Z ostatniej chwili

Sektor energetyczny atakują hakerzy! Uwaga! Klienci Kantoru Alior Bank. Jak chronić komputer? Jak zabezpieczyć strony oparte WordPress’a?

Rosyjscy hakerzy (znów) atakują firmy sektora energetycznego

Rosyjscy hakerzy uderzyli w amerykańskie obiekty jądrowe. Takich rewelacji dostarcza New York Times wydany w dniu kiedy Donald Trump spotkał się z Vladimirem Putinem. Te informacje potwierdzili specjaliści, którzy odpowiadali na ataki. Grupa rosyjskich hakerów (Energetic Bear, znani również jako Dragonfly) prowadziła kampanię phishingową celującą w firmy sektora energetycznego. Grupa działa najprawdopodobniej od 2010 roku i atakuje cały czas, wiec kolejne doniesienia stają się coraz mniej zaskakujące.

Znów stary dobry spear phishing

W ramach kampanii phishingowej wiadomości wysyłane przez hakerów były wysoce spersonalizowane. Skierowane one były głównie w inżynierów, którzy mieli bezpośredni dostęp do systemów przemysłowych. Złośliwe załączniki były dokumentami Worda, które, jeśli zostały otwarte, wykradały dane logowania oraz rozprzestrzeniały złośliwe oprogramowanie na inne komputery w sieci…

Czytaj więcej na: https://niebezpiecznik.pl

Uwaga klienci Kantoru Aliora, można poznać Wasz identyfikator logowania

Czy bank może jednocześnie odmawiać podania jakiejś informacji przez infolinię w związku z troską o bezpieczeństwo klienta i jednocześnie pomagać klientom udostępniać ją przypadkowym osobom w internecie?

Jeden z naszych Czytelników, Maciek Głąb, odkrył ciekawostkę w numerze rachunku, który posiada w Kantorze Walutowym Alior Banku. Otóż osiem ostatnich cyfr numeru rachunku w Kantorze jest w 100% zgodnych z identyfikatorem logowania do bankowości elektronicznej Alior Banku. Co w tym złego – piszemy poniżej.

Poufny numer którego nie podajemy na infolinii

Kiedy zaczęliśmy analizować, jaką rolę i znaczenie ma identyfikator klienta w Alior Banku (zwany także CIF), natrafiliśmy na dwa dokumenty opublikowane na stronie banku. Pierwszy z nich opisuje ryzyka związane z korzystaniem z bankowości elektronicznej i wskazuje wśród nich taki element jak ujawnienie danych służących do zalogowania do systemu, czyli np. identyfikator/hasło.

Czytaj więcej na: https://zaufanatrzeciastrona.pl

Jak chronić sprzęt komputerowy?

Mimo niezaprzeczalnego postępu techniki komputerowej, jaki został poczyniony na przestrzeni lat, sposób skutecznej ochrony podzespołów oraz zgromadzonych cyfrowych informacji wciąż pozostaje wyzwaniem. Warto zatem zadać pytanie: jak należy chronić czuły sprzęt elektroniczny, by móc spać spokojnie?

Sprzęt komputerowy, jak również wszelkiej maści wyposażenie RTV/AGD poczyniły ogromny skok technologiczny. Niestety, cechą wspólną zaawansowanej elektroniki jest jednocześnie podatność na wszelkiego rodzaju przepięcia mogące trwale uszkodzić poszczególne komponenty. Zagrożenia mogą wynikać z warunków atmosferycznych – burza wrogiem każdego komputera, nagłymi zmianami napięcia w instalacji czy też czynnika ludzkiego.

Dobra listwa to podstawa

Inwestując stosunkowo niewiele, można uniknąć dotkliwych strat. Wystarczy dobra listwa antyprzepięciowa i uziemienie w gniazdku. Z roku na rok otaczamy się w naszych domach i biurach coraz większą ilością sprzętu elektronicznego. By ograniczyć pobór energii oraz dodatkowo zabezpieczyć sprzęt, producenci wprowadzają coraz to nowe rozwiązania.

Przykładowo produkty firmy Armac posiadają automatyczny bezpiecznik, mający zapewnić ochronę w razie skoków napięcia, powstałych na skutek wyładowań atmosferycznych lub awarii samej instalacji elektrycznej. Co ciekawe, obudowę takiej listwy wykonano z samogasnącego tworzywa sztucznego, dzięki czemu w razie ostateczności nie stanie się dodatkowym źródłem pożaru.

Ponadto listwa antyprzepięciowa powinna mieć specjalne zabezpieczenie uniemożliwiające wetknięcie do otworów gniazd sieciowych palców lub niedużych przedmiotów, tym samym chroniąc nasze pociechy i nieuważnych dorosłych przed przypadkowym porażeniem prądem.

Kupując listwy antyprzepięciowe, należy zwrócić uwagę na parametry, takie jak: absorpcja energii, czas reakcji układu przepięciowego czy maksymalne dopuszczalne obciążenie. Listwy są szczególnie przydatne przy urządzeniach działających nieustannie, a więc wrażliwych na „jakość prądu” – są to m.in. zautomatyzowane domowe kotły i piece…

Czytaj więcej na: http://www.pcworld.pl

Jak zabezpieczyć WordPress – poradnik krok po kroku

Decyzja o tym, jakie oprogramowanie wykorzystamy w wybranym celu, często podejmowana jest na podstawie analizy czasu potrzebnego na jego wdrożenie oraz sumarycznej ilości funkcji, jakie ten system nam dostarczy. Prawdopodobne jest jednak to, że tam, gdzie priorytetem jest wygodna i czas, w pierwszej kolejności ucierpi bezpieczeństwo.

Czym jest WordPress

WordPress należy zaliczyć do oprogramowania klasy CMS (ang. Content Management System). Podstawowy zakres funkcji pozwala na szeroko pojęte dostarczanie treści oraz ich komentowanie. Standardowy wachlarz funkcji może zostać rozbudowany poprzez system wtyczek oraz szablonów, które WordPress pozwala instalować wprost z panelu zarządzania.

WordPress w liczbach

Opierając się na danych z serwisu w3techs.com, można wysnuć wniosek, że przeglądając cztery serwisy internetowe, jeden spośród nich będzie wykorzystywał jako silnik właśnie WordPress. W kategorii systemów CMS WordPress miał udział na poziomie prawie 60%. Przypominając, że mówimy o wszystkich stronach WWW dostępnych w sieci oraz o aplikacjach klasy CMS – daje to obraz skali zasięgu WordPress. Interesujące są również statystyki, jakie można znaleźć na oficjalnej stronie projektu. Wynika z nich, że aktualna rozwijana gałąź zainstalowana jest na mniej niż połowie uruchomionych instancji. Te same statystyki pozwalają ustalić, że jedna na dziesięć instalacji dalej pochodzi z wersji 3.x.

Zagrożenia

WordPress ma długą i bogatą historię wykrytych podatności. Na liście tej możemy znaleźć praktycznie wszystkie typy zagrożeń wymienione w OWASP Top 10. Obecnie jednak główne źródło problemów upatruje się we wtyczkach, które bardzo często wyróżniają się wyjątkowo niską jakością kodu. Aby się o tym przekonać, wystarczy przejrzeć agregatory exploitów. Za samo ostatnie półrocze wpisów dotyczących wtyczek WordPress jest blisko czterdzieści.

Ciekawe badanie przeprowadził również zespół RIPS. Wynika z niego, że ponad 40% z przebadanych wtyczek ma przynajmniej jedną podatność o średnim poziomie zagrożenia.

Ochrona poprzez przeciwdziałanie

Jeżeli nie mamy wpływu na zachowanie aplikacji, którą uruchamiamy we własnym środowisku, możemy zainteresować się oprogramowaniem klasy WAF. Na rynku znaleźć można kilka rozwiązań, które z powodzeniem powinny zablokować zdecydowaną większość ataków, jakie są wymierzane w kierunku naszych aplikacji WWW. Jednym z najczęściej stosowanych rozwiązań jest F5 BIG-IP lub szeroko znany CloudFlare, który w wyższych planach abonamentowych udostępnia właśnie ochronę klasy WAF. Oczywiście oprogramowanie tego typu ma zastosowanie nie tylko w przypadku serwisów uruchomionych w oparciu o WordPress.

Jeżeli jednak polityki bezpieczeństwa nie pozwalają nam na przekierowanie ruchu przez serwery firm trzecich lub na delegowanie serwerów DNS do zewnętrznych podmiotów – jak ma to miejsce w przypadku CloudFlare – oraz ogranicza nas budżet, wtedy trzeba zakasać rękawy i wziąć sprawy we własne ręce.

Hardening na własną rękę

Rozpoczynając „utwardzanie” instancji WordPress, należy pamiętać o tym, że na kwestie bezpieczeństwa lepiej nie patrzeć punktowo. Mówiąc wprost, to, czy nasza instalacja WordPress będzie bezpieczna, zależy oczywiście od konfiguracji samego CMS, ale krytyczne są tutaj również kwestie konfiguracji środowiska, na którym będzie on uruchomiony. W skład tego środowiska wchodzi zarówno serwer, na którym uruchamiamy WordPress, jak również serwer WWW i baza danych. Na tym etapie należy wykonać techniczny rachunek sumienia i odpowiedzieć na pytanie, czy chcemy skorzystać ze środowiska współdzielonego hostingu, gdzie w większości przypadków kwestie związane z konfiguracją np. PHP spadają na naszego dostawcę, czy może jednak będziemy próbowali konfigurować wynajęty serwer dedykowany lub VPS. Jeżeli decydujemy się na drugą opcję, warto zadbać o to by, środowisko zostało odpowiednio zabezpieczone oraz charakteryzowało się odpowiednią dostępności…

Czytaj więcej na: https://sekurak.pl

O Legiobiznes.pl

Budowa i tworzenie profesjonalnych, responsywnych (RWD) stron www. Pozycjonowanie SEO, sklepy internetowe eSklep...

Sprawdź także

Twój smartfon sam wykryje, że został skradziony. Niebezpieczna podatność MS Office na Mac

Twój smartfon sam wykryje, że został skradziony. Niebezpieczna podatność MS Office na Mac

Złodzieje mają przegwizdane. Twój smartfon sam wykryje, że został skradziony Google testuje nową funkcję Androida, …

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

DARMOWE OGŁOSZENIA