Weekendowa Lektura: odcinek 283 [2018-10-07]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Zgromadziliśmy dla Was kolejną porcję ciekawych informacji o nowo odkrytych lukach, niedawno przeprowadzonych atakach i krążących w sieci szkodnikach. Życzymy udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej materiał dotyczący przetwarzania danych w instytucji, która jako jedyna zachowała stoicki spokój wobec RODO, czyli w kościele (pkt 2), artykuł o sposobach cenzurowania wyników wyszukiwania Google’a, stosowanych przez niektóre firmy (pkt 7) oraz raport Citizen Lab nt. saudyjskiej siatki szpiegowskiej w Kanadzie (pkt 15). Z kolei w części technicznej spójrzcie na nową wersję ataku KRACK, który zagraża większości urządzeń z Wi-Fi (pkt 12), opis ataku FASTCash, który grupa Hidden Cobra stosuje do okradania bankomatów (pkt 26) oraz artykuł, który bardzo dobrze wyjaśnia, na czym polega jailbreak iOS-a i jak się do niego zabrać (pkt 38). Miłego klikania!

Wersja anglojęzyczna

IT Security Weekend Catch Up – October 7, 2018

Część bardziej fabularna

1. [PL] Ochrona danych osobowych w miejscu pracy – nowy poradnik UODO
2. [PL] RODO a ochrona danych osobowych w kościele + [WIDEO] wywiad z KIOD
3. [PL] Nowy OUCH! o tym, jak uniknąć błędów, korzystając z poczty e-mail (PDF)
4. Włamanie do bazy danych startupu Apollo i duży wyciek danych klientów
5. Rozwiązania kryptograficzne o otwartym kodzie nie tak bezpieczne, jak się wydaje
6. Oszustwa telefoniczne – nowe scenariusze
7. Jak firmy cenzurują wyniki wyszukiwania w Google’u, używając fałszywych stron
8. Kulisy powstania finansowej piramidy opartej na bitcoinie
9. Aresztowano twórcę Fruitfly, stworzonego 14 lat temu szkodnika na Maca
10. Nawet 5000 dolarów grzywny za nieprzekazanie służbom celnym hasła do laptopa
11. Phantom Secure sprzedawał telefony BlackBerry gangom i kartelom
12. Francuski policjant przyłapany na handlu tajnymi danymi w darknecie
13. Rosyjscy agenci sprzedali FBI tajne dane za 10 mln dolarów
14. Fala oskarżeń wobec Rosji o cyberataki, Rosja oczywiście zaprzecza
15. Jak saudyjscy agenci szpiegowali Kanadyjczyków
16. Reportaż dziennikarza, który odwiedził chiński Sinciang
17. Życie osób świadczących przeciw El Chapo zagrożone

Część bardziej techniczna

1. [PL] CTF z okazji Europejskiego Miesiąca Cyberbezpieczeństwa
2. [PL][AUDIO] Nowy „Cyber, Cyber…” o poważnej luce w Facebooku
3. Październikowa aktualizacja Windowsa 10 usuwała niektóre pliki
4. Zagrożenia związane z Intel ME Manufacturing Mode
5. Zbiorcza aktualizacja wydana przez Intela
6. Ciekawa luka w usłudze chmurowej Google’a, warta 3 tys. dolarów
7. Podatność w bibliotece Google’a PDFium JBIG2
8. Luka w Telegramie ujawniała adresy IP użytkowników
9. Nowa metoda przejmowania kont użytkowników WhatsAppa
10. AMS Device Manager firmy Emerson podatny na atak
11. Krytyczne luki w falownikach firmy Fuji Electric
12. Nowa wersja ataku KRACK na WPA2 (PDF)
13. Protokół RDP coraz częściej wykorzystywany przez przestępców
14. Omijanie zapór sieciowych dzięki modyfikacji adresów URL
15. Jak przestępcy omijają pułapki zastawiane przez Amazona
16. Domeny Zoho używane przez twórców kampanii phishingowych
17. Identyfikowanie phishingowych e-maili
18. Jak można wykorzystać czyjąś bramkę IPFS do phishingu
19. Trudna sztuka odróżniania złoczyńców od badaczy bezpieczeństwa
20. Pułapka zastawiana przez grupę MageCart
21. Krótka analiza złośliwego oprogramowania Stegoloader
22. Przykłady ataków bezplikowego złośliwego oprogramowania
23. Nowa kampania bankowego konia trojańskiego Betabot
24. Roaming Mantis – nowe sposoby dystrybucji i atak na iOS
25. Botnet IoT przejmuje ruch kierowany do brazylijskich banków, zob. też [1] [2]
26. Nowy sposób okradania bankomatów wymyślony przez grupę Hidden Cobra
27. Podobieństwa pomiędzy grupami Turla i Sofacy
28. Katarska kampania szpiegowska w Stanach Zjednoczonych
29. Rzut oka na działalność północnokoreańskiej grupy APT38
30. Złośliwe oprogramowanie używane przez grupę APT37 + bardziej technicznie
31. Analiza SMS-owego robaka szpiegującego użytkowników Androida
32. Hakowanie mini routera GL-iNet AR150
33. Fuzzing oprogramowania – które badania zasługują na uwagę
34. Wdrażanie zabezpieczeń w usługach chmurowych Microsoftu
35. Chrome Web Store bez aplikacji z zaciemnionym kodem
36. Funkcja Blokada aktywacji w usłudze Znajdź mój iPhone
37. Tajniki działania protokołu Apple Wireless Direct Link (AWDL)
38. Jailbreak iOS-a bez tajemnic
39. Naruszenie prywatności z wykorzystaniem usługi Cisco Webex
40. Dobór sprzętu i oprogramowania do testów penetracyjnych – [1] [2] [3]