Zapraszamy do nowego wydania Weekendowej Lektury. Tym razem także nie zabrakło materiału do analizy – poniżej znajdziecie kilkadziesiąt linków, które mogą zapewnić Wam zajęcie na resztę weekendu. Życzymy udanej lektury.
W dzisiejszym odcinku szczególnie polecamy w części fabularnej materiał o holenderskim wywiadzie, który pomógł Amerykanom i Izraelczykom zaatakować irańską elektrownię przy użyciu Stuxneta (pkt 11) oraz artykuł o amerykańskim rządowym programie obrony przed bioterroryzmem, który przez ponad 10 lat był przechowywany na niezabezpieczonej stronie (pkt 15). Z kolei w części technicznej spójrzcie na opis krytycznej luki w popularnym serwerze pocztowym Exim (pkt 9), analizę techniczną eksploita używanego przez chińską grupę APT3 (pkt 21) oraz nowe sztuczki w arsenale trojana TrickBot (pkt 25). Miłego klikania!
Wersja anglojęzyczna
Część bardziej fabularna
- [PL][AUDIO] Podcast Panoptykon 4.0. Chiński Wielki Brat
- [PL] Nowy OUCH! o oszustwach przy użyciu mediów społecznościowych (PDF)
- [PL] Facebook zablokował profil polskiej firmy Brand24 za rzekomy data scraping
- Do sieci trafiło 419 mln numerów telefonów użytkowników Facebooka
- Włamanie na stronę Foxit Software i wyciek danych 328 tys. użytkowników
- Wyciek e-maili i haseł 562 tys. użytkowników forum XKCD
- Opowieść o hakerze, który ukradł dane 168 mln osób
- Niemiecki bank stracił 1,5 mln euro w wyniku klonowania kart EMV
- FBI poprosiło Google o wyśledzenie telefonów osób, które napadły na bank
- Wywiad z człowiekiem, który odkrył niesławnego Stuxneta
- Holenderski wywiad pomógł wprowadzić Stuxneta do irańskiej elektrowni
- Chińczycy hakują azjatyckie telekomy, by śledzić podróżujących Ujgurów
- Twórcy ransomware’u nie przyjęli proponowanej kwoty okupu i zostali z niczym
- Ukradli 243 tys. dolarów, skutecznie podrabiając głos prezesa
- Rządowy program obrony przed bioterroryzmem na niezabezpieczonej stronie
- Wikipedia celem dużego ataku DDoS
- Nowe dowody wskazujące na to, że Google omija RODO
- Haktywista z Anonymous wezwany przed Wielką Ławę Przysięgłych
Część bardziej techniczna
- [PL][AUDIO] Nowy „Cyber, Cyber…” m.in. o kryptowalutach w atomówkach
- [PL][WIDEO] Jak rozpocząć przygodę z programami bug bounty
- [PL] Kulisy powstawania nowej organizacji testującej antywirusy – CheckLab.pl
- [PL] Prywatność różnicowa dostępna dla wszystkich
- [PL] Ciasteczka DNS – zasady działania, kwestie wdrożenia
- [PL] Szkodliwe programy rozprzestrzeniane jako podręczniki i wypracowania
- Błąd 0-day w sterowniku kamery na Androidzie
- Eksploity na Androida po raz pierwszy kosztują drożej od tych na iOS
- Krytyczna luka w popularnym serwerze pocztowym Exim
- USBAnywhere – szereg groźnych podatności w serwerach Supermicro
- Zero PMK Installation – ciekawa podatność w chipie Wi-Fi
- Analiza łańcucha podatności w Pulse Secure SSL VPN
- Urządzenia firmy Zyxel podatne na ataki
- XSS w interfejsie webowym DASAN Zhone ZNID
- Krytyczna luka w IOS XE zagraża routerom Cisco
- Ciekawe studium dotyczące ataków Blind SQL Injection
- Nietypowy SMS phishing zagrażający użytkownikom smartfonów z Androidem
- Użytkownicy ponad 600 tys. GPS trackerów nie zmienili domyślnych haseł
- O różnicach między dwoma jailbreakami dla systemu iOS 12.4
- Ataki wymierzone w Ujgurów i szpiegowanie na masową skalę
- Analiza techniczna eksploita używanego przez chińską grupę APT3
- Analiza nowego backdoora wykorzystywanego przez grupę APT28
- BRATA – zaawansowany trojan na Androida atakujący Brazylijczyków
- Kryptokoparka XMrig przerzuciła się z urządzeń ARM na serwery Intela
- Nowe sztuczki w arsenale trojana TrickBot
- Trojan Astaroth rozprzestrzenia się za pomocą Cloudflare Workers
- Ransomware Sodinokibi dystrybuowany przy użyciu fałszywych forów
- Praktyczne wskazówki dotyczące ochrony przed ransomware’em
Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.
Komentarze
https://twitter.com/Zaufana3Strona/status/1171087454062989312
Nie mam konta na Twitterze więc napiszę pytania tutaj.
Zgadzam się że Signal na pewno jest mniejszym zagrożeniem od zamkniętoźródłowego UseCrypt. Ale:
1. Dlaczego Signal wymaga podania numeru telefonu, i co za tym idzie powiązania ze swoim dowodem osobistym? Dlaczego nie można zarejestrować się nickiem albo adresem e-mail?
2. Dlaczego Signal wymaga aplikacji na telefon, nie można zarejestrować się z komputera? Może jeśli mówimy o przeciętnym użytkowniku telefon jest lepiej zabezpieczony od komputera, ale nie dla kogoś kto dba o prywatność, stosuje kompartmentalizację, wirtualizację, toryfikację.
3. Dlaczego aby porozmawiać z użytkownikami Signala trzeba mieć aplikację i konto Signal, nie można wymieniać wiadomości z XMPP? Tak samo jak Protonmail wymienia wiadomości ze wszystkimi serwerami e-mail, a nawet Facebook kiedyś był interoperacyjny z XMPP. I tutaj jest ciekawa sprawa, Signal teoretycznie ma otwarty protokół i można postawić własny serwer Signal, ale nawet wtedy nie będzie można wymieniać wiadomości z użytkownikami oficjalnego Signala.
4. Jeśli powyższe decyzje deweloperów Signala trudno wytłumaczyć racjonalnie, czy ta aplikacja powinna być uznawana za bezpieczną i szeroko polecana?
Mója siostra, osoba nietechniczna bez problemu używa Signal. Porównaj to chociażby do pgp, nawet nie podejmuję się wyzwania, żeby ją przekonać do używania. Signal to dobry kompromis łatwość obsługi vs. bezpieczeństwo.
Niestety, ale bezpieczeństwo nie znosi kompromisów ;)
@Marek
Niestety nie jestem na tyle obeznany z tematem, żeby odpowiedzieć na twoje pytania, ale przynajmniej w przypadku pierwszego widać światełko w tunelu. Ni podejmuję się analizowania kodu programu, żeby przeanalizować na jakim etapie są prace, ale na Transifexie (gdzie tłumaczą Signal na inne języki), dla wersji na iOS, pojawiło się ostatnio kilka tekstów sugerujących, że w końcu coś się ruszy w kwestii możliwości korzystania z nicka. M. in. „Nazwy użytkowników w Signal są opcjonalne. Jeśli postanowisz dodać nazwę użytkownika, inni użytkownicy Signal będą mogli Cię po niej znaleźć i skontaktować się z Tobą, nie znając Twojego numeru.” Więc w najgorszym razie nie będzie trzeba ujawniać numeru telefonu przynajmniej swoim kontaktom.
Jeszcze kilka pytań na inny temat
https://www.wykop.pl/link/5123281/polski-startup-ktory-ochroni-twoje-konto-w-banku-przed-kradzieza/
1. Czy to rzeczywiście przełomowe rozwiązanie czy kolejny broker danych który chciałby zarabiać np. na rynku RTB?
2. Czy rzeczywiście ma szanse ochronić konto w banku przed kradzieżą? Złodzieje nie wiedzą o fingerprintach?
3. Czy gdyby to jednak było przełomowe i skuteczne to nie byłoby ogromnym zagrożeniem dla prywatności?
4. Czy wierzycie że dane nie są możliwe do powiązania z konkretnym internautą? A co jeśli nie da się powiązać z imieniem i nazwiskiem, ale np. z danymi medycznymi?