Zapraszamy do nowego wydania Weekendowej Lektury. Czeka na Was nowy zbiór linków, który pozwoli zorientować się w ostatnich wydarzeniach związanych z bezpieczeństwem – zarówno online, jak i poza siecią.
W dzisiejszym odcinku szczególnie polecamy w części fabularnej ujawniony przez Fundację Panoptykon projekt nowej ustawy o ochronie informacji niejawnych (pkt 6), artykuł wyjaśniający, dlaczego administrator Silk Road 2.0 może być ścigany tylko za przestępstwa podatkowe (pkt 9), a także doniesienia o przenosinach znanego przestępczego marketu z sieci Tor do I2P (pkt 11). Z kolei w części technicznej spójrzcie na raport zespołu CERT Polska pt. „Krajobraz bezpieczeństwa polskiego Internetu w 2018 roku” (pkt 2), przegląd złośliwego oprogramowania tworzonego w innych językach niż C (pkt 19) oraz podsumowanie 10 lat walki ze szkodliwym oprogramowaniem atakującym bankomaty (pkt 23). Miłego klikania!
Wersja anglojęzyczna
Część bardziej fabularna
- [PL] Publiczny dostęp do ok. 1 mln zamówień użytkowników Manning.com
- [PL] Wyciekły dane 29 tys. pacjentów z poradni medycyny pracy we Wrocławiu
- [PL] VeraCrypt ochronił użytkownika przed służbami + więcej informacji
- [PL] Rok po RODO w branży teleinformatycznej – raport PIIT
- [PL] PZU chce za darmo ubezpieczyć dzieci w Polsce, ale jest haczyk
- [PL] Co wiemy o projekcie nowej ustawy o ochronie informacji niejawnych
- Wyniki eksperymentu, w trakcie którego badacze zinfiltrowali żołnierzy NATO
- Potencjalne koszty ludzkie związane z operacjami cybernetycznymi – raport ICRC
- Administrator Silk Road 2.0 może być ścigany tylko za przestępstwa podatkowe
- Dziewięć lat więzienia za sprzedaż bezpiecznych telefonów kartelowi Sinaloa
- Libertas Market przemieścił się z sieci Tor do I2P
- Wokół wycieku szczegółów budżetu Nowej Zelandii + więcej informacji
- Czego można się nauczyć, dbając o bezpieczeństwo kampanii do Kongresu USA
Część bardziej techniczna
- [PL][WIDEO] Materiały z SECURE Early Bird 2019
- [PL] Raport roczny z działalności CERT Polska w 2018 r. (PDF)
- [PL] pspy – nieuprzywilejowany podgląd procesów Linuksa
- [PL] Kapitan Hack – kolejny polskojęzyczny serwis o bezpieczeństwie
- [PL] Kolejne zadanie rekrutacyjne na stronie CBA
- [PL][AUDIO] Nowy „Cyber, Cyber…” o wojnie handlowej z Chinami, podpisanych cyfrowo szkodnikach i nowej fali ataków Emoteta
- [WIDEO] Materiały z konferencji OPCDE 2019
- Analiza luki BlueKeep w zdalnym pulpicie
- Około miliona urządzeń jest podatnych na BlueKeep
- Jak analiza luki w kliencie DHCP doprowadziła do odkrycia dwóch kolejnych
- Wywołanie dowolnego kodu za pomocą Notatnika
- Podatność w Dockerze daje dostęp do plików na komputerze hosta
- Convert Plus – kolejna wadliwa wtyczka do WordPressa
- Opis ataku HTTP 301 Cache Poisoning
- Ujawnianie adresów IP użytkowników Tora przy użyciu powyższego ataku
- ExamCookie – dziurawe narzędzie do nadzoru używane w duńskich szkołach
- Nowy sposób na ominięcie mechanizmu GateKeeper na macOS-ie
- Groźne fałszywe powiadomienia o nieodebranych połączeniach na Androidzie
- Złośliwe oprogramowanie tworzone w innych językach niż C
- Analiza złośliwego oprogramowania Hidden Bee
- Analiza Emoteta: rozpakowanie i wykonanie głównego ładunku
- HiddenWasp, atakując Linuksa, wykorzystuje kod źródłowy innych szkodników
- Rozwój złośliwego oprogramowania atakującego bankomaty
- Keylogger HawkEye wznowił ataki na firmy z branży przemysłowej
- Operatorzy ransomware’u GandCrab zwijają interes
- Jak grupa Turla wykorzystuje skrypty PowerShella do dystrybucji szkodników
- Wnikliwy rzut oka na oprogramowanie układowe koparek AntMiner
- LeakLooker v2 do szukania otwartych serwerów i wycieków kodu źródłowego
- Ciekawie o architekturze aplikacji webowych
- Prosty sposób na ukrywanie elementów na stronie
Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.
Komentarze
VeraCrypt <3
Na maila wysłałem też art o łamaniu RSA komputerem kwantowym :) mam nadzieję że w przyszlym tyg dodacie do weekendowej lekturki :D
Dzięki za linki :-) Za późno sprawdziłam maila, więc łamanie RSA trafi do kolejnego zestawienia.
>Libertas Market przemieścił się z sieci Tor do I2P
Libertas Market zniknął wraz z depozytami użytkowników kiedy Monero kosztowało $500, wrócił kiedy kosztuje $60 https://old.reddit.com/r/darknet/comments/bhvxe8/libertas/
>Ujawnianie adresów IP użytkowników Tora przy użyciu powyższego ataku
Atak może być zastosowany tylko w przeglądarce innej niż Tor Browser, tylko przy clearnetowej domenie i tylko przy połączeniu HTTP bez TLS https://old.reddit.com/r/TOR/comments/bvme0y/tor_origin_ip_disclosure_through_301_http/
ja dalej utrzymuje ze truecrypt w wersji 7.1a jest bezpieczniejszy operacyjnie niz veracrypt ktory byl ciagle aktualizowany i potencjalne ataki 0day pojda na niego.
TC umarł bezpowrotnie. Nawet jeśli wersja 7.1 jest bezpieczna, to dyskwalifikuje go praca na dzisiejszym sprzęcie dyskowym (SSD i wszelkie odmiany kart pamięci) i brak zgodności z VC.
.
O tych rzekomych 0-dayach na Verę już byłoby głośno.
A jak na razie nic takiego nie ma miejsca.
Nie siej FUDu! No chyba że mnie zaskoczysz i podasz linka po przeczytaniu którego nie zasnę ;)
Parę miesięcy temu Mounir (twórca veracrypt) zaimplementował szyfrowanie kluczy RAM :) truecrypt i inne programy „zabezpieczające” mogą sobie pomarzyć a dzięki tej implementacji wyciąganie klucza z RAMU nic nie da :) https://www.veracrypt.fr/code/VeraCrypt/commit/?id=cf48b532b447faa969347fef183c6e8921c4ded2
tak tylko cena za te nowe funkcje to mniejsze bezpieczeństwo, popularniejsze oprogramowanie z wiekszą ilością funkcji = wiekszą iloscią możliwosci ataku zawsze będzie mniej bezpieczne od zaudytowanego już dawno tc 7.1a. za takie ficzery się placi :)
VeraCrypt też był audytowany (w 2016). Wersja 1.19 zawierała poprawki do uwag zgłoszonych w trakcie tego audytu. Dodatkowo cały czas jest otwarty bug bounty, co mam nadzieję zachęca badaczy do patrzenia w kod na bierząco.
Już nie mówiąc że veracrypt przeszedł audyt za nie małe pieniądze (robiła go francuska firma QUARKSLAB) szczegolowy raport tego jakie błędy były w bootloaderze truecrypt jest do pobrania :) tylko że błędy zostały naprawione w wersji 1.19 a w truecrypt ? Nigdy nie będą.
To jak w koncu jest z tym Truecryptem 7.1 ???? bezpieczny czy nie bo temat ucichl dawno.
Kiedyś twierdzono że był bezpieczny i naprawdę był.
Dziś TC to informatyczna archeologia, nikt już go nie audytuje, to porzucony soft.
Szyfruj veracryptem i nie słuchaj ludzi którzy myślą że truecrypt jest ok a veracrypt ma backdoory XD każdy dużo mówi ale dowodów nikt nie potrafi pokazać BO ICH NIE MA -.- a prawda jest taka że aktualnie nie ma bezpieczniejszego programu niż veracrypt no i jetico bestcrypt (ale to inny temat) :)
Audyt TrueCrypta nie znalazł żadnych, celowych backdoorów, ani naprawdę poważnych luk, ale pozostaje kilka drobnych problemów, które nigdy nie zostaną poprawione i potencjalnie są możliwe do wykorzystania. Choćby mała ilość iteracji przy tworzeniu klucza nagłówka, co ułatwia ataki bruteforce. Poza tym kiepsko współpracuje z nowszym sprzętem.
VeraCrypt poprawił błędy z TC, też przeszedł audyt bezpieczeństwa i nie znaleziono żadnych tylnych furtek, a kilka wykrytych, drobnych błędów zostało poprawionych. Lepiej współpracuje z nowszym sprzętem i jest aktywnie rozwijany. Na ile mi wiadomo, to obecnie najbezpieczniejsze rozwiązanie.
Więc jeśli chodzi ci tylko o to, żeby młodsza siostra, albo złodziej laptopa nie dobrał się do twoich plików i nie planujesz przesiadki na najnowszy sprzęt, i korzystasz już z TrueCrypta, nie ma powodu, żeby coś zmieniać, śmiało możesz używać TC. Jeśli dopiero się zastanawiasz nad rozpoczęciem szyfrowania, albo masz powody przypuszczać, że twoimi plikami mogą się aktywnie interesować osoby/służby o większych możliwościach, bierz od razu VeraCrypta. Tylko uważnie się zapoznaj z dokumentacją, żeby wiedzieć, przed czym szyfrowanie cię nie ochroni.
Inna sprawa, że jak kogoś służby wezmą na celownik (obojętne, słusznie czy nie), to jest bez szans w kwestii zachowania prywatności swoich danych. Po prostu jest tyle możliwości i o tylu środkach ostrożności trzeba pamiętać, że zawsze popełni się jakiś błąd, który wykorzysta sztab specjalistów. A jeśli nie, zawsze pozostanie kryptoanaliza metodą gumowej pałki, przed którą nie ochroni żadne szyfrowanie.