Weekendowa Lektura: odcinek 301 [2019-02-10]. Bierzcie i czytajcie

Zapraszamy Was do nowego wydania Weekendowej Lektury. Co prawda, weekend już powoli się kończy, ale zostało jeszcze kilka godzin na przejrzenie zgromadzonych przez nas linków. Życzymy zatem udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej informacje o Wojskach Obrony Cyberprzestrzeni, które tworzy MON (pkt 2), analizę nowych przepisów chińskiego prawa, które dają policji wgląd do firmowej infrastruktury wszystkich działających na tamtym rynku firm (pkt 7), a także artykuł o ataku na eksperta, który odkrył poważną lukę w kioskach kupowanych przez kasyna na całym świecie (pkt 16). Z kolei w części technicznej spójrzcie na analizę sprytnego phishingu z użyciem Tłumacza Google (pkt 18), szczegółowe omówienie ataków z zastosowaniem odwrotnego proxy (pkt 24) oraz opis nowego algorytmu szyfrowania od Google’a, który ma sprawnie działać także na mniej wydajnych smartfonach (pkt 30). Miłego klikania!

Wersja anglojęzyczna

IT Security Weekend Catch Up – February 10, 2019

Część bardziej fabularna

1. [PL][AUDIO] Czy pod kamerami jest bezpieczniej – podcast Panoptykonu
2. [PL] MON tworzy Wojska Obrony Cyberprzestrzeni, zaczęła się już rekrutacja
3. Rozwiązanie problemów z bezpieczeństwem zajmie Huawei pięć lat
4. Kulisy rzekomej kradzieży technologii, której miało dokonać Huawei
5. Norweski dostawca usług chmurowych zhakowany przez Chińczyków
6. Australijski parlament padł ofiarą ataku, Chiny głównym podejrzanym
7. Nowe prawo umożliwia chińskiej policji zdalny dostęp do systemów firmy
8. Wdrożony w Chinach system antykorupcyjny okazał się zbyt wydajny
9. Jak tajemnice Apple’a mogły trafić do konkurencyjnej firmy w Chinach
10. Pracownicy rządu USA mogą się znaleźć na cenzurowanym za używanie VPN-ów
11. Jak domorosły „łowca dżihadystów” wywołał alarm w Rotterdamie
12. Zorganizowana grupa przestępcza z Rumunii oszukała tysiące Amerykanów
13. Urzędnicy ds. przeciwdziałania praniu pieniędzy na celowniku phisherów
14. GoDaddy wciąż nie uporał się z podatnością wykorzystywaną przez spamerów
15. Jak Sony (nie) wynagradza za odkrycie krytycznych luk
16. Atak na eksperta, który odkrył lukę w kioskach dla kasyn
17. Wypłacił z bankomatów 1 mln dolarów dzięki luce w oprogramowaniu
18. Bank chce odzyskać miliony ukradzione przez północnokoreańskich hakerów
19. Niecodzienna historia fałszerza banknotów sprzedawanych w darknecie
20. Przestępcy sprzedają dostęp do systemów zarządzania treścią w mediach
21. Kolejne oskarżenia o SIM swapping, czyli klonowanie kart SIM
22. Jak przestępcy obchodzą w iPhone’ach blokadę iCloud
23. AT&T, T-Mobile i Sprint od lat sprzedają dane geolokalizacyjne
24. Historia śmierci młodej dziewczyny z bitcoinami, narkotykami i Snapchatem w tle
25. Odłączenie kabla do ładowania największym problemem przy kradzieży Tesli S

Część bardziej techniczna

1. Poważne luki w klientach RDP dla Windowsa i Linuksa
2. Analiza podatności w bibliotece graficznej Skia
3. Ciekawy łańcuch błędów pozwalający zdalnie wykonać kod w Google Chrome
4. Urządzenia chłodnicze w szpitalach i marketach są podatne na atak
5. Nowo odkryta luka umożliwia kradzież haseł użytkowników macOS-a
6. Tightrope Media Systems Carouselpodatne na atak
7. VMware vCenter można zaatakować za pośrednictwem luki w Struts
8. Skanowanie w poszukiwaniu przypadków wykorzystania luki w WebDAV
9. Konto [email protected] w około 2 tysiącach baz MongoDB
10. Twórcy kryptowaluty Zcash załatali lukę umożliwiającą jej fałszowanie
11. Analiza portfeli bitcoinów i ethereum należących do giełdy QuadrigaCX
12. ExileRAT współdzieli infrastrukturę z trojanem LuckyCat
13. DanaBot nauczył się szyfrować dane wymieniane z serwerem C&C
14. IcedID atakuje sklepy internetowe za pomocą narzędzia ATSEngine
15. Szkodnik zmieniający zawartość schowka odkryty w Google Play
16. Zainfekowane aplikacje transportowe na Androida popularne w Korei Płd.
17. Triout, framework do tworzenia szkodników na Androida, znów w akcji
18. Sprytny atak phishingowy z wykorzystaniem Tłumacza Google
19. Formularz phishingowy z użyciem keyloggera napisanego w JavaScripcie
20. Przykład ataku BEC z propozycją przełożenia spotkania zarządu
21. Zaciemniony kod użyty w kampanii podszywającej się pod American Express
22. Nowy scam wymierzony w popularne kanały na YouTubie + więcej informacji
23. Atak DDoS, który przekroczył 500 mln pakietów na sekundę
24. Świeże spojrzenie na ataki z wykorzystaniem odwrotnego proxy
25. Obrona przed atakami z wykorzystaniem Mimikatza
26. Wyniki skanowania urządzeń dostępnych z internetu w Austrii
27. APT10 atakuje sektor małych i średnich przedsiębiorstw w Norwegii i USA
28. Kilka aplikacji dla iPhone’a potajemnie nagrywało, co dzieje się na ekranie
29. Rozszerzenie do Chrome’a sprawdzi, czy używane przez nas hasło nie wyciekło
30. Google Adiantium – szyfrowanie dla mniej wydajnych urządzeń mobilnych
31. Jailbreak iOS-a 11.4 i 11.4.1 na potrzeby informatyki śledczej
32. ClusterFuzz dostępny w wersji open source
33. Audyt oprogramowania kryptograficznego napisanego w języku Rust