• Slack załatał lukę, która pozwalała atakującemu uzyskać pełny dostęp do kont użytkowników - zob. ZDNet, Slack bug granted hackers full access to accounts, messages, więcej szczegółów technicznych znajdziecie na blogu Detectify: Hacking Slack using postMessage and WebSocket-reconnect to steal your precious token


• Ciekawy przykład trojana, który infekuje Windowsa przy użyciu złośliwego dokumentu Worda, wykorzystuje skrypty PowerShell i komunikuje się z serwerem C&C za pomocą DNS - zob. Ars Technica, Researchers uncover PowerShell Trojan that uses DNS queries to get its orders, więcej szczegółów technicznych podaje Cisco: Covert Channels and Poor Decisions: The Tale of DNSMessenger


• Łamanie i zabezpieczanie aplikacji w systemie iOS. Dzięki tej książce zrozumiesz, jak działają hakerzy, zabezpieczysz swoją aplikację przez nieuprawnionymi zmianami i zagwarantujesz bezpieczeństwo danych jej użytkownikom. [link afiliacyjny]


• Jak można było pozyskać wpisy z wewnętrznego serwera DNS, wykorzystując podatność SSRF w domenie toolbox.googleapps.com - zob. RCE Security, Ok Google, Give Me All Your Internal DNS Information!


• Europejski Urząd Nadzoru Bankowego opublikował projekt dyrektywy PSD2 (Payment Services Directive), który zakłada m.in. stosowanie haseł jednorazowych także przy logowaniu na stronę banku - zob. Bankier.pl, Nowe standardy w bankowości elektronicznej – logowanie do banku będzie bardziej skomplikowane


• Naukowcy z King Abdullah University of Science and Technology w Arabii Saudyjskiej opracowali mechanizm autodestrukcji, który można będzie aktywować np. w przypadku kradzieży urządzenia - zob. ZDNet, Soon, you can buy gadgets that self-destruct when stolen


• Inżynierowie z Google'a załatali ponad 2,6 tys. projektów open source opartych na Javie, dotkniętych luką Mad Gadget, która została odkryta na początku 2015 r. - zob. Bleeping Computer, 50 Google Engineers Volunteered to Patch Thousands of Java Open Source Projects


• Eksperci opracowali bezpłatne narzędzia pozwalające odzyskać pliki zaszyfrowane przez ransomware Dharma - zob. CSOnline, Free decryption tools now available for Dharma ransomware


• Metasploit. Receptury pentestera. Dzięki tej książce zainstalujesz i skonfigurujesz narzędzie Metasploit, przeprowadzisz testy penetracyjne sieci VoIP, poznasz pakiet narzędzi socjotechnicznych i skutecznie zweryfikujesz bezpieczeństwo systemu informatycznego. [link afiliacyjny]


• Microsoft podwoił nagrody pieniężne, które można zgarnąć po znalezieniu luk w oprogramowaniu Office 365 - zob. Microsoft, Office 365 security researchers: Double your bounties March-May 2017


• Ciekawy sposób na ominięcie systemu reCAPTCHA - zob. Bleeping Computer, Researcher Breaks reCAPTCHA Using Google's Speech Recognition API


• Co się może zmienić po wejściu w życie nowych przepisów o ochronie danych osobowych - zob. Panoptykon, Skarga do GIODO – komentujemy propozycje przepisów

Zapraszam do czytania i komentowania, a jeśli sami natraficie w internecie na ciekawy, aktualny lub ponadczasowy artykuł dotyczący bezpieczeństwa, prześlijcie mi do niego link na adres anna@di24.pl - są spore szanse, że zamieszczę go w następnym przeglądzie wydarzeń.