bezpieczeństwo (strona 271 z 273)

Windows 10 zawiera ogromną liczbę zmian, nie tylko takich, które widzimy jako codzienni użytkownicy systemu, ale także zmiany w mechanizmach systemowych. Na ich ocenę zdecydował się James Forshaw z zespołu Google Project Zero. Specjalista od zabezpieczeń stwierdził, że nowy system to dwa kroki do przodu i jeden do tyłu względem nieco starszego Windows 8.1.

Na oficjalnych serwerach projektu Joomla! pojawiła się nowa, zaktualizowana wersja skryptu. Wszyscy administratorzy tego systemu do zarządzania treścią powinni jak najszybciej zaktualizować swoje witryny. Paczka ta łata krytyczne luki w zabezpieczeniach, które umożliwiają przejęcie sesji administratora i tym samym kontroli nad całą stroną internetową.

Kryptografia wykorzystująca krzywe eliptyczne od dawnaprzedstawiana była jako nasz zbawca, który pozwoli ocalić tajnośćdokumentów, gdy stary kryptosystemRSA będzie już z łatwością łamany przez superkomputeryprzyszłości. Nawet u nas w Polsce głośno było kilka lat opolskiej Enigmie, czyteż jak to oficjalnie nazwano „Narodowymszyfratorze”, budowanym przez matematyków z Wojskowej AkademiiTechnicznej, który miał wykorzystywać nowatorskie rozwiązaniez zakresu krzywych eliptycznych.Tymczasem amerykańska Agencja Bezpieczeństwa Narodowego ostrzega,by nie bawić się we wdrożenia takich kryptosystemów – zdaniemanalityków NSA bliski jest czas, gdy staną się one przestarzałewskutek pojawienia się komputerów kwantowych.

Klienci banku PKO BP korzystający z usług bankowości elektronicznej iPKO mają powody do zachowania szczególnej ostrożności. Trwa bowiem fala ataków, które mogą doprowadzić do przejęcia zarówno haseł logowania, jak i jednorazowych kodów autoryzujących transakcje, co daje atakującym w zasadzie pełną możliwość przejęcia środków finansowych ofiary.

Lokalny serwis nowiny24.pl donosi, że w ostatnim czasie jeden z rzeszowskich biletomatów, istotnie zwiększył swoją funkcjonalność. Otóż urządzenie zamiast wyświetlania standardowego interfejsu umożliwiającego zakup biletu, proponowało przechodniom jeden z filmów pornograficznych dostępnych w serwisie RedTube.

Projekt Let's Encrypt zrobił kolejny krok w kierunku celu swojego istnienia, czyli zapewnienia darmowych certyfikatów dla HTTPS dla wszystkich – we wszystkich wiodących przeglądarkach certyfikaty wydane przez centrum są oznaczone jako „zaufane”.

Magento jest jedną z najpopularniejszych platform e-commerce,wykorzystywaną głównie przez duże, doinwestowane sklepyinternetowe. Dlaczego więc w ostatnich dniach tak wiele bazującychna Magento sklepów zostało zainfekowanych przez złośliweoprogramowanie Neutrino? Odpowiedź jest zaskakująca –wykorzystano błąd, który załatany został już w lutym tego roku.

Niektórzy producenci zapewniają nas, że ich urządzenia są bezpieczne i mogą ochronić nasze dane. Takie zapewnienia dotyczą w teorii przenośnych dysków Western Digital z serii My Passport, a także My Book, które oferują szyfrowanie zgromadzonych na nich informacji. W praktyce jest znacznie gorzej, analiza ich działania pokazała, że poleganie na mechanizmach producentów nie jest zbyt rozsądnym podejściem.

Windows Phone jest uznawany za system stosunkowo bezpieczny, czym chwali się także sam Microsoft. W przypadku wersji mobilnej Windows 10 kwestia ta ma wyglądać podobnie, ale nie oznacza to, że nie znajdziemy na rynku narzędzi, które pozwolą nam dodatkowo zabezpieczyć dane. Firma AVAST Software planuje wydać własny pakiet ochronny dla tego systemu operacyjnego.

Historia to jak z filmu – i niewykluczone, że jakiś scenariuszfilmowy na tej podstawie powstanie. W Stanach Zjednoczonych niecichnie medialna wrzawa po tym, jak młodemu hakerowi udało włamaćsię do prywatnej skrzynki pocztowej dyrektora CIA i wydobyć z niejnie tylko prywatną komunikację, ale też liczne poufne i tajnedokumenty, w tym dotyczące tożsamości agentów wywiadu czy listydotyczące technik przesłuchań stosowanych wobec podejrzanych oterroryzm. Wszystko to stało się, gdy opinia publiczna niezapomniała o skandalu z prywatną skrzynką pocztową ubiegającejsię o nominację demokratów w wyborach prezydenckich pani HillaryClinton.

Plotki o tym, że NSA potrafi dobrać się do znacznej częścizaszyfrowanego ruchu internetowego krążą po Sieci od kilku lat.Jeszcze przed Edwardem Snowdenem wypłynęła wypowiedź, z którejwynika, że amerykańska agencja uzyskała przełomowe wyniki wkryptoanalizie, pozwalające jej na złamanie obecnie stosowanychszyfrów. Dokumenty od Snowdena też to potwierdzały – w końcunie budowano by tej całej ogromnej infrastruktury do przechwytywaniaruchu sieciowego, gdyby nie było sposobu na jego odczytanie. Długojednak nikt nie wiedział, jak NSA zdołało to osiągnąć.

Na Dolnym Śląsku trwa akcja związana z pobieraniem plików niezgodnie z prawami autorskimi. Zakrojone na szeroką skalę śledztwo doprowadziło do zarekwirowania już blisko tysiąca komputerów osób korzystających z sieci torrent. Postępowanie świdnickiej prokuratury dotyczyć może mieszkańców miast w całym regionie.

Uzbrojeni w Kali Linuksa hakerzy są już passé. Dziś, gdy corazwięcej pecetów używanych jest w miejscach publicznych, prawdziwymzagrożeniem jest „hakowanie wizualne”. Wyposażeni w oczywizualni hakerzy mogą oto jednym spojrzeniem wykraść poufne treściz komputera – żadne zapory sieciowe tu nie pomogą, z badańwynika, że atak jest bardzo skuteczny.

Polscy cyberprzestępcy ostatnio nie zachwycają sprawnością, zato tropiące ich organy ścigania jak najbardziej tak. W grze wpolicjantów i złodziei siły prawa i porządku zaczęły wreszciewygrywać. Kilka dni po tym, jak zatrzymanodwóch administratorów forum ToRepublic, podejrzanych o kradzieżponad 2 mln złotych z rachunków bankowych polskich gmin, udało sięzłapać kolejnego administratora, Polsilvera, odpowiedzialnego zaspektakularną kradzieżdanych klientów Plus Banku.

Październikowe biuletyny bezpieczeństwa Microsoftu przypominają,że współczesne metodyki programowania wcale nie gwarantujątworzenia jakościowego kodu, a wręcz przeciwnie. Nawet kluczoweoprogramowanie systemowe może być pełne błędów. Tym razemzałatano 33 luki, tkwiące w przeglądarkach Internet Explorer iMicrosoft Edge, silniku VBScript/Jscript, powłoce Windows, jądrzeWindows i pakiecie biurowym Office.

Czy Julian Assange chyłkiem się teraz wymknie z ambasadyEkwadoru w Londynie, w której przebywa od trzech lat, na mocy prawado azylu? Londyńska policja oficjalnie poinformowała, że wycofujefunkcjonariuszy, którzy przed 24 godziny na dobę, przez 365 dni wroku pilnowali wyjścia ambasady, by zaaresztować twórcęWikileaks, gdy ten tylko spróbuje postawić stopę poza ogrodzeniemwyłączonej spod brytyjskiego prawa placówki. Jak podaje serwisgovwaste.co.uk, brytyjski rząd w ciągu ponad 1771 dni zmarnował natę operację ponad 12,6 mln funtów – czyli tyle, ile rocznieodbiera ponad dwóm tysiącom szeregowych podatników.

Jeśli korzystacie z routerów firmy Netgear z ich oryginalnymoprogramowaniem, to lepiej sprawdźcie, czy nie macie czasemudostępnionego w publicznej Sieci ich panelu administracyjnego.Ujawniona właśnie luka w firmware tych urządzeń pozwala naobejście mechanizmu logowania i uzyskanie pełnego do nich dostępu.Eksperci ze szwajcarskiej firmy Compass Security twierdzą, żeofiarą ataku mogło paść już ponad 10 tysięcy routerów.

SHA-1, kryptograficzna funkcja skrótu, wciąż powszechnieużywana w licznych protokołach internetowych i aplikacjach (m.in.TLS, PGP, SSH, IPsec, S/MIME i Git), została właśnie złamanarelatywnie niewielkim kosztem. Kryptolodzy wiedzieli, że nastąpi towcześniej czy później i czas przenieść się na mocniejszealgorytmy, ale jak do tej pory szło to opornie. Na przykład Google,Mozilla i Microsoft ogłosiły, że ich przeglądarki przestanąobsługiwać certyfikaty SSL używające SHA-1, ale dopiero w 2017roku. W obecnej sytuacji trzeba będzie jednak zakasać rękawy isięgnąć po zwycięzcę konkursu na algorytm SHA-3, czyli Keccaka.

Zajmująca się bezpieczeństwem firma Ensilo ogłosiła odkrycie trojana Moker – programu, który nie występował dotychczas w bazach szkodliwego oprogramowania, zdolnego do przejęcia kontroli nad komputerami z zainstalowanym Windowsem.

Użytkownicy Androida po raz kolejny przekonują się o tym, czym może grozić instalowanie aplikacji z niezaufanych źródeł. Firma FireEye wykryła działania cyberprzestępców, które przez szkodliwe oprogramowanie miały na celu przejmowanie kontroli nad urządzeniami. Szkodniki atakują użytkowników w aż 20 krajach na całym świecie, w tym także i Polsce.

Choć sprawa powiązana jest z Torem, to na szczęście nic niewskazuje na to, że organom ścigania w tym wypadku udało sięobejść lub złamać zabezpieczenia tej sieci anonimizującej.Faktem jest jednak, że w ręce polskiej policji wpadło dwóchadministratorów najpopularniejszego polskiego forum darknetowego –ToRepublic. Jest to najwyraźniej wynik śledztwa prowadzonego wsprawie cyberprzestępczej grupy, która w ciągu półtora rokuzdołała wykraść ponad 2 mln złotych z kont bankowych polskichgmin.

Bezpieczeństwo użytkowników i ochrona prywatności to coraz częściej poruszane kwestie. Firmy muszą o nich pamiętać nie tylko przy zbieraniu danych, ale także przy budowie własnych systemów i usług internetowych. Pewien chiński bloger zauważył, że Microsoft w tym przypadku popełnił pewien poważny błąd, który naraża niektóre z naszych danych na ujawnienie przez osoby niepowołane.

Zgodnie z wcześniejszymi zapowiedziami Google wydało paczkę aktualizacji zabezpieczeń dla Androida. Udostępnione łatki likwidują dziury odkryte przez firmę Zimperium – w efekcie osoby, które je zainstalują, nie będą już narażone a zagrożenia określane nazwą Stagefright. Niestety poprawki jak na razie trafiają tylko do urządzeń z serii Nexus.

Użytkownicy największego w Polsce portalu aukcyjnego powinni mieć się na baczności. Na skrzynki wielu internautów trafiają właśnie fałszywe wiadomości informujące o konieczności weryfikacji konta Allegro i potrzebie zalogowania. Nie korzystajcie z linków w nich zawartych, prowadzą one do spreparowanych witryn próbujących wyłudzić dane logowania i w efekcie przejęcia kont.

Wielu użytkowników Internetu przez długi czas nie zdawało sobie sprawy z istnienia tzw. ciasteczek, niewielkich plików, które umożliwiają m.in. utrzymanie sesji. Dopiero wymóg informowania o ich użyciu zmienił tę sytuację. Niestety implementacja tego mechanizmu pozostawia sporo do życzenia, specjaliści biją na alarm i informują o poważnych podatnościach, które umożliwiają wykonywanie ataków.