Kulisy uzyskania dostępu do serwerów Instagramu. Przez ataki DDoS znów nie można będzie w święta pograć? Przegląd cyberbezpieczeństwa - 20.12.2015

• Niejaki Wes Wineberg zdobył pełny dostęp do infrastruktury Instagramu, w opinii Facebooka (do którego należy teraz Instagram) posunął się jednak nieco za daleko, więc dużej nagrody w ramach programu bug bounty nie otrzymał - zob. Zaufana Trzecia Strona, Gdzie leży granica bug bounty czyli ciekawy przypadek kluczy AWS Instagrama


• Google kontynuuje proces wycofywania certyfikatów SSL (TLS) SHA-1 w przeglądarce Chrome - zob. Google, An update on SHA-1 certificates in Chrome, po polsku pisze o tym Kryptosfera: Kolejny etap wycofywania certyfikatów SSL SHA-1 w Chrome


• Firma Rayzone, prowadząc podobne działania jak niesławny Hacking Team, oferuje całą gamę rozwiązań szpiegujących, wśród których znajdziemy m.in. urządzenie do masowego zbierania najrozmaitszych informacji z różnych modeli smartfonów - zob. Sekurak, Izraelska firma oferuje służbom urządzenie do zdalnego przejmowania dowolnych smartfonów


• W trakcie ubiegłorocznych świąt grupa Lizard Squad uniemożliwiła graczom dostęp do Xbox Live i PlayStation Network. W tym roku może nas niestety czekać „powtórka z rozrywki” - zob. Naked Security from Sophos, Hackers plan to ruin Christmas for gamers again


• Pod koniec zeszłego tygodnia wspominałam o backdoorze w produktach z serii Netscreen firmy Juniper Networks. Dziś proponuję artykuł na ten temat po polsku - zob. Zaufana Trzecia Strona, Kompromitacja Junipera – tylna furtka w firewallach istniała od 3 lat


• Eksperci z Trend Micro kontynuują rozpracowywanie operacji Black Atlas, w ramach której przestępcy włamują się do systemów IT eksploatowanych przez małe i średnie firmy, instalując w pamięci terminali POS szkodnika wykradającego pieniądze z kart płatniczych - zob. Trend Micro, Operation Black Atlas, Part 2: Tools and Malware Used and How to Detect Them


• Ciekawy tekst zahaczający o tzw. archeologię informatyczną - zob. vigila semper, DUDEK - polskie urządzenie szyfrujące z lat 60-tych


• Wyciekły dane 3,3 mln fanów Hello Kitty - zob. CSOnline, Database leak exposes 3.3 million Hello Kitty fans


• Nie dajcie się nabrać na kolejne krążące po Facebooku oszustwo - tym razem naciągacze obiecują darmowe doładowania telefonów „za pieniądze z Unii”. Tak naprawdę możemy jedynie zasubskrybować kosztowne usługi Premium. Przykładowe wiadomości, którym nie wolno ufać, pokazuje na swoim profilu na Facebooku BAD[SECTOR].PL


• Na zakończenie coś dla bardziej zaawansowanych użytkowników zainteresowanych zadaniami CTF - na GitHubie możecie znaleźć pokaźną kolekcję opisów ich rozwiązania - zob. CTF write-ups 2015

Zapraszam do czytania i komentowania, a jeśli sami natraficie w internecie na ciekawy, aktualny lub ponadczasowy artykuł dotyczący bezpieczeństwa, prześlijcie mi do niego link na adres anna@di24.pl - postaram się go zamieścić w następnym przeglądzie wydarzeń.