• Nasz mózg ma skłonność do przypisywania istotnej wartości zjawiskom przypadkowym, tworzącym określony wzorzec - to jedno z wyjaśnień dotyczące opinii typu „Facebook nas podsłuchuje!!!1”. Poznajcie też inne - zob. Zaufana Trzecia Strona, Skąd Facebook wie o czym rozmawiamy i z kim się spotykamy


• Nowo odkryta podatność w protokole umożliwiającym precyzyjną synchronizację czasu pomiędzy komputerami (Network Time Protocol) może zostać wykorzystana do inwigilacji zaszyfrowanego ruchu internetowego i manipulowania bitcoinowymi transakcjami - zob. Ars Technica, New attacks on Network Time Protocol can defeat HTTPS and create chaos, pełny raport badaczy: Attacking the Network Time Protocol (PDF)


• Apple opublikował szereg poprawek obejmujących iOS, OS X i WatchOS, sugeruję nie zwlekać z łataniem - zob. dobreprogramy.pl, Apple aktualizuje systemy: poważne poprawki bezpieczeństwa i „środkowy palec”, komunikaty firmy Apple: About the security content of OS X El Capitan v10.11.1 and Security Update 2015-007 oraz About the security content of iOS 9.1. Nawiasem mówiąc, o jailbreaku możecie na razie zapomnieć, tak przynajmniej podaje ZDNet: Apple fixes 49 security bugs in iOS 9.1; kills jailbreak


• Certyfikaty wystawiane przez Let's Encrypt (czyli niedawno powstałe darmowe i otwarte centrum certyfikacji HTTPS) we wszystkich popularnych przeglądarkach są już oznaczane jako zaufane - zob. Ars Technica, With goal of universal HTTPS, Let’s Encrypt reaches important milestone, komunikat na stronie projektu Let's Encrypt: Let's Encrypt is Trusted


• Tekst z gatunku „nie próbujcie tego w domu” (a właściwie na mieście), czyli o tym, jak w dość prosty sposób można przejąć kontrolę nad infokioskami ze szczególnym uwzględnieniem biletomatów - zob. Niebezpiecznik, Porno na rzeszowskich biletomatach — jak włamać się do biletomatu?


• Według Briana Krebsa firma IBM zasługuje na tytuł dostawcy usług najbardziej przyjaznego spamerom - zob. Krebs on Security, IBM Runs World’s Worst Spam-Hosting ISP?


• W nowym raporcie McAfee znajdziemy dokładny cennik danych sprzedawanych na przestępczych forach. Przykładowo, dane logowania do serwisów płatniczych w przypadku rachunków z saldem od 400 do 1000 USD kosztują od 20 do 50 USD, a gdy saldo mieści się w granicach 5000–8000 USD, cena wzrasta do 200–300 USD - zob. McAfee, The Hidden Data Economy (PDF), streszczenie po polsku znajdziemy w serwisie Computerworld: Zobacz, ile zarabiają cyberprzestępcy


• Zainstalowaliście już aktualizacje zabezpieczeń udostępnione w tym miesiącu przez Oracle? Na szczególną uwagę zasługują Sun Systems, Java (z 25 usuniętymi lukami) oraz produkty wykorzystujące OpenSSL, w tym MySQL i Supply Chain. Łącznie załatano 154 luki - zob. ZDNet, Oracle's critical security update: 154 problems fixed in latest patch, bardziej szczegółowe informacje znajdziemy oczywiście w wydanym przez firmę biuletynie: Oracle Critical Patch Update Advisory - October 2015


• Tymczasem sposób aktualizowania Windowsa 10 nadal wzbudza kontrowersje- wielu użytkownikom się nie podoba, że poprawki dla tego systemu mają być dostarczane wyłącznie w postaci pakietów. Powstała już nawet petycja skierowana do szefa Microsoftu - zob. Computerworld, Windows 10 tylko ze zbiorczymi aktualizacjami


• Na zakończenie polecam udział w hackme przygotowanym przez CERT Polska. Rozwiązania można nadsyłać do końca miesiąca, do wygrania kilka wartych uwagi książek - zob. CERT Polska, Hackme ECSM 2015

Zapraszam do czytania i komentowania, a jeśli sami natraficie w internecie na ciekawy, aktualny lub ponadczasowy artykuł dotyczący bezpieczeństwa, prześlijcie mi do niego link na adres anna@di24.pl - postaram się go zamieścić w następnym przeglądzie wydarzeń.