07.09.2019 | 12:28

Anna Wasilewska-Śpioch

Weekendowa Lektura: odcinek 331 [2019-09-07]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Tym razem także nie zabrakło materiału do analizy – poniżej znajdziecie kilkadziesiąt linków, które mogą zapewnić Wam zajęcie na resztę weekendu. Życzymy udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej materiał o holenderskim wywiadzie, który pomógł Amerykanom i Izraelczykom zaatakować irańską elektrownię przy użyciu Stuxneta (pkt 11) oraz artykuł o amerykańskim rządowym programie obrony przed bioterroryzmem, który przez ponad 10 lat był przechowywany na niezabezpieczonej stronie (pkt 15). Z kolei w części technicznej spójrzcie na opis krytycznej luki w popularnym serwerze pocztowym Exim (pkt 9), analizę techniczną eksploita używanego przez chińską grupę APT3 (pkt 21) oraz nowe sztuczki w arsenale trojana TrickBot (pkt 25). Miłego klikania!

Sponsor zaprasza
Do czytania zaprasza Was firma Exatel, sponsor Weekendowej Lektury.

Wersja anglojęzyczna

IT Security Weekend Catch Up – September 7, 2019

Część bardziej fabularna

  1. [PL][AUDIO] Podcast Panoptykon 4.0. Chiński Wielki Brat
  2. [PL] Nowy OUCH! o oszustwach przy użyciu mediów społecznościowych (PDF)
  3. [PL] Facebook zablokował profil polskiej firmy Brand24 za rzekomy data scraping
  4. Do sieci trafiło 419 mln numerów telefonów użytkowników Facebooka
  5. Włamanie na stronę Foxit Software i wyciek danych 328 tys. użytkowników
  6. Wyciek e-maili i haseł 562 tys. użytkowników forum XKCD
  7. Opowieść o hakerze, który ukradł dane 168 mln osób
  8. Niemiecki bank stracił 1,5 mln euro w wyniku klonowania kart EMV
  9. FBI poprosiło Google o wyśledzenie telefonów osób, które napadły na bank
  10. Wywiad z człowiekiem, który odkrył niesławnego Stuxneta
  11. Holenderski wywiad pomógł wprowadzić Stuxneta do irańskiej elektrowni
  12. Chińczycy hakują azjatyckie telekomy, by śledzić podróżujących Ujgurów
  13. Twórcy ransomware’u nie przyjęli proponowanej kwoty okupu i zostali z niczym
  14. Ukradli 243 tys. dolarów, skutecznie podrabiając głos prezesa
  15. Rządowy program obrony przed bioterroryzmem na niezabezpieczonej stronie
  16. Wikipedia celem dużego ataku DDoS
  17. Nowe dowody wskazujące na to, że Google omija RODO
  18. Haktywista z Anonymous wezwany przed Wielką Ławę Przysięgłych

Część bardziej techniczna

  1. [PL][AUDIO] Nowy „Cyber, Cyber…” m.in. o kryptowalutach w atomówkach
  2. [PL][WIDEO] Jak rozpocząć przygodę z programami bug bounty
  3. [PL] Kulisy powstawania nowej organizacji testującej antywirusy – CheckLab.pl
  4. [PL] Prywatność różnicowa dostępna dla wszystkich
  5. [PL] Ciasteczka DNS – zasady działania, kwestie wdrożenia
  6. [PL] Szkodliwe programy rozprzestrzeniane jako podręczniki i wypracowania
  7. Błąd 0-day w sterowniku kamery na Androidzie
  8. Eksploity na Androida po raz pierwszy kosztują drożej od tych na iOS
  9. Krytyczna luka w popularnym serwerze pocztowym Exim
  10. USBAnywhere – szereg groźnych podatności w serwerach Supermicro
  11. Zero PMK Installation – ciekawa podatność w chipie Wi-Fi
  12. Analiza łańcucha podatności w Pulse Secure SSL VPN
  13. Urządzenia firmy Zyxel podatne na ataki
  14. XSS w interfejsie webowym DASAN Zhone ZNID
  15. Krytyczna luka w IOS XE zagraża routerom Cisco
  16. Ciekawe studium dotyczące ataków Blind SQL Injection
  17. Nietypowy SMS phishing zagrażający użytkownikom smartfonów z Androidem
  18. Użytkownicy ponad 600 tys. GPS trackerów nie zmienili domyślnych haseł
  19. O różnicach między dwoma jailbreakami dla systemu iOS 12.4
  20. Ataki wymierzone w Ujgurów i szpiegowanie na masową skalę
  21. Analiza techniczna eksploita używanego przez chińską grupę APT3
  22. Analiza nowego backdoora wykorzystywanego przez grupę APT28
  23. BRATA – zaawansowany trojan na Androida atakujący Brazylijczyków
  24. Kryptokoparka XMrig przerzuciła się z urządzeń ARM na serwery Intela
  25. Nowe sztuczki w arsenale trojana TrickBot
  26. Trojan Astaroth rozprzestrzenia się za pomocą Cloudflare Workers
  27. Ransomware Sodinokibi dystrybuowany przy użyciu fałszywych forów
  28. Praktyczne wskazówki dotyczące ochrony przed ransomware’em

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.

Powrót

Komentarze

  • 2019.09.09 23:29 Marek

    https://twitter.com/Zaufana3Strona/status/1171087454062989312
    Nie mam konta na Twitterze więc napiszę pytania tutaj.
    Zgadzam się że Signal na pewno jest mniejszym zagrożeniem od zamkniętoźródłowego UseCrypt. Ale:
    1. Dlaczego Signal wymaga podania numeru telefonu, i co za tym idzie powiązania ze swoim dowodem osobistym? Dlaczego nie można zarejestrować się nickiem albo adresem e-mail?
    2. Dlaczego Signal wymaga aplikacji na telefon, nie można zarejestrować się z komputera? Może jeśli mówimy o przeciętnym użytkowniku telefon jest lepiej zabezpieczony od komputera, ale nie dla kogoś kto dba o prywatność, stosuje kompartmentalizację, wirtualizację, toryfikację.
    3. Dlaczego aby porozmawiać z użytkownikami Signala trzeba mieć aplikację i konto Signal, nie można wymieniać wiadomości z XMPP? Tak samo jak Protonmail wymienia wiadomości ze wszystkimi serwerami e-mail, a nawet Facebook kiedyś był interoperacyjny z XMPP. I tutaj jest ciekawa sprawa, Signal teoretycznie ma otwarty protokół i można postawić własny serwer Signal, ale nawet wtedy nie będzie można wymieniać wiadomości z użytkownikami oficjalnego Signala.
    4. Jeśli powyższe decyzje deweloperów Signala trudno wytłumaczyć racjonalnie, czy ta aplikacja powinna być uznawana za bezpieczną i szeroko polecana?

    Odpowiedz
    • 2019.09.10 08:10 Marcin

      Mója siostra, osoba nietechniczna bez problemu używa Signal. Porównaj to chociażby do pgp, nawet nie podejmuję się wyzwania, żeby ją przekonać do używania. Signal to dobry kompromis łatwość obsługi vs. bezpieczeństwo.

      Odpowiedz
      • 2019.09.11 20:02 Arkoz

        Niestety, ale bezpieczeństwo nie znosi kompromisów ;)

        Odpowiedz
    • 2019.09.10 13:48 Jerico

      @Marek
      Niestety nie jestem na tyle obeznany z tematem, żeby odpowiedzieć na twoje pytania, ale przynajmniej w przypadku pierwszego widać światełko w tunelu. Ni podejmuję się analizowania kodu programu, żeby przeanalizować na jakim etapie są prace, ale na Transifexie (gdzie tłumaczą Signal na inne języki), dla wersji na iOS, pojawiło się ostatnio kilka tekstów sugerujących, że w końcu coś się ruszy w kwestii możliwości korzystania z nicka. M. in. „Nazwy użytkowników w Signal są opcjonalne. Jeśli postanowisz dodać nazwę użytkownika, inni użytkownicy Signal będą mogli Cię po niej znaleźć i skontaktować się z Tobą, nie znając Twojego numeru.” Więc w najgorszym razie nie będzie trzeba ujawniać numeru telefonu przynajmniej swoim kontaktom.

      Odpowiedz
  • 2019.09.10 14:53 Marek

    Jeszcze kilka pytań na inny temat
    https://www.wykop.pl/link/5123281/polski-startup-ktory-ochroni-twoje-konto-w-banku-przed-kradzieza/
    1. Czy to rzeczywiście przełomowe rozwiązanie czy kolejny broker danych który chciałby zarabiać np. na rynku RTB?
    2. Czy rzeczywiście ma szanse ochronić konto w banku przed kradzieżą? Złodzieje nie wiedzą o fingerprintach?
    3. Czy gdyby to jednak było przełomowe i skuteczne to nie byłoby ogromnym zagrożeniem dla prywatności?
    4. Czy wierzycie że dane nie są możliwe do powiązania z konkretnym internautą? A co jeśli nie da się powiązać z imieniem i nazwiskiem, ale np. z danymi medycznymi?

    Odpowiedz

Zostaw odpowiedź do Marek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Weekendowa Lektura: odcinek 331 [2019-09-07]. Bierzcie i czytajcie

Komentarze