Kiedy pod koniec września 2015 roku Symantec wystawiał certyfikat pośredni dla firmy Blue Coat zapewne nie spodziewał się, że dziewięć miesięcy później w sieci zaczną pojawiać się instrukcje wskazujące jak usunąć ten certyfikat z zaufanych list poszczególnych systemów operacyjnych. Co jest powodem takiej sytuacji i czy ma ona swoje uzasadnienie?…
Dell także manipuluje przy zaufanych certyfikatach Windowsa
Który to już raz słyszymy o narażaniu użytkowników na ataki man-in-the-middle poprzez podstawianie własnych certyfikatów do zaufanych magazynów? Z pewnością nie pierwszy, ani nie drugi, ani nie trzeci… tym razem historia Della.
Main-in-the-middle ukryty w lodówce
Błędy w implementacji protokołu TLS prowadzące do możliwości wykradania danych użytkowników zdarzają się ostatnimi czasy nierzadko. Tym razem padło na… jedną z inteligentnych lodówek. Błąd odkryli specjaliści bezpieczeństwa z firmy Pen Test Partners, a zhackowana lodówka to produkt firmy Samsung, model RF28HMELBSR.
HSTS wkracza do IE i Spartana
Lepiej późno niż wcale, to chyba najlepsze określenie informacji ogłoszonej przez Microsoft w połowie lutego: HTTP Strict Transport Security został wdrożony w Internet Explorerze i, co naturalne, będziemy mogli z niego korzystać także w przeglądarce Spartan.
Man-in-the-middle w laptopach Lenovo
Pamiętacie opisywaną przeze mnie historię amerykańskiej firmy Gogo, która to poprzez wykorzystanie fałszywego certyfikat podsłuchiwała swoich klientów na pokładach samolotów? Dzisiaj wyszło na jaw, że podobne praktyki, niosące za sobą jeszcze bardziej niebezpieczne konsekwencje, stosuje firma Lenovo.
Podniebny man-in-the-middle
Gogo jest firmą, działającą na terenie Stanów Zjednoczonych, dostarczającą usługę bezprzewodowego Internetu na pokładach samolotów. W ostatnich dniach – przez zupełny przypadek – odkryto, że świadomie podstawiali swoim klientom fałszywy certyfikat SSL.
Internet Explorer chroni przed SSL 3.0 fallback
Czekając na całkowite wyłączenie protokołu SSL 3.0 w przeglądarce Internet Explorer, Microsoft jako doraźne rozwiązanie wdrożył mechanizm chroniący jej użytkowników przed możliwością wymuszenia przez atakującego nawiązywania bezpiecznych połączeń HTTPS z wykorzystaniem starej wersji protokołu.
Public Key Pinning w Firefoxie
Chociaż od premiery przeglądarki Firefox 32 – miała ona swoje miejsce na początku września – minęło już sporo czasu to warto wspomnieć o jednej istotnej implementacji tej wersji, która podnosi bezpieczeństwo jej użytkowników. Mowa o mechanizmie Public Key Pinning.