VeriSign to amerykańska firma, która odpowiada za rejestry domen, takich jak .com, .gov czy .net, przetwarza blisko 50 milionów zapytań dziennie i jeszcze do niedawna była jednym z największych dostawców certyfikatów SSL. Okazuje się, że VeriSign padła ofiarą wielokrotnych ataków ze strony hakerów, którzy wykradali z jej serwerów informacje. Jakie to informacje były i czy bezpieczeństwo stron internetowych na całym świecie nie jest zagrożone?
Autorem tekstu jest Jerzy Patraszewski, administrator systemów w Hostersi.
Co rusz docierają do nas informacje o atakach hakerskich. Przy tej okazji spece od IT radzą nam, że należy dbać o bezpieczeństwo systemów i danych. Na co konkretnie powinniśmy zwrócić uwagę? Czy polecane testy bezpieczeństwa są skuteczną ochroną przed cyberwłamaniem?
Bitcasa to bardzo ciekawy startup zaprezentowany na TechCrunch Disrupt, o którym niedawno pisał Grzegorz Marczak. Jedną z głównych obietnic jaką składa Bitcasa, to nieograniczona ilość miejsca na przechowywanie danych. Do tej pory nie wiadomo było jak twórcy nowej usługi zamierzają ją zrealizować, jednocześnie zapewniając bezpieczeństwo. Okazuje się, że pomimo szyfrowania danych po stronie klienta będzie możliwa deduplikacja plików. Jest to zapewne bezpieczniejsze rozwiązanie niż w Dropboksie. W tym artykule zaprezentuję porównanie możliwości tych dwóch serwisów.
Czasami ludzie zajmujący się bezpieczeństwem, zarówno ci dobrzy, jak i ci źli, naprawdę zaskakują mnie swoja pomysłowością. Jednym z pomysłów który wydaje się genialny w swojej prostocie, jest wykorzystanie akcelerometru umieszczonego w telefonie do przechwytywania informacji które klawisze zostały wciśnięte. Nowatorskie podejście pozwoliło stworzyć keyloggera pozwalającego obejść większość zabezpieczeń.
Dropbox, najpopularniejszy serwis służący do przechowywania plików w chmurze, budzi wiele kontrowersji, głównie z powodów niejasnej kwestii prywatności i bezpieczeństwa. Użytkownicy zarzucali, że początkowe zapewnienia o tym, że tylko prawowity właściciel ma dostęp do plików nie są zgodne z prawdą i mieli rację. Dropbox postanowił skończyć z niejasnościami i zmienić warunki korzystania z usługi (Terms of Service), politykę prywatności (Privacy Policy) oraz przegląd zabezpieczeń (Security Overview) na bardziej czytelne i jednoznaczne, jednocześnie komentując zmiany na swoim blogu. Wprowadzone modyfikacje można podsumować w następujących punktach:
Wszyscy zdążyliśmy się przyzwyczaić, że niebezpieczne jest instalowanie programów z niepewnych źródeł. Nawet na bezpiecznym Linuksie i Macu były przypadki złosliwego oprogramowania tego typu. Oczywiście, żeby szkodliwa aplikacja zaatakowała, potrzebna była zgoda użytkownika, jednak na tym to zwykle polega. Użytkownik komputera jest zazwyczaj najsłabszym ogniwem, jeśli chodzi o bezpieczeństwo. Zazwyczaj znacznie łatwiej socjotechniką podejść użytkownika, niż łamać zabezpieczenia oprogramowania.
Do wszelkich badań opartych na odpowiedziach respondentów, jakimi w wypadku Ponemon Institute było 583 firm zatrudniających od 500 osób do wielu tysięcy, podchodzę z rezerwą. Jednak wyniki są tak szokujące, że trudno o nich nie wspomnieć. Jedynie 10 procent respondentów stwierdziło, że ich sieci w ciągu ostatnich 12 miesięcy były w pełni bezpieczne. 10 procent nie potrafiło tego ocenić – pozostałe zanotowały co najmniej jedno naruszenie bezpieczeństwa sieci – ale jak się okazuje po dokładnej lekturze raportu, nie musiało to być np. włamanie do firmowej sieci.
Po ostatnich atakach na Sony i dziesiątki innych serwisach, mogłoby się wydawać, że w sieci nie ma już adminów z głową na karku. Jednak ekipa stojąca za WordPress.org udowadnia, że jest inaczej. Wczoraj poinformowali na swoim blogu, że namierzyli podejrzane aktualizacje wtyczek AddThis, WPtouch i W3 Total Cache, które nie pochodziły od autorów i zawierały sprytnie zakamuflowanego backdoora. Najwyraźniej, ktoś dostał się na konta deweloperów i postanowił wykorzystać popularność tych wtyczek.
Wiele ostatnio mówi się o bezpieczeństwie jednej z najpopularniejszych usług pozwalającej przechowywać pliki w chmurze i synchronizować je pomiędzy wieloma urządzeniami. To cena dużej popularności, którą Dropbox musi zapłacić. Podobnie jak w przypadku luk w Windows czy produktach Adobe, zwłaszcza Flash i Adobe Reader, wiele osób patrzy na ręce i wytyka wszystkie potknięcia. Tym nie mniej ostatnia wpadka Dropboxa wygląda na bardzo poważną. Do serwisu można było zalogować się przy pomocy dowolnego ciągu znaków. Umożliwiało to oczywiście zalogowanie się do dowolnego konta. Problem występował dwa dni temu, przez 4 godziny i był efektem błędu w trakcie aktualizowania kodu, jak poinformował na swoim blogu Arash Ferdowsi, współzałożyciel i CTO Dropboxa. Dodał również, że w trakcie wystąpienia błędu logował się jedynie 1% użytkowników, oraz, że są w trakcie ustalania szczegółów na temat aktywności na tych właśnie kontach.
Bitcoin – wirtualna waluta, generowana za pomocą mocy obliczeniowej komputera, o której Gniewomir pisał dwa razy [1] [2], właśnie dramatycznie straciła na wartości, przynajmniej w jednym wirtualnym “kantorze”.
Sam pomysł na elektroniczną walutę, bez banków, bez odgórnych regulacji, bardzo mi się spodobał, kiedy przeczytałem o nim po raz pierwszy. Wirtualna waluta ma już dwa lata i właśnie kiedy zaczynała stawać się na tyle popularna, by warto było się nią zainteresować, jej wartość spadła na łeb, na szyję z 17$ za jednego Bitcoin, do kilku centów, w ciągu kilkunastu minut. Całe szczęście spadek dotyczył tylko jednego punktu skupu i nie wpłynął na kurs waluty w sensie globalnym, przynajmniej, nie aż tak mocno, bo w TradeHill wartość jednego Bitcoin to 13$.
Sega, międzynarodowy producent i wydawca gier wideo, oraz konsol do gier, ogłosił wczoraj, że podczas włamania hakerów wykradziono dane 1,3 mln klientów. Jak podaje Reuters, skradziono imiona i nazwiska, daty urodzenia, adresy e-mail oraz hasła w postaci zaszyfrowanej do sieci Sega Pass. Sega poinformowała również, ze wszelkie dane dotyczące płatności, w tym numery kart kredytowych, są bezpieczne.
Da się zauważyć, że jestem wielkim zwolennikiem wszelkich rozwiązań bazowanych na “chmurze”. Do tego stopnia, że z niecierpliwością czekam, gdy również gry przeniosą się do sieci, bez pośrednictwa narzędzi takich jak STEAM – wykorzystując przeglądarkę. Jednak aby tak się stało, wspierana sprzętowo grafika 3D dla aplikacji sieciowych to absolutna konieczność. Niestety, Microsoft ma rację wskazując poważne niebezpieczeństwa jakie niesie za sobą WebGL i każde podobne rozwiązanie.
Kolejne włamanie do na serwisy należące do Sony wieje już nudą, więc grupa LulzSec postanowiła wlać trochę życia w internetowych smutasów otwierając gorącą linię. Jak napisał jeden z fanów, na Twitterze “to niesamowite, że @LulzSec potrafi utrzymywać obleganą centralkę telefoniczną, konto na Twitterze, włamywać się na rządowe i firmowe serwery i uniknąć konsekwencji. Kocham ich!”.
Dzwoniący na wskazany numer słyszą wiadomość nagraną przez personę z francuskim akcentem i przedstawiajacą się jako Pierre Doubois i mogą zostawić mu wiadomość. Wdług Twittera LulzSec dostali ich już ponad 2,5 tys., a kolejne 5 tys. osób się po prostu nie dodzwoniło.
W piątek pisałem o udanym ataku grupy hakerów LulzSec na serwery Sony – konkretnie na usługę Sony Pictures, a dziś mam dla Was kolejne wieści na ten temat. Grupa znów zaakatowała – tym razem serwery Nintendo oraz Infragard, organizacji współpracującej z FBI. Producent gier i konsol miał na tyle dobrze zabezpieczone serwery, że nie udało się ukraść z nich żadnych danych użytkowników. Tego samego powiedzieć nie można o Infragardzie, gdzie po przejęciu bazy danych udało się także uzyskać dostęp do poczty jednego z pracowników.
Wczoraj pisałem o możliwym włamaniu na konta użytkowników LinkedIn z powodu tego, że ciasteczka stają się widoczne dla podsłuchującego dlatego, że serwis po zalogowaniu przerzuca użytkownika z https do standardowego protokołu http. Wpis wywołał pewne reakcje i ogólne zainteresowanie. Sama wiadomość obiegająca blogosferę zyskała duże znaczenie. Nie ma co się dziwić – nikt nie chce być podsłuchiwany czy też nie chce sytuacji, w której ktoś podgląduje regularnie jego profil w serwisie społecznościowym. Nie wszyscy jednak wiedzą, jak się przed tym chronić. EFF uruchomiło w kwietniu kampanię HTTPS Now, której założeniem jest edukacja w dziedzinie zabezpieczeń nie tylko internautów, ale przede wszystkim administratorów i właścicieli stron.
RSS
Flaker
Pod adresem beta.m.onet.pl można obejrzeć przymiarki do nowej mobilnej wersji portalu Onet. Pobawiłem się chwile na iPhonie i mam kilka drobnych uwag, ale poza tym bardzo ciekawa propozycja. Jasna i przejrzysta tak jak lubię.
SkomentujOdkąd mam smartphone testuje każdą wyścigówkę, jaka wyjdzie na mój sprzęt. Co mnie od początku spodobało się w takich grach, to sterowanie pojazdem. Naturalne ruchy dłonią, jakbyśmy trzymali prawdziwą kierownicę, no prawie:). Wcześniejsze wyścigi na PC i sterowanie klawiaturą dalekie było od doskonałości. Teraz można połączyć wygodę sterowania z dużym ekranem na PC.
SkomentujTylko dziś, będący jeszcze w fazie prywatnej bety, serwis This Is My Jam jest dostępny dla wszystkich użytkowników. Jeżeli nie słyszeliście wcześniej o tym serwisie, pokrótce wyjaśnię, iż to nic innego jak muzyczna platforma do dzielenia się odsłuchiwanymi przez nas piosenkami. Utwory pobierane są z Youtube. Po założeniu konta w tym serwisie (można powiązać z kontem na Facebooku lub Twitterze), korzystamy z wyszukiwarki by odnaleźć naszą piosenkę, którą akurat chcemy odsłuchać. Można też wpisać nazwę zespołu. Spośród znalezionych utworów wybieramy jeden i tworzymy naszą muzyczną stronę, którą możemy się podzielić ze znajomymi. A wygląda efektownie:
Skomentuj
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
