Zapraszamy do nowego wydania Weekendowej Lektury. Dopadło nas przeziębienie, stąd pewne opóźnienie w przeglądaniu i wybieraniu dla was linków, zwłaszcza że przestępcy w przedświątecznym okresie z reguły nie próżnują. Życzymy udanej lektury.
W dzisiejszym odcinku szczególnie polecamy w części fabularnej informację o wynikach akcji EMMA5, która miała ukrócić pranie pieniędzy przy użyciu mułów finansowych (pkt 4), a także artykuł o domniemanym szefie „Evil Corp”, który miał spowodować straty w wysokości 100 mln dolarów (pkt 8). Z kolei w części technicznej spójrzcie na udostępnione już na YouTubie prezentacje wygłoszone podczas konferencji SECURE 2019 (pkt 1), analizę ataków przy użyciu nowego destrukcyjnego szkodnika o nazwie ZeroCleare (pkt 20) oraz aktualny krajobraz zagrożeń dla systemów przetwarzających dane biometryczne (pkt 23). Miłego klikania!
Wersja anglojęzyczna
Część bardziej fabularna
- [PL][AUDIO] „Cyber, Cyber…” o odcinaniu kraju od internetu
- [PL] Empik przykrywką dla wielu sklepów, często niezbyt wiarygodnych
- [PL] Były listonosz podejrzany o kradzież pieniędzy z kart płatniczych
- [PL] Aresztowano 228 osób zaangażowanych w pranie pieniędzy
- Organy ścigania z Europolem na czele zamknęły ponad 30 tys. pirackich stron
- FBI prosi Sony o dane osoby sprzedającej kokainę za pomocą PlayStation Network
- Evernote przekazał rządowym agentom notatki czarnorynkowego handlarza
- Zaczęło się polowanie na domniemanego szefa „Evil Corp”
- BMW infiltrowane przez hakerów szukających tajemnic handlowych
- Wyciek milionów SMS-ów z bazy danych firmy TrueDialog
- Znana ekspertka w dziedzinie prawa nową przewodniczącą EFF
Część bardziej techniczna
- [PL][WIDEO] Materiały z konferencji SECURE 2019
- [PL] Obchodzenie flagi montowania: noexec
- Ciekawy łańcuch exploitów wykorzystujący luki w Firefoksie
- W OpenBSD załatano kilka poważnych luk
- Użytkownikom Androida zagraża luka StrandHogg
- Lukę StrandHogg wykorzystywał trojan BankBot odkryty w 2017 r.
- Grudniowy pakiet aktualizacji dla Androida + osobne poprawki dla Pixela
- Aż 80% aplikacji na Androida domyślnie szyfruje przesyłane dane
- iPhone 11 zbiera dane geolokalizacyjne, nie respektując ustawień użytkownika
- Apple komentuje ustalenia Krebsa, powodu do obaw nie widzi
- Luka umożliwiająca podsłuchiwanie i przechwytywanie połączeń VPN
- Podatność w kliencie Aviatrix VPN
- Dwie złośliwe biblioteki Pythona kradły klucze SSH i GPG
- Nadal wykorzystywana luka w Outlooku sprzed dwóch lat
- Najczęściej kopiowany kod ze StackOverflow okazał się dziurawy
- Błąd w systemie logowania do usługi Microsoft Azure
- Złośliwa aplikacja CallerSpy zagraża użytkownikom Androida
- Grupa Lazarus wyposażyła się w bezplikowego szkodnika atakującego macOS
- Nowa wersja trojana IcedID wykorzystuje steganografię
- ZeroCleare – nowy destrukcyjny szkodnik atakuje sektor energetyczny (PDF)
- Krajobraz zagrożeń APT w 2019 r.
- Analiza szkodnika Sakabota rozpowszechnianego przez grupę xHunt
- Zagrożenia dla systemów przetwarzających dane biometryczne
- Klonowanie kart EMV za pomocą ataku klasy pre-play (PDF)
- Ataki na komunikację bezprzewodową kart Visa i MasterCard (PDF)
- CPoC – nowy standard bezpieczeństwa dla płatności zbliżeniowych
- Analityk HackerOne przypadkiem dał badaczowi dostęp do prywatnych raportów
- Nietypowy atak MITM uwieńczony kradzieżą 1 mln dolarów
- Ataki na pojazdy zrobotyzowane, np. łaziki marsjańskie (PDF)
Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.
Komentarze
3. [PL] Były listonosz podejrzany o kradzież pieniędzy z kart płatniczych
Który bank wysyła kartę a potem pin do tej karty pocztą?
Jeśli nic się nie zmieniło, to np. ten: https://zaufanatrzeciastrona.pl/post/jak-po-kradziezy-dwoch-kopert-zlodziej-moze-aktywowac-karte-platnicza-nest-banku/
Jest post z 2019.02.23, że Nest Bank z tego zrezygnował, ale widocznie są jeszcze inne nieodpowiedzialne banki.
Swoją drogą to nie rozumiem również klientów, którzy na to pozwalają. Ja na ich miejscu skarżył bym się do skutku do KNF, UOKiK oraz Rzecznika Finansowego.
Żeby nie było, że tylko polskim bankierom brakuje zdrowego rozsądku polecam poniższy artykuł. Brytyjski Barclays Bank przez błąd w systemie wysyłał tysiącom klientów kartę i PIN w jednej kopercie (zamiast w dwóch). Były przypadki, że przesyłkę przejmowali złodzieje – klienci tracili pieniądze a bank odmawiał zwrotu.
Barclays in major security breach as it admits posting out pin numbers with new cards
https://www.theguardian.com/money/2017/nov/10/barclays-posts-pin-numbers-with-debit-cards
Ej, ale ten artykuł o słabych RNG w implementacjach EMV jest sprzed ponad pięciu lat. W międzyczasie było z 90 biuletynów i 8 wersji specyfikacji testów. Trochę kurzu już na tym osiadło.
Znacznie lepszy jest ten o ctls, ale daje do zrozumienia, że nie ma zabezpieczeń przed udawaniem uwierzytelnienia na urządzeniu, co nie jest w pełni zgodne z prawdą, bo we wszystkich typach kryptogramu jest CVR. To tylko kwestia zarządzania ryzykiem przez wydawcę.
Nie przeszkadzaj i nie ej tylko proszę pana.
Ja nie po to skończyłem studia żebyś mi per ty mówił.
U mnie na doktoranckich wszyscy przeszliśmy na per ty.
Jak to dziurawy ten kod z stack overflow? Wygląda że nikt tego dokładnie nie przeczytał i tam nie ma błędu zdaje się w kodzie – tylko kod jest nieoptymalny. Nieoptymalność polega na tym że liczyli logarytm za pomocą dzielenia przez 1000 lub 1024 A mogli wykorzystać gotowy logarytm z standardowej biblioteki, który jest ztablicowany w celu przyspieszenia działania ( jednak z tego powodu i jako że double ma skończona dokładność a log jest stablicowany tylko dla (1, 10) dla log10 to dla dużych licz może być wynik gorszy niż przez te dzielenie !!! ) Podsumowując to nie błąd w implementacji algorytmu tylko „upiększenie” / uproszczenie kodu który jeśli o dokładność wyniku może nie być wcale dokładniejszy niż oryginalny kod. Trochę dla mnie click-bait w tytule oryginalnego artykułu a niebezpiecznik wcale się nie wczytał o co chodzi.