Weekendowa Lektura: odcinek 288 [2018-11-11]. Bierzcie i czytajcie

dodał 11 listopada 2018 o 12:47 w kategorii Info  z tagami:
Weekendowa Lektura: odcinek 288 [2018-11-11]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Jest już wprawdzie niedziela, ale część z Was zostanie pewnie w domu także jutro, istnieje więc szansa, że zdążycie zapoznać się z zebranymi przez nas linkami. Życzymy udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej opis oszustwa „na Elona Muska” rozdającego na Twitterze bitcoiny (pkt 7), badanie dotyczące następstw operacji Bayonet, która doprowadziła do zamknięcia Alphabaya i Hansa Marketu (pkt 9), a także artykuł o tym, jak Iran namierzył kanały komunikacyjne CIA, korzystając z Google’a (pkt 16). Z kolei w części technicznej zapoznajcie się ze szczegółami podatności 0-day w VirtualBoxie (pkt 1), spójrzcie na narzędzie, które pozwala stworzyć interaktywną mapę kamerek zlokalizowanych przy użyciu Shodana (pkt 16), oraz wnikliwą analizę modułu pwgrab, z którego korzysta bankowy trojan TrickBot (pkt 23). Miłego klikania!

Sponsor zaprasza
Do czytania zaprasza Was firma Exatel, sponsor Weekendowej Lektury.

Wersja anglojęzyczna

IT Security Weekend Catch Up – November 11, 2018

Część bardziej fabularna

  1. [PL] Cookie stuffing, czyli oszukiwanie przy użyciu ciasteczek
  2. [PL][AUDIO] Nowy „Cyber, Cyber…” o polaryzacji na przykładzie szczepionek
  3. [PL][AUDIO] Co wie o Tobie Google – podcast Fundacji Panoptykon
  4. [PL] Listopadowe wydanie biuletynu OUCH: Jestem ofiarą hakera? (PDF)
  5. O tym, dlaczego w najbliższej przyszłości nie zrezygnujemy z haseł
  6. Skandal po wycieku danych z FIFA
  7. Scamerzy podszyli się pod Elona Muska i zgarnęli 180 tys. dolarów
  8. Złodzieje stosują SMS-owy phishing, by móc okradać bezkartowe bankomaty
  9. Dream Market nowym siedliskiem sprzedawców z Alphabaya i Hansa Marketu
  10. We Francji aresztowano admina forum poświęconego wykorzystywaniu dzieci
  11. Ofiara porwania złożyła zeznania przeciw Black Death Group
  12. Szwedzki ISP zablokował stronę wydawcy naukowego walczącego ze Sci-Hubem
  13. USCYBERCOM zaczął dodawać do VirusTotala szkodniki z arsenału grup APT
  14. Paczkę z 23 programami ransomware można kupić za 750 dolarów
  15. Policja odszyfrowała 280 tys. wiadomości wysłanych przez IronChat
  16. Iran namierzył kanały komunikacyjne CIA, korzystając z Google’a
  17. Chiny eksportują do Afryki technologie nadzoru i kontroli obywateli

Część bardziej techniczna

  1. 0-day na VirtualBoxa umożliwia wykonanie kodu na maszynie głównej
  2. Poważna luka w serwerze mediów strumieniowych Icecast + więcej szczegółów
  3. Cisco usunął siódmego backdoora w tym roku
  4. Exploit na lukę Dirty Cow przypadkiem wprowadzony do produktów Cisco
  5. JBoss podatny na zdalne wykonanie kodu
  6. Luka w Evernote umożliwiała wykradanie plików i wykonywanie poleceń
  7. WordPressa można zaatakować przez lukę we wtyczce WooCommerce
  8. Problem związany z wtyczką WP GDPR Compliance do WordPressa
  9. Stara luka w Apache Struts nadal straszy
  10. Zdjęcia i filmy zrobione za pomocą dronów DJI były dostępne dla osób trzecich
  11. Krytyczne luki w rozwiązaniach przemysłowych AVEVA
  12. Ciekawy atak za pośrednictwem funkcji FaceTime
  13. Ataki na serwery oparte na Adobe ColdFusion + szczegóły techniczne
  14. Wykradanie plików cookies z przeglądarki Chrome
  15. Uczestnik programów bug bounty wykorzystywał odkryte luki do własnych celów
  16. Tworzenie interaktywnej mapy z kamerek znalezionych przy użyciu Shodana
  17. Kampanie ukierunkowane na użytkowników Telegrama i Instagrama w Iranie
  18. Atak z użyciem złośliwych dokumentów InPage i nieaktualnego odtwarzacza VLC
  19. Wnikliwy rzut oka na SIM swapping
  20. Analiza ostatnich poczynań grupy Magecart
  21. Fałszywa aplikacja bankowa w Google Play wykorzystująca SMiShing
  22. Analiza kampanii wymierzonych w klientów brazylijskich banków
  23. Dokładna analiza modułu pwgrab używanego przez TrickBota
  24. Spam i phishing w trzecim kwartale br.
  25. Przestępcy używają usługi skanowania poczty USPS do kradzieży tożsamości
  26. Okradziono giełdę kryptowalut gate.io dzięki włamaniu do StatCounter
  27. Inżynieria wsteczna złośliwego oprogramowania Retefe
  28. Dekodowanie szkodnika Hancitor przy użyciu narzędzia Suricata
  29. Arecibo – narzędzie do eksfiltracji OOB (DNS i HTTP)
  30. Tunelowanie skanerów przez SSH
  31. OSS-Fuzz dostępny za posrednictwem Google Cloud
  32. Raport przejrzystości dotyczący bezpieczeństwa Androida
  33. Protokół SDLS zabezpieczy komunikację podczas misji kosmicznych (PDF)