bezpieczeństwo (strona 259 z 273)

Przyjęta przez brytyjski parlament ustawa Investigative PowersAct, dająca policji i służbom specjalnym niemal nieograniczonemożliwości inwigilowania obywateli w cyberprzestrzeni, zapewne niebędzie jedynym takim rozwiązaniem na Starym Kontynencie. Kilka dnitemu holenderska organizacja Bits of Freedom ujawniławyniki ankiety przygotowanej latem tego roku przez Słowację.Dotyczyła ona stosunku organów ścigania państw unijnych dokryptografii. Odpowiedzi pokazują,że istnieje wola polityczna, by skuteczniej inwigilować obywateli,a także działać na rzecz umieszczania w oprogramowaniu furtek takąinwigilację ułatwiających. Wśród krajów, które najbardziejzainteresowane są takimi rozwiązaniami, znalazła się Polska.

Wiele osób próbuje przedstawić Linuksa jako panaceum nabezpieczeństwo – zainstalujesz i już jest dobrze, niestraszneżadne znane z Windowsa zagrożenia. Czy aby na pewno? Odkrytaostatnio luka we frameworku mediów Gstreamer pokazuje, że typowydesktopowy system linuksowy też może być pełen luk, których poprostu nikt nie zauważył, mimo otwartości kodu.

Barwny zespół ludzi wokół prezydenta-elekta USA, DonaldaTrumpa, może się wzbogacić o jeszcze jedną osobę, być możebarwniejszą od całej reszty. Grupa Anonimowych ruszyła z akcją,której zadaniem jest uczynienie ze słynnego Johna McAfee nowegodoradcy Białego Domu ds. cyberbezpieczeństwa. Sytuacja to o tyledziwna, że sam McAfee, który w tych wyborach sam chciał zostaćprezydentem, nie bardzo chce z Trumpem współpracować. Czymemetyczne czary Anonimowych zdołają to zmienić?

Błąd w przetwarzaniu mediów przez bibliotekęlibstagefright otworzył drogę do zawieszania, a nawet zdalnegouruchamiania kodu na smartfonach z Androidem. Użytkownicy iOS-amogli tylko z rozbawieniem patrzeć na próby łatania luki (o ile dojakichś doszło, gdyż do dziś setki milionów smartfonów żadnychłatek nie ujrzało). Taki atak możliwy jest jednak na iOS-ie. Nawetnajnowsze iPhony i iPady z iOS-em 10.1.1 nie mają szans z klipemwideo, który pojawił się niedawno w Sieci.

Wielu internautów uodporniło się już na złośliwe załącznikiprzesyłane pocztą – po prostu nie klikają. Ten zdrowy nawyk niemusi się jednak przenosić na inne kanały komunikacji. Na to licząosoby stojące za nową falą ataków, gdzie złośliweoprogramowanie przenoszone jest przez czat Facebooka, w postaci…wektorowego obrazka.

Każdy, kto rozpoznaje powyższy, podchodzący z trzeciego sezonu serialu Black Mirror kadr, zdaje sobie sprawę, że oprogramowanie ransomware wyspecjalizowane w kradzieży konkretnych treści, może być potężnym środkiem szantażu. Trzeci sezon serialu nie jest już jednak tak precyzyjny w futurologii, zaś z poruszanymi w nim problemami mamy do czynienia już dziś. Dowodem jest popularyzacja zagrożeń typu ransoc.

Przed kilkoma dniami głośno zrobiło się o Shanghai Adups Technology, jednym z największych niezależnych dostawców Firmware-Over-The-Air. Oprogramowanie Adups okazało się kompletnym narzędziem szpiegowskim, co wzbudziło obawy użytkowników tańszych chińskich smartfonów oraz kontrwywiadu USA. Nie mniej kontrowersyjne pod kątem prywatności użytkowników praktyki realizuje także... Apple.

Słynny turecki haker Samy Kamkar znów nas zaskoczył swojąpomysłowością. Opracowany przez niego nowy sprzętowy exploitPoisonTap wykorzystuje wart 5 dolarów komputerek Raspberry Pi Zero.Po podłączeniu go do portu USB atakowanej maszyny, w ciągu 30sekund obejdzie ekran blokady, instalując w systemie backdoora.Uwaga: to nie jest siłowy atak na słabe hasło. Wręcz przeciwnie.

Gdy europejscy producenci antywirusów zbierająsiły, by wystąpić przeciwko dążącemu do monopoluMicrosoftowi, na antypodach padają słowa, które dla całej tejbranży muszą brzmieć jak herezja. Podczas nowozelandzkiejkonferencji Kiwicon wystąpił Darren Dilby, starszy inżynierbezpieczeństwa Google. Wezwał on swoich kolegów do machnięciaręką na antywirusy i mechanizmy wykrywania włamań i zajęcia siębardziej sensownymi metodami obrony, takimi jak np. białe listyaplikacji.

Gdy nosi się nazwisko Zuckerberg i jest się założycielem największego serwisu społecznościowego na świecie, trzeba brać pod uwagę, że znajdzie się naprawdę wielu chętnych, którzy we włamaniu na twoje konta w serwisach społecznościowych upatrzą szansę na swoje pięć minut sławy. Sytuacja staje się jednak kuriozalna, jeśli do włamania dojdzie dwa razy w ciągu roku i to z inicjatywy tej samej grupy.

Głos Jewgienija Kasperskiego, niezadowolonegoz *monopolistycznych praktyk Microsoftu *wdziedzinie oprogramowania antywirusowego, skierowany był nie tylkodo organów antymonopolowych. Szef Kaspersky Lab chce zbudowaćwspólny front niezależnych producentów – i wygląda na to, żemoże mu się to udać. Wciskanie na siłę Windows Defendera niepodoba się też innym producentom antywirusów, którzy otwarciepoparli rosyjskiego konkurenta.

Rosnąca popularność tanich chińskich smartfonów, czy wręcz zalew nimi europejskiego, a nawet amerykańskiego rynku, to woda na młyn dla miłośników teorii spiskowych, którzy upatrują się w tym trendzie początek powszechnej mandaryzacji Zachodu. Mimo że taka interpretacja wydaje się przesadzona, a zachodnimi gustami steruje raczej portfel i stosunek ceny do jakości, to upublicznione przez grupę Kryptowire dane mogą być niepokojące.

LUKS/dm-crypt to podstawowa metoda blokowego szyfrowania wlinuksowych systemach operacyjnych. Przezroczysty dla systemu plikówmechanizm wyróżnia się ogromną elastycznością i wsparciem dlawielu różnych kryptosystemów i funkcji haszujących, stosuje sięgo więc domyślnie w większości dystrybucji jako sposób nazabezpieczenie nie tylko danych, ale i dostępu do systemu. Okazałosię jednak, że ta ochrona przed dostępem do systemu jest raczejzłudna. Napastnik może bardzo łatwo uzyskać dostęp dopodstawowej powłoki systemowej, wystarczy mu do tego… klawiatura.

Autostrady pełne samochodów, których nie prowadzi żaden człowiek, to ekscytująca wizja przyszłości. Na drogach publicznych w Wielkiej Brytanii, Francji i Szwajcarii są już testowane prototypy autonomicznych samochodów. Według firmy Gartner w krajach rozwiniętych samochody bez kierowcy będą do 2030 roku stanowić około 25% pojazdów przewożących pasażerów. Wizja ta ma jednak także swoją mniej pozytywną stronę. Naszpikowane elektroniką i podłączone do sieci pojazdy nieuchronnie staną się celem ataków hakerów. W związku z tym zapewnienie pasażerom ochrony przed cyberzagrożeniami stało się jednym z priorytetów w branży motoryzacyjnej.

Nie wiadomo, po co Google przechwalało się bezpieczeństwemswoich nowych smartfonów Pixel, które rzekomo miały dorównać wtej kwestii iPhone’om. Fantazje Adriana Ludwiga, dyrektorabezpieczeństwa Androida w Mountain View szybko zostałyzweryfikowane przez chińskich hakerów podczas drugiego dnia imprezyPwnFest 2016 na konferencji Powerof Community w Seulu. Udało im się zdalnie uruchomić kod naflagowcu Google’a, każąc otwarcie zapytać – czy w pełnibezpieczny Android w ogóle jest możliwy? Słabość Pixeli jest tymwyraźniejsza, że nowego iPhone’a 7 z iOS-em 10 na PwnFest 2016nie złamał nikt, mimo że nagroda była atrakcyjna,wynosiła łącznie 180 tys. dolarów.

Hakerzy z chińskiej firmy Qihoo 360 mogą być z siebie dumni.Podczas imprezy PwnFest 2016 na konferencji Power of Community wSeulu pokazali, że zabezpieczenia Microsoftu i VMware są dla nichniczym. Jeden z ich zespołów zdołał przeprowadzić atak zdalnegouruchomienia kodu, i to z uprawnieniami administracyjnymi, nanajnowszym, w pełni załatanym Windows 10 z gałęzi Redstone 1,drugi, po raz pierwszy w historii zrobił to samo z oprogramowaniemwirtualizacyjnym VMware Workstation.

Dobrze wiemy, czego spodziewać się można po łatkachbezpieczeństwa od Microsoftu – i trzeba przyznać, ze firma zRedmond robi tu dobrą robotę, szczególnie w porównaniu doenigmatycznego i flegmatycznego Apple. A czego spodziewać się połatkach bezpieczeństwa od Google? Niestety okazuje się, żeniewiele. O problemach z dostarczaniem łatek na sprzęt z Androidemwiadomo od dawna, jednak nawet te urządzenia, które łatki dostają,nie zostają należycie zabezpieczone. W najnowszej listopadowejpaczce brakuje poprawki do najważniejszej z odkrytych ostatniopodatności w Linuksie, czyli słynnej Brudnej Krowy (DirtyCow).

Drugi wtorek miesiąca był nie tylko dniem udostępnienialistopadowych łatek Microsoftu, lecz także premiery nowego SecurityUpdates Guide, witryny, która w jednym miejscu zbierze wszystkoto, co należy wiedzieć o zabezpieczeniach oprogramowania z Redmond.To odpowiedź na żądania lepszego dostępu do informacji –dotychczasowy system oddzielnie publikowanych biuletynów był poprostu niewygodnym reliktem przeszłości. Microsoft SecurityResponse Center zachwala, że teraz będzie można wygodnieinformacje o bezpieczeństwie sortować, filtrować i przeszukiwać.Od stycznia 2017 roku tradycyjne biuletyny bezpieczeństwa po prostuznikną.

Od wprowadzenia w życie zapisów ustawy antyterrorystycznejminęło już kilka miesięcy, przyzwyczailiśmy się do życia wkraju, w którym bez podania operatorowi naszych danych już z kartyprepaid nie skorzystamy. To jednak nie koniec poszerzaniamożliwości, jakimi cieszyć się będą w Polsce wiadomesłużby. Ministerstwo Sprawiedliwości niepostrzeżenie otworzyłodrogę do totalnej inwigilacji obywateli w swoim projekcie ustawy otzw. konfiskacie rozszerzonej.

Android, jako najpopularniejszy mobilny system operacyjny, a jednocześnie umiarkowanie skutecznie radzący sobie ze swoją największa bolączką, jaką jest fragmentacja, nie uchodzi raczej za synonim oprogramowania najbezpieczniejszego. W zbiorowej świadomości prym wiedzie w tej kwestii raczej iOS i kolejne iPhone'y. Innego zdania jest jednak Adrian Ludwig z działu bezpieczeństwa Google.

Historia przeglądania internauty to cenny towar dla każdegomarketera, patrząc w nią może powiedzieć, co i jak internauciemoże jeszcze sprzedać. Nie jest więc nic chyba w tymzaskakującego, że dane tego typu można kupić na rynku. Jednakzaskakujące jest to, że wcale nie jest to czarny rynek, a sprzedażątrudnią się najwyraźniej nie producenci malware, lecz legalniedziałający producenci rozszerzeń do przeglądarek.

Google już nie raz pokazało,że w kwestii bezpieczeństwa potrafi ostro pogrywać sobie zMicrosoftem, stosując wobec firmy z Redmond inne standardyujawniania luk, niż wobec pozostałych producentów oprogramowania.Ujawnianie niezałatanych jeszcze luk tłumaczy się „troską odobro użytkowników” – tyle że mamy wrażenie, że potemczłonkowie Google Project Zero śmieją się do rozpuku, patrzącjak ci wszyscy użytkownicy komputerów z Windowsami padają ofiaramiexploitów przygotowanych na podstawie ich odkrycia. W końcu zawszemogli kupić chromebooki… Tak jest i tym razem. Wczoraj Googledumnie upubliczniło informacje o luce w Windowsach, którą zgłosiłoMicrosoftowi raptem dziesięć dni wcześniej.

Mimo że wiele zrobiono, aby ograniczyć działalność WikiLeaks wycelowaną w amerykańską kampanię wyborczą, przede wszystkim zaś w kandydaturę Hillary Clinton, wciąż mamy do czynienia z kolejnymi mailami, które mogą zabrać kandydatce Demokratów głosy. Publikacja e-maili może jednak zaszkodzić nie tylko jej, ale także między innymi Apple.

Rozwój Internetu Rzeczy oraz zwiększająca się liczba komunikujących się bezprzewodowo urządzeń, które użytkownicy wykorzystują do śledzenia swojej aktywności, musi znaleźć swoje odzwierciedlenie nie tylko w formie aplikacji mobilnych czy pulpitowych.

Zgodnie z modą na atrakcyjne nazwy luk w bezpieczeństwie,dostaliśmy świetną nazwę: AtomBombing. Sęk w tym, że to niejest żadna luka, a więc nie będzie do niej żadnej łatki.Microsoft będzie musiał gruntownie przerobić istotny elementswoich systemów operacyjnych, po tym jak badacze z firmy EnSiloodkryli metodę jego nadużycia, otwierającego drogędo wstrzyknięcia złośliwego kodu w system. Chodzi o tabeleatomiczne, w których windowsowe aplikacje przechowują informacje oczęsto używanych typach danych.