Zapraszamy do nowego wydania Weekendowej Lektury. Tym razem, prócz artykułów, mamy dla Was trochę materiałów wideo nagranych na konferencjach poświęconych bezpieczeństwu. Liczymy na to, że każdy znajdzie coś dla siebie, życzymy udanej lektury.
W dzisiejszym odcinku szczególnie polecamy w części fabularnej rzut oka na ustawę o krajowym systemie cyberbezpieczeństwa (pkt 2), artykuł o usunięciu przez YouTube m.in. kursów MIT w ramach przesadnej dbałości o ochronę praw autorskich (pkt 4) oraz opowieść o śledztwie kryminalnym przeprowadzonym przez użytkowników Reddita (pkt 9). Z kolei w części technicznej spójrzcie na wyniki badań Mateusza „j00ru” Jurczyka, które dotyczyły błędów ujawnienia pamięci jądra (pkt 17), powrót szkodnika Olympic Destroyer, który wcześniej próbował zakłócić Zimowe Igrzyska Olimpijskie (pkt 26), a także metodę ZeroFont, która pomaga phisherom omijać zabezpieczenia Office’a (pkt 37). Miłego klikania!
Wersja anglojęzyczna
Część bardziej fabularna
- [PL] Jak RODO wpłynie na dane przetwarzane przez Kościół
- [PL] Analiza strategiczna ustawy o krajowym systemie cyberbezpieczeństwa
- [PL] Jak szukać w internecie dowodów zbrodni
- YouTube usunął otwarte kursy MIT i materiały Blender Foundation
- Kulisy powstania kolekcji 4am – zbioru aplikacji tworzonych z myślą o Apple II
- Jak się odzyskuje pieniądze przekazane nigeryjskim oszustom
- Zlikwidowano kolejny darknetowy market, tym razem Black Hand
- Były pracownik CIA oskarżony o wyciek narzędzi hakerskich
- Jak Reddit próbował odkryć prawdziwą tożsamość Lyle’a Stevika
- Problematyczny WebUSB i kontrowersje wokół nagrody za znalezienie podatności
- Konferencja dot. bezpieczeństwa, która zgromadziła konkurentów na rynku IT
- Kulisy pracy w zespole IBM X-Force Red
- Jak uruchomić własny program bug bounty
- Demaskowanie pracowników szpiegujących na rzecz innych organizacji
Część bardziej techniczna
- [PL] Mechanizm bezpieczeństwa pod postacią ciasteczek DNS
- [PL] Analiza złośliwego oprogramowania Backswap
- [PL][WIDEO] Kradzież wiadomości z Signala przy użyciu RCE
- [WIDEO] Świeże materiały z konferencji Area41 2018
- [WIDEO] Materiały z konferencji Botconf 2017
- Zaledwie 26% odkrytych luk jest następnie łatane
- Podatność w platformie do e-learningu Moodle
- Metody eskalacji uprawnień w AWS i środki zaradcze
- Eskalacja uprawnień przy użyciu aplikacji GitHuba
- Nieograniczone przesyłanie plików do Apple.com
- Wykorzystanie krytycznej luki w programie Adobe Acrobat Reader
- Podatność deserializacji w JavaScripcie
- Luka w przeglądarkach umożliwiająca kradzież prywatnych danych użytkownika
- Ekstrakcja danych z przeglądarki przy użyciu informacji o rozładowaniu baterii
- Wstrzykiwanie dowolnych nagłówków w Chrome
- Jailbreak iPhone’a przy użyciu exploita na Safari
- Wykrywanie błędów ujawnienia pamięci jądra (PDF)
- Cisco łata luki w systemie NX-OS
- Podatności w routerach i switchach SCALANCE firmy Siemens
- Jak można zhakować elektroniczną nianię (baby monitor)
- Ktoś przejmuje kontrolę nad kamerami i szpieguje ich właścicieli
- Google Home i Chromecast zdradzały dokładną lokalizację użytkowników
- DNS Rebinding sposobem na przejęcie kontroli nad routerem, Google Home itd.
- Spyware w popularnych grach na Steamie
- Złośliwy, zaszyfrowany dokument Excela
- Olympic Destroyer znów w akcji
- Satelity i firmy telekomunikacyjne na celowniku chińskiej grupy Thrip
- Aktualny krajobraz zagrożeń internetowych
- Analiza północnokoreańskiego trojana TypeFrame
- Analiza kampanii złośliwego oprogramowania FormBook
- Złośliwy kod JavaScriptu atakujący mobilne przeglądarki
- Analiza bota Red Alert 2.0 atakującego użytkowników Androida
- Nowy szkodnik typu Android RAT wykorzystujący Telegram
- Luka w Drupalu używana do dystrybucji złośliwych koparek Monero
- Tysiące komputerów w kafejkach internetowych zarażono koparką Siacoin
- Phisherzy podszywają się pod Netflixa
- Omijanie zabezpieczeń Office 365 przy użyciu metody ZeroFont
- Botnet Necurs używa plików IQY, by ominąć filtry antyspamowe
- Badanie fałszywych e-maili biznesowych przy użyciu Activities API w Office 365
- Analiza sposobów podszywania się oszustów pod call center
- VirusTotal pomoże zapobiec fałszywym alarmom
- Nowy Cheat Sheet do Hashcata
- Lepsze zabezpieczenia biometryczne w Androidzie P
- Mechanizmy bezpieczeństwa wykorzystywane w iPhone’ach
- Sposób na kamery termowizyjne
- Digital Key, czyli smartfon zastępujący kluczyki do samochodu
- Nowy projekt, który pomaga ustalić, jak różni usługodawcy przechowują hasła
Komentarze
Klikanie w pdf od J00ru… Kliknąć czy nie kliknąć… ;)
Czytam i brakuje mi opisu nowego mix Stuxnet 2018 .Pozdrawiam i poradził bym zerkać na procesory
To nagminne używanie liczby mnogiej jest żałosne. Zazwyczaj piszą tak osoby mające problem z samooceną lub wstydzące się tego co robią. „MY radzimy”, a artykuły pisze zawsze jedna osoba. „WAM radzimy”, a czyta każdy sobie – to nie prelekcja.
@Jajo a może raczej zbuk.
Chyba nie łapiesz konwencji „MY” i „WAM”.
O ile mogę zrozumieć czepianie się (dokładnie tak, czepiasz się), to już wchodzenie w pseudoanalizę niepodpartą wiedzą merytoryczną typu „…osoby mające problem z samooceną lub wstydzące się tego co robią…”, to jest dopiero esencja słowa „żałosne”.
To jest dopiero żałosne że, ktoś najpierw pisze komentarz a potem jak ktoś mu zwróci uwagę to może siega po wiedze.
Zalecamy Ci w pierwszej kolejności zapoznać się z podstawami, a następnie pisać komentarz.
100/100