowały znacznie wolniej – taka jest bowiemcena software’owej łatki, przygotowanej dla Linuksa i Windowsa.

Nowy rok zaczyna się dla Apple bardzo starym bugiem. Podatnośćwystępująca w systemie macOS (który nazywał się wtedy jeszczeMac OS X) od przynajmniej 15 lat, została wykorzystana przez hakerao pseudonimie s1guza do zbudowania exploitu, pozwalającego nazdobycie uprawnień administratora przez dowolny nieuprzywilejowanyproces. Twórcy złośliwego oprogramowania na Maka mogą byćzadowoleni – w Sieci pojawił się nie tylko gotowy exploit, aleteż i kompletna dokumentacja luki. Apple jak to Apple milczy, pókico łatki brak.

Chwilę po wydaniu publicznegoexploita na konsolę PlayStation 4, działającego z całkiemświeżym firmware 4.05, jeden z polskich blogerów IT dumnieogłosił, że *czas szabrownictwa na stacjonarnych konsolachodszedł bezpowrotnie. *Ciężkobyć jednak prorokiem w tych kwestiach teraz, gdy scena PS4 jestaktywniejsza niż kiedykolwiek. Tak, to prawda, że jailbreak ipiractwo nie są ze sobą tożsame – ale czy nie było dokładnietak samo w czasach PlayStation 3? Jedno jest pewne: przewaga jakąmiało do tej pory Sony nad niezależnymi deweloperami topnieje zdnia na dzień. Zespół fail0verflow pokazał,jak zdołał zdobyć cały kernel konsoli, rekonstruując go w ciągu6 dni z „okruszków” mierzących zaledwie 16 bajtów.

Nadzieja podobno umiera ostatnia, a ta pokładana przez producentów sprzętu w biometrii na pewno. Niezależnie od tego, czy mowa o Samsungu, Apple czy Microsofcie, rozpoznawaniu twarzy, skanowaniu linii papilarnych czy odcisków całych dłoni – dotychczasowa praktyka potwierdza, że zabezpieczenia biometryczne w mniej lub bardziej zawoalowany sposób można obejść. Czasem z użyciem zwykłego zdjęcia, czasem po wydrukowaniu w 3D palca z odciskiem i zapewnieniu mu przewodnictwa, co wystarczyło niegdyś do ominięcia Touch ID. Mimo to producenci nie godzą się na oczywistość – biometria, jako jeden i wyłączny składnik logowania, w dodatku jawny, to absurd. I zapewne jeszcze wiele tożsamości, dolarów i prywatnych wiadomości będzie musiało zostać skradzionych, by pojęli to nie tylko producenci, ale też użytkownicy.

Myśląc o bezpieczeństwie informatycznym rzadko kiedy myślimy ofizyce: zagrożenia dla komputerów czają się przede wszystkim wzłośliwym kodzie. Oczywiście napastnik może zawsze podejść złomem, ale w narażonych na takich agresorów miejscach możnazainstalować pancerne skrzynki – jest to zresztą zbyt widowiskowew świecie pełnym kamer telewizji przemysłowej. A co jeśli ktośmoże podejść do systemu informatycznego i zepsuć go wydającodpowiednie dźwięki? Badacze z uniwersytetów w Princeton i Purduezajęli się ostatnio poważniej kwestią ataków akustycznych natwarde dyski, osiągając spektakularne rezultaty.

Wielu obawiało się, że przyszłość Thunderbirda, który po zawirowaniach finalnie wrócił na łono Mozilli, stoi pod znakiem zapytania. Wygląda jednak na to, że Fundacja wcale nie traktuje klienta poczty po macoszemu – w ostatnim czasie zapowiedziano odpowiednik kwantowej rewolucji (poza nowym interfejsem migracja na WebExtension), a dziś udostępniono ważną aktualizację bezpieczeństwa.

W październiku inżynierowie z działu bezpieczeństwa Sony moglitylko kręcić głową, czytającwpis na blogu hakerskiej grupy fail0verflow, opisujący atakpozwalający na uruchomienie własnego kodu na PlayStation 4.Zaprezentowane wówczas fragmenty exploita Adieu nic oczywiście niedały zwykłym użytkownikom, jednak niezależni deweloperzy ze scenyPlayStation zacierali ręce. Jeden z nich, Specter, właśnieudostępnił na GitHubie kod, który jest pełną implementacjąataku przedstawionego przez fail0verflow. Użytkownicy dostali więcexploit pozwalający na uruchomienie dowolnego kodu z uprawnieniamikernela na wszystkich konsolach PS4 z całkiem przecież świeżymfirmware 4.05 – wersja 4.06 została wydana w listopadzie zeszłegoroku.

W Sieci znajdziemy już pierwszy ogólnodostępny jailbreak, który pozwala uwolnić system iOS 11 i iPhone'a X, 8 i inne 64-bitowe urządzenia mobilne Apple'a. To efekt wspólnej pracy wielu członków społeczności, którzy w ostatnich tygodniach połączyli siły.

Skrypty kopiące kryptowaluty na komputerach nieświadomych niczego internautów w ciągu kilku miesięcy stał się popularnym sposobem spieniężania aktywności. Przyzwyczajamy się do ich obecności między innymi na serwisach torrentowych. Niestety, nieświadomą ofiarą koparek może także stać się także dowolny użytkownik Facebooka. Wszystko to za sprawą malware rozsyłanego za pośrednictwem Messengera.

Coraz rzadziej polskie mieszkania odwiedzane są przez panów zgazowni, elektrowni, wodociągów czy elektrociepłowni. Służącerozliczaniu zużycia mediów liczniki nabrały „inteligencji”, cow praktyce oznacza, że wskazania ich stanu odczytywane są zdalnie.Inkasent zbliża się po prostu do budynku, pobierając radiowo stanyliczników ze wszystkich lokali, nawet jeśli mieszkańców nie ma wdomu. A jak taka komunikacja wygląda z bliska? Przyjrzał się temujeden z czytelników bloga Niebezpiecznik, przy okazji odkrywającspektakularną podatność w nakładkach amerykańskiej firmy Itron,dość wykorzystywanych dziś w Polsce.