• Znaleziono błąd , dzięki któremu można było wykonywać dowolny kod na serwerze Facebooka z uprawnieniami serwera WWW. Luka została już załatana, a jej odkrywca zgarnął niemałą nagrodę - zob. Zaufana Trzecia Strona, RCE na serwerze Facebooka za $40k z użyciem błędu sprzed 5 miesięcy, więcej szczegółów technicznych znajdziecie na stronie 4lemon.ru: Facebook’s ImageTragick story


• Warto też wspomnieć o jeszcze niezałatanej podatności w facebookowym Messengerze - zob. dobreprogramy.pl, Messenger podatny na kradzież nagrań audio. Podsłuchuje nie tylko Wielki Brat


• Kryptografia i bezpieczeństwo sieci komputerowych. Koncepcje i metody bezpiecznej komunikacji. Wykorzystaj potencjał drzemiący w protokołach SSH, HTTPS i SSL. Poznaj też metody wykrywania ataków oraz skutecznej obrony przed nimi. [link afiliacyjny]


• Exploit umożliwiający przejęcie kontroli nad kamerkami Samsunga wykorzystuje lukę w niedostępnym dla użytkownika lokalnym interfejsie webowym i może być rozpowszechniany jako aktualizacja firmware'u - zob. Ars Technica, It’s shockingly easy to hijack a Samsung SmartCam camera


• Ukazał się pierwszy tegoroczny numer bezpłatnego biuletynu Fundacji Bezpieczna Cyberprzestrzeń z luźniejszymi komentarzami do bieżących wydarzeń ze świata teleinformatycznego - zob. Zawór Bezpieczeństwa 1/2017 (PDF)


• Fałszywy fanpage „Lotto - Polska”, obiecując pieniądze za polubienia i komentarze, uzbierał kilkadziesiąt tysięcy fanów - zob. Bezprawnik.pl, Audi Lewandowskiego to przy tym pikuś – ktoś podszywa się pod Lotto na Facebooku i obiecuje miliony oraz Już wiemy po co fałszywemu profilowi Lotto na Facebooku armia głuptasów – będą zarabiali na ich SMS-ach


• Właściciele niektórych popularnych warszawskich klubów otrzymali wczoraj niepokojącą wiadomość - zob. Zaufana Trzecia Strona, Właściciele warszawskich klubów szantażowani alarmami bombowymi


• Upubliczniono szczegóły podatności na stronie internetowej TVP - zob. Niebezpiecznik, TVP od 5 miesięcy nie usunęło XSS-a


• Testowanie bezpieczeństwa aplikacji internetowych. Receptury. Poznaj i wykorzystaj mechanizmy testowania zabezpieczeń, a nikt nie prześlizgnie się przez Twoją witrynę. [link afiliacyjny]


• Kolejny wysyp złośliwych aplikacji w Google Play - zob. dobreprogramy.pl, Znów złośliwe aplikacje w Google Play – trudno ten sklep uznać za „zaufane źródło”


• Odtajniono sądowy nakaz dotyczący serii ataków skierowanych przeciwko włoskim urzędnikom i instytucjom rządowym najwyższego szczebla. W atakach wykorzystywano szkodliwe oprogramowanie o nazwie EyePyramid - zob. Securelist, Ataki „EyePyramid”


• OWASP Dependency-Check to oprogramowanie typu open source, które potrafi wykrywać luki w komponentach aplikacji Javy i .NET. W fazie eksperymentalnej są już analizatory do aplikacji w Pythonie, Ruby, PHP i Node.js, a także w okrojonej wersji dla C/C++ - zob. Sekurak, Jak sprawdzić czy używam podatnych bibliotek? Projekt OWASP Dependency-Check

Zapraszam do czytania i komentowania, a jeśli sami natraficie w internecie na ciekawy, aktualny lub ponadczasowy artykuł dotyczący bezpieczeństwa, prześlijcie mi do niego link na adres anna@di24.pl - są spore szanse, że zamieszczę go w następnym przeglądzie wydarzeń.