Zapraszamy Was do nowego wydania Weekendowej Lektury. Chcieliśmy w tym tygodniu uniknąć skarg na zbyt dużą liczbę linków do przejrzenia, ale chyba nam nie wyszło. Każdy ma za to szansę znaleźć coś dla siebie. Życzymy zatem udanej lektury.
W dzisiejszym odcinku szczególnie polecamy w części fabularnej artykuł pokazujący, że transakcje przy użyciu bitcoinów nie gwarantują pełnej anonimowości (pkt. 3), opis zakulisowych rozgrywek w firmie Kaspersky Lab (pkt. 12) oraz informacje o konkursie Pwn2Own, w ramach którego można będzie w tym roku zgarnąć 2 mln dolarów (pkt. 19). Z kolei w części technicznej spójrzcie na przykład ransomware’u, który zaatakował szpitale i systemy ICS, przynosząc swoim twórcom niezły zarobek (pkt. 15), opis procedury dekodowania danych z DNA w ramach pewnego konkursu (pkt. 22) oraz analizę wieloplatformowego trojana CrossRAT (pkt. 28). Miłego klikania!
Część bardziej fabularna
- Jak południowoamerykańskie kartele narkotykowe przemycają złoto do Miami
- Uber załatał w końcu lukę pozwalającą ominąć dwuskładnikowe uwierzytelnianie
- Badacze powiązali transakcje dokonywane na Silk Road z aktualnymi kontami
- Ponad 10% środków zebranych dzięki ICO zostało skradzionych
- Głos w sprawie stron, które uniemożliwiają wklejanie haseł
- Metody i motywacje haktywistów (wersja interaktywna)
- Jak Google porzucił VPN na rzecz BeyondCorp
- Główny router giełdy w Omanie zabezpieczony hasłem „admin”
- Systemy MDM zagrożeniem dla prywatności użytkowników smartfonów
- Raport nt. kosztów cyberprzestępczości w Wielkiej Brytanii (PDF)
- Skradziono dane medyczne 2,9 mln mieszkańców Norwegii
- Komplikacje wewnątrz Kaspersky Lab
- Wywiad nt. zagrożeń związanych z IoT
- Twitter na cenzurowanym – jak to wygląda w różnych krajach
- Fałszywe porno tworzone przy użyciu sztucznej inteligencji
- Zamieszanie wokół „bezpiecznych telefonów” EncroChat
- Jak amerykańcy agenci próbowali kupić broń online
- Próba rabunku z bitcoinami w tle
- Szczegóły dotyczące tegorocznej edycji Pwn2Own
Część bardziej techniczna
- [PL] Jak polscy badacze śledzą ruch sieciowy złośliwego oprogramowania
- Trojan podmienia bitcoinowe adresy skopiowane do schowka w Windowsie
- Na celowniku tego trojana znaleźli się też użytkownicy Steama
- Ciekawy skrypt zbierający dane o szkodnikach z jawnych źródeł (OSINT)
- Wykorzystanie luki w serwerach C&C trojana DarkComet
- Omijanie sandboxa w Adobe Readerze
- Sophos XG Firewall z luką XSS
- Jak doszło do opróżnienia portfeli IOTA
- Analiza fałszywego antywirusa z Google Play (PDF)
- Zawieszanie stron internetowych przy użyciu złośliwego GIF-a
- Rozwiązanie jednego z zadań, które pojawiło się na Insomni’hack teaser 2018
- Inne, równie ciekawe rozwiązanie tego samego zadania
- Fuzzing serwerów TCP (Apache httpd, ISC Bind, OpenSSH)
- Wykorzystanie Google Analytics do ekstrakcji danych
- Ransomware SamSam „zarobił” 325 tys. dolarów w miesiąc
- Analiza programu szpiegującego FinFisher (PDF)
- Zmiany w iOS 11.3 utrudnią życie informatykom śledczym, kolejny problem
- Luka w grach Blizzarda (World of Warcraft, Overwatch, Diablo III, Starcraft II)
- AV-Test wykrył 119 próbek szkodników wykorzystujących Meltdown/Spectre
- Pentesty systemu SAP w praktyce
- Raport roczny Symanteca (PDF)
- Jak analiza DNA doprowadziła do znalezienia… bitcoina
- Jak przy użyciu Twittera stworzyć generator liczb losowych
- Złośliwe oprogramowanie instalowane na dystrybutorach gazu
- Luki w oprogramowaniu do zarządzania licencjami korporacyjnymi
- Zastosowanie profili OPSEC podczas pentestów z użyciem Cobalt Strike’a
- Analiza RGDoora użytego w atakach na bliskowschodnie organizacje rządowe
- CrossRAT atakuje użytkowników Windowsa, Linuksa i macOS-a
- Phishing bazujący na Microsoft Accessie
- Pozyskiwanie kopii zapasowych WhatsAppa przy użyciu konta Google
- Luki w Tinderze dają dostęp do wrażliwych danych użytkowników
- Gry z serii Sonic na Androida wysyłają dane graczy na podejrzane serwery
- Zmiany w polityce szyfrowania OpenSSL
- Fałszywe agencje reklamowe rozpowszechniają malware
- Kampania wydobywania Monero na dużą skalę
- Analiza trojana Ratankba stosowanego przez grupę Lazarus
- Tureccy haktywiści grasują na Twitterze
- Luki w routerach firmy ASUS
- Trojany wykorzystujące tunelowanie DNS
- Szczegółowa analiza łatki na Meltdown wydanej przez Microsoft
- Ransomware podszywa się pod portfel nieistniejącej kryptowaluty SpriteCoin
- Framework z poważną luką, zagrożeni użytkownicy m.in. Skype’a, Signala, Slacka
- Exploitacja powyższego błędu w portfelu Exodus
- Masuta – nowy botnet IoT zarządzany przez twórcę Satori
- Hide ‘N Seek (HNS) – botnet bazujący na P2P
- Zapobieganie atakom na sieciowe usługi buforowania
- Poskramianie bezplikowego złośliwego oprogramowania w Windowsie
- Wykorzystanie luki w hiperwizorze Oracle VirtualBox
- Poważne błędy w archiwizerze 7-Zip
- Analiza złośliwych plików RTF, tu jeszcze jeden
- Jak atakujący mogą wykorzystać Microsoft BITS
- Omijanie blokady ekranu w telefonie Moto G5 Plus
- Kampanie złośliwego oprogramowania z użyciem Google+, Pastebina i bit.ly
Sponsorem Weekendowej Lektury jest firma Exatel.
Komentarze
Artykuł fabularny nr 9 jest mocno mylący w kontekście użytkowników iOS. Podstawowym błędem autora jest zakładanie, że tryb Supervised będzie występował w modelu BYOD.
Artykuł nr 15 o fałszywym porno generowanym przez AI.
Widzę inne zagrożenie umożliwiane przez technologię nie omawiane w artykule. Ciężkie czasy nadchodzą dla umawiających się przez Internet.
Człowiek widzi na ekranie ponętną, zgrabną osobę. Umawia się na randkę. Przychodzi. Widzi grubą i niezadbaną osobę. Chyba rozumiecie w jak niezręcznej sytuacji będzie ofiara oszustwa i że można przez to stracić czas, a nawet relację z kimś ciekawym.
Łatwo też skompromitować jakiegoś polityka/osobę publiczną. Wystarczy wideo jak pijana zatacza się na ulicy i do czasu wyjaśnienia, przedstawienia niezbitego alibi może być spalona.
O ile taka zmiana w czasie rzeczywistym jest bardziej wymagana (chociaż też możliwa https://www.youtube.com/watch?v=ohmajJTcpNk ) o tyle wideo przytotowane wcześniej (nawet jeśli jego renderowanie może trwa długo) zrobić może więcej osób.
Czyli co, grubi do gazu?
@Tomasz Klim
Oczywiście, że nie.
W takim przykładowym scenariuszu wyraźnie była przedstawiona sytuacja oszustwa.
W wielu dziedzinach życia wygląd nie powinien mieć znaczenia, ale randkowanie do takich nie należy. Przy randkowaniu ma znaczenie i to normalne.
W przedstawionej sytuacji osoba oszukana preferuje osoby zgrabne, a oszustka* ofiarę oszukała. Oszukała to słowo klucz. Sytuacja jest prawdopodobna, bo większość osób preferuje randkować z niegrubymi osobami (zarówno kobiety i mężczyźni).
*Chcę zadeklarować, że postać oszusta korzystającego z zaawansowanej technologii informatycznej w przykładowym scenariuszu ataku jest kobietą, by promować przekonanie, że kobiety równie skutecznie mogą korzystać z zaawansowanych rozwiązań informatycznych np sztucznej inteligencji, jak mężczyźni.
Czyli wykorzystane rozwiązań technologicznych jest oszustwem, ale już stosowanie różnych wymyślnych kosmetyków poprawiających urodę nie jest?
Ja bym powiedział, że właśnie w dziedzinie randkowania, powoli dochodzimy do równych szans w oszukiwaniu się wzajemnie.
Oszystwa nie są dobre. Jeśli już to lepiej zainwestować w technologie demaskujące wprowadzanie w błąd.
Oszukiwanie kosmetykami jednak ma mniejszą możliwość wprowadzenia w błąd. Kobieta nie ukryje 25 kilowej nadwagi smarując usta szminką. Może próbować ubraniem, ale można uzależnić spotkanie od wysłania zdjęcia w bardziej skąpym stroju.
Dobra robota. Dobrze, że zostały polecane artykuły, to w wolnych chwilach będę mógł wrócić do innych równie interesujących wątków.