• Desktopowy klient Dropboksa regularnie skanuje nie tylko zawartość dedykowanego katalogu, ale też inne pliki na komputerze użytkownika, niezależnie od tego, gdzie się znajdują - zob. Niebezpiecznik, Dropbox ma dostęp do wszystkich twoich plików i wykonuje na nich podejrzane operacje


• Odkryto kolejną poważną lukę w protokole SSL (CVE-2015-0204). Za jej pomocą atakujący może wymusić użycie słabszej wersji algorytmu RSA pomiędzy klientem a serwerem. Zagrożenie dotyczy klientów wykorzystujących Apple SecureTransport (firma przygotowuje już poprawkę) lub OpenSSL (jak domyślna przeglądarka w systemie Android, zaleca się porzucenie jej na rzecz Google Chrome) - zob. ZDNet, FREAK: Another day, another serious SSL security hole


• Szacuje się, że na wspomnianą wyżej lukę może być podatnych 26% serwerów umożliwiających nawiązywanie połączeń w oparciu o SSL. Z listą podatnych serwerów można zapoznać się na stworzonej do tego celu stronie Tracking the FREAK Attack. Na stronie firmy Qualys można natomiast przetestować podatność swego serwera na atak - zob. Qualys, SSL Server Test


• Wykorzystując polecenie ping, można wstrzykiwać polecenia w licznych modelach routerów produkowanych przez D-Link oraz TRENDnet - zob. Zaufana Trzecia Strona, Zdalne wykonywanie kodu na wielu modelach ruterów D-Linka


• Chociaż amerykańskie agencje rządowe nie mają skrupułów przed samodzielnym wykorzystywaniem wbudowanych w oprogramowanie tylnych furtek, to chęć Chińczyków, by robić to samo, wzbudza w nich zdecydowany opór - zob. dobreprogramy.pl, Chiny blokują Avasta i domagają się wbudowania backdoorów. USA protestują


• Użytkownicy smartfonów zainteresowani bezpieczną komunikacją powinni zainteresować się nową wersją komunikatora Signal - zob. Ars Technica, Now you can easily send (free!) encrypted messages between Android, iOS


• Symantec przeanalizował 999 próbek bankowych trojanów, znajdując w ich kodzie dowody na to, że atakujących interesują pieniądze klientów 1467 instytucji finansowych z 86 krajów na całym świecie - zob. Symantec, Financial Trojans in 2014: Takedowns contributed to 53 percent drop in infections, but threat is still prevalent


• Marcowe wydanie bezpłatnego biuletynu OUCH! zawiera wskazówki, jak zabezpieczyć  komputer i konta w grach online (zarówno swoje, jak i dzieci, jeśli jesteś rodzicem) - zob. SANS / CERT Polska, Bezpieczne granie online (PDF)


• Podsumowanie jednego z najbardziej znanych turniejów w kalendarzu CTF (ang. Capture The Flag), w którym w tym roku sklasyfikowano aż 828 zespołów, w tym kilka z Polski. Z artykułu dowiecie się, jak im poszło, poznacie też rozwiązania zadań z zestawu School Bus, czyli dla początkujących - zob. Sekurak, Boston Key Party CTF 2015, czyli nie taki diabeł straszny


• Jeżeli chcielibyście spróbować swoich sił, rozwiązując zadanie typu crackme, odwiedźcie stronę rekrutacyjną firmy ESET, która od kandydatów na stanowisko analityk zagrożeń oczekuje praktycznych umiejętności z zakresu inżynierii wstecznej - zob. Join ESET

Zapraszam do czytania i komentowania. Jeśli natomiast natrafiłeś/natrafiłaś w sieci na ciekawy, aktualny artykuł dotyczący bezpieczeństwa, prześlij mi do niego link na adres anna@di24.pl