Ze sporym opóźnieniem zapraszamy do nowego wydania Weekendowej Lektury. Zebraliśmy dla Was sporo ciekawych linków i liczymy na to, że znajdziecie czas, by się z nimi zapoznać. Życzymy udanej lektury.
W dzisiejszym odcinku szczególnie polecamy w części fabularnej dziennikarskie śledztwo w sprawie pornografii dziecięcej dostępnej za pośrednictwem wyszukiwarki Bing (pkt 7), opis nieznanego szerzej pomysłu Facebooka na śledzenie użytkowników (pkt 14) oraz artykuł o wykorzystaniu przez oszustów karty chipowej, która umożliwia zakodowanie w sobie nawet 30 innych kart (pkt 17). Z kolei w części technicznej spójrzcie na pierwszy zdalny atak bocznym kanałem na pamięć podręczną stron (pkt 3), wyjątkowo obszerny raport dotyczący ataku na bazę danych medycznych w Singapurze (pkt 15) oraz informacje o udostępnianym przez NSA otwartoźdródłowym narzędziu do inżynierii wstecznej o nazwie GHIDRA (pkt 22). Miłego klikania!
Wersja anglojęzyczna
Część bardziej fabularna
- [PL] Solar Designer – twórca programu John the Ripper i dystrybucji Owl
- [PL] Nieutoryzowana transakcja po zmianie numeru telefonu przez oszusta
- [PL] Nowy odcinek biuletynu OUCH! o wywiadzie otwartoźródłowym (PDF)
- Badacze z MIT o łatwej deanonimizacji zanonimizowanych danych
- Singapurska linia lotnicza ujawniła dane najczęściej podróżujących pasażerów
- Ciekawa wpadka kartografów z amerykańskiej armii
- Raport TechCruncha nt. pornografii dziecięcej w wyszukiwarce Microsoftu
- Niemiecka policja prosi o pomoc w znalezieniu przestępcy po adresie MAC
- Żonę jednego z najbogatszych Norwegów porwano dla okupu w kryptowalucie
- Kulisy nieudanej tajnej operacji izraelskiej w enklawie palestyńskiej
- Agent DEA powiązany z kolumbijskim systemem prania pieniędzy
- Nowa analiza dźwięków, które wypłoszyły z Kuby amerykańskich dyplomatów
- Jeden z dyrektorów Facebooka padł ofiarą swattingu
- Facebook wie, jak śledzić użytkowników za pomocą kurzu na soczewce aparatu
- Za 300 dolarów można (podobno) odśledzić lokalizację dowolnego smartfona
- Zerodium zaczyna kupować exploity po wyższych niż dotąd cenach
- Fuze Card w służbie złodziei kart płatniczych
Część bardziej techniczna
- [PL] Krótki opis ataków na przestrzeń nazw
- [PL] Skracarki i wklejarki URL – cz. 1 & cz. 2
- [PL] Pierwszy zdalny atak typu side-channel na pamięć podręczną stron (PDF)
- Potencjalnie szkodliwe aplikacje na Androida z rodziny Zen
- W Google Play wykryto 85 aplikacji typu adware pobranych ponad 9 mln razy
- Downloader trojana Zebrocy napisany w języku Go
- Świeży pakiet aktualizacji dla Androida
- Dokładniejsze omówienie luk usuniętych w styczniu przez Adobe i Microsoft
- Microsoft łata Exchange Server i inne swoje produkty
- Zdalne wykonanie kodu po stronie klienta DHCP na Windowsie
- Luki w Systemd zagrażają różnym dystrybucjom Linuksa
- Podatność XSS w kliencie chata na Steamie
- Masowe ataki z wykorzystaniem rekonfiguracji ustawień DNS
- Scenariusze ataków z użyciem funkcji wstawiania wideo do dokumentów
- Obszerny raport dot. ataku na bazę danych medycznych w Singapurze
- Analiza aktywności botnetu Hide and Seek
- Kolejny hard fork Ethereum okazał się oszustwem
- Przebieg ataku 51% na Ethereum Classic
- Twórcy ransomware’u Ryuk nie próżnowali w święta
- Rzut oka na SiliVaccine, antywirusa z Korei Północnej
- Niuanse bezpieczeństwa w usługach AWS Glue, CodeBuild i S3
- NSA upubliczni narzędzie do inżynierii wstecznej + więcej informacji
- Metasploit 5.0 z nowym modułem omijającym antywirusy
- Matematyczny dowód nieskuteczności jednej z metod łamania RSA
- Złamano DRM Widevine L3, używane przez usługi strumieniowania wideo
- YubiKey zostanie wkrótce dostosowany do urządzeń Apple’a
- Bezpłatne prywatne repozytoria na GitHubie
Komentarze
Wszak już poniedziałek
Dlatego to (po)Weekendowa Lektura ;-)
a ja mam pytanie!
Dlaczego równolegle tworzona jest lista na z3s.pl oraz na badcyber.com? Wiem że różnią się one tym że z3s.pl są dodatkowo polskie linki.
Lista jest po prostu tłumaczona dla anglojęzycznych czytelników, dlaczego nie?
Rafał ma rację – jest zapotrzebowanie na takie tłumaczenie, więc je robimy. Od czasu do czasu na badcyber.com pojawiają się też dłuższe artykuły po angielsku, ale z uwagi na nadmiar innych obowiązków niezbyt często.
Ten Bing to małe piwo. Wolałbym zobaczyć dziennikarskie śledztwo w sprawie pornografii dziecięcej na pewnym polskim portalu społecznościowym. Skandaliczne treści dodają się automatycznie z kont normalnych użytkowników. Administracja twierdzi że wszystko jest pod kontrolą, a użytkownicy zastanawiają się czy rano to właśnie oni będą mieli nieprzyjemną pobudkę, bo w nocy ich konto samo doda pornografię dziecięcą.
Niektórzy użytkownicy jako zabezpieczenie proponują autoryzację dwuskładnikową… tylko że ona nie działa. Przez API i aplikację mobilną można zalogować się z jej pominięciem.
Jedynym skutecznym zabezpieczeniem wydaje się ban permanentny na swoje konto.
Zastanawia mnie tekst o poszukiwaniu sprawcy po MAC adresie. Zakladajac, ze adres jest prawdziwy to nie powinno byc problemu w ustaleniu wlasciciela telefonu. Motorola wie, jaki ma IMEI ten telefon i ktoremu dystrybutorowi go sprzedala i kiedy.
A jakich feedow korzystac podczas tworzenia zestawien? Macie jakies goodne uwagi agregatory feedow?
RSS-y branżowych blogów w feedly + śledzenie ekspertów związanych z security na Twitterze