Jak usunąć certyfikat eDellRoot z laptopa Della. Amazon resetuje użytkownikom hasła. Przegląd wydarzeń dot. e-bezpieczeństwa - 25.11.2015

• Ciąg dalszy zamieszania z zaufanymi certyfikatami na laptopach Della: firma ubolewa i pokazuje metodę usunięcia certyfikatu eDellRoot, który może posłużyć do przeprowadzenia ataku man-in-the-middle - zob. dobreprogramy.pl, Dell wyjaśnia, jak usunąć z jego komputerów groźną lukę, którą sam do nich wprowadził oraz Ars Technica, Dell apologizes for HTTPS certificate fiasco, provides removal tool


• Instrukcja opisująca krok po kroku, jak rozwiązać problem - zob. Dell, eDellRoot Certificate Removal Instructions (PDF). Aby sprawdzić podatność swego laptopa na atak za pośrednictwem wspomnianego wyżej certyfikatu, można odwiedzić stronę edell.tlsfun.de


• Pojawiła się też strona z kodem proof-of-concept, która pokazuje, jak łatwo zainteresowani mogą pozyskać unikalny ID urządzenia, jeśli działa na nim aplikacja Dell Foundation Services. Taki ID może zostać wykorzystany np. do śledzenia użytkownika w sieci - zob. Ars Technica, PCs running Dell support app can be uniquely ID’d by snoops and scammers


• Amazon poinformował użytkowników o zresetowaniu części haseł. W tym samym mniej więcej czasie badacze upublicznili informację o podatności w zabezpieczeniach Amazon Web Services - zob. ZDNet, Amazon force-resets some account passwords, citing password leak oraz Ars Technica, Researchers poke hole in custom crypto built for Amazon Web Services


• Jeżeli nigdy nie fuzzowaliście swojego oprogramowania, zobaczcie, jak się do tego zabrać i dlaczego warto to robić - zob. Niebezpiecznik, Fuzzing oprogramowania przy pomocy afl


• Warto też zerknąć na wyniki analizy statycznej kodu ok. 1000 wtyczek do WordPressa przeprowadzonej przez Marcina Probolę - blog.cinu.pl, PHP static code analysis vs ~1000 top wordpress plugins = 103 vulnerable plugins found


• Nie klikajcie w byle co na Facebooku! Komputer Świat informuje, że ponad 16 mln osób nieopatrznie udostępniło swoje dane nieznanej nikomu firmie, biorąc udział w quizie „Most used words” - zob. Komputer Świat, Quiz na Facebooku metodą na wyłudzanie danych osobowych?


• Temat wałkowany już wiele razy, ale warto powtarzać do skutku: informacje o nas, które trafiają do sieci, gdy przeglądamy strony WWW lub korzystamy z map, można skontrolować i skorygować w ustawieniach - zob. Kaspersky Lab, Czy wiesz, czym dzielisz się z Google’em?


• Informacje przechowywane na dyskach twardych typu SED (Self-Encrypting Disc) nie są tak bezpieczne, jak byśmy chcieli. Na konferencji Black Hat Europe badacze z firmy KPMG zademonstrowali, jak można odczytywać dane zapisane na takich dyskach - zob. Computerworld, Dane zapisane na samoszyfrujących dyskach twardych nie są bezpieczne


• Na zakończenie polecam wywiad wideo z szefem Fundacji Bezpieczna Cyberprzestrzeń - zob. cybersecurity.org, Zapraszamy do wysłuchania rozmowy z Mirosławem Majem, prezesem Fundacji Bezpieczna Cyberprzestrzeń

Zapraszam do czytania i komentowania, a jeśli sami natraficie w internecie na ciekawy, aktualny lub ponadczasowy artykuł dotyczący bezpieczeństwa, prześlijcie mi do niego link na adres anna@di24.pl - postaram się go zamieścić w następnym przeglądzie wydarzeń.