08.12.2019 | 22:55

Anna Wasilewska-Śpioch

Weekendowa Lektura: odcinek 344 [2019-12-08]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Dopadło nas przeziębienie, stąd pewne opóźnienie w przeglądaniu i wybieraniu dla was linków, zwłaszcza że przestępcy w przedświątecznym okresie z reguły nie próżnują. Życzymy udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej informację o wynikach akcji EMMA5, która miała ukrócić pranie pieniędzy przy użyciu mułów finansowych (pkt 4), a także artykuł o domniemanym szefie „Evil Corp”, który miał spowodować straty w wysokości 100 mln dolarów (pkt 8). Z kolei w części technicznej spójrzcie na udostępnione już na YouTubie prezentacje wygłoszone podczas konferencji SECURE 2019 (pkt 1), analizę ataków przy użyciu nowego destrukcyjnego szkodnika o nazwie ZeroCleare (pkt 20) oraz aktualny krajobraz zagrożeń dla systemów przetwarzających dane biometryczne (pkt 23). Miłego klikania!

Sponsor zaprasza
Do czytania zaprasza Was firma Exatel, sponsor Weekendowej Lektury.

Wersja anglojęzyczna

IT Security Weekend Catch Up – December 8, 2019

Część bardziej fabularna

  1. [PL][AUDIO] „Cyber, Cyber…” o odcinaniu kraju od internetu
  2. [PL] Empik przykrywką dla wielu sklepów, często niezbyt wiarygodnych
  3. [PL] Były listonosz podejrzany o kradzież pieniędzy z kart płatniczych
  4. [PL] Aresztowano 228 osób zaangażowanych w pranie pieniędzy
  5. Organy ścigania z Europolem na czele zamknęły ponad 30 tys. pirackich stron
  6. FBI prosi Sony o dane osoby sprzedającej kokainę za pomocą PlayStation Network
  7. Evernote przekazał rządowym agentom notatki czarnorynkowego handlarza
  8. Zaczęło się polowanie na domniemanego szefa „Evil Corp”
  9. BMW infiltrowane przez hakerów szukających tajemnic handlowych
  10. Wyciek milionów SMS-ów z bazy danych firmy TrueDialog
  11. Znana ekspertka w dziedzinie prawa nową przewodniczącą EFF

Część bardziej techniczna

  1. [PL][WIDEO] Materiały z konferencji SECURE 2019
  2. [PL] Obchodzenie flagi montowania: noexec
  3. Ciekawy łańcuch exploitów wykorzystujący luki w Firefoksie
  4. W OpenBSD załatano kilka poważnych luk
  5. Użytkownikom Androida zagraża luka StrandHogg
  6. Lukę StrandHogg wykorzystywał trojan BankBot odkryty w 2017 r.
  7. Grudniowy pakiet aktualizacji dla Androida + osobne poprawki dla Pixela
  8. Aż 80% aplikacji na Androida domyślnie szyfruje przesyłane dane
  9. iPhone 11 zbiera dane geolokalizacyjne, nie respektując ustawień użytkownika
  10. Apple komentuje ustalenia Krebsa, powodu do obaw nie widzi
  11. Luka umożliwiająca podsłuchiwanie i przechwytywanie połączeń VPN
  12. Podatność w kliencie Aviatrix VPN
  13. Dwie złośliwe biblioteki Pythona kradły klucze SSH i GPG
  14. Nadal wykorzystywana luka w Outlooku sprzed dwóch lat
  15. Najczęściej kopiowany kod ze StackOverflow okazał się dziurawy
  16. Błąd w systemie logowania do usługi Microsoft Azure
  17. Złośliwa aplikacja CallerSpy zagraża użytkownikom Androida
  18. Grupa Lazarus wyposażyła się w bezplikowego szkodnika atakującego macOS
  19. Nowa wersja trojana IcedID wykorzystuje steganografię
  20. ZeroCleare – nowy destrukcyjny szkodnik atakuje sektor energetyczny (PDF)
  21. Krajobraz zagrożeń APT w 2019 r.
  22. Analiza szkodnika Sakabota rozpowszechnianego przez grupę xHunt
  23. Zagrożenia dla systemów przetwarzających dane biometryczne
  24. Klonowanie kart EMV za pomocą ataku klasy pre-play (PDF)
  25. Ataki na komunikację bezprzewodową kart Visa i MasterCard (PDF)
  26. CPoC – nowy standard bezpieczeństwa dla płatności zbliżeniowych
  27. Analityk HackerOne przypadkiem dał badaczowi dostęp do prywatnych raportów
  28. Nietypowy atak MITM uwieńczony kradzieżą 1 mln dolarów
  29. Ataki na pojazdy zrobotyzowane, np. łaziki marsjańskie (PDF)

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.

Powrót

Komentarze

  • 2019.12.09 08:36 bmo

    3. [PL] Były listonosz podejrzany o kradzież pieniędzy z kart płatniczych
    Który bank wysyła kartę a potem pin do tej karty pocztą?

    Odpowiedz
  • 2019.12.09 20:15 Michal Gluchowski

    Ej, ale ten artykuł o słabych RNG w implementacjach EMV jest sprzed ponad pięciu lat. W międzyczasie było z 90 biuletynów i 8 wersji specyfikacji testów. Trochę kurzu już na tym osiadło.

    Znacznie lepszy jest ten o ctls, ale daje do zrozumienia, że nie ma zabezpieczeń przed udawaniem uwierzytelnienia na urządzeniu, co nie jest w pełni zgodne z prawdą, bo we wszystkich typach kryptogramu jest CVR. To tylko kwestia zarządzania ryzykiem przez wydawcę.

    Odpowiedz
    • 2019.12.09 22:05 Łukasz

      Nie przeszkadzaj i nie ej tylko proszę pana.
      Ja nie po to skończyłem studia żebyś mi per ty mówił.

      Odpowiedz
      • 2019.12.10 07:55 Piotr

        U mnie na doktoranckich wszyscy przeszliśmy na per ty.

        Odpowiedz
  • 2019.12.10 09:50 Tomasz

    Jak to dziurawy ten kod z stack overflow? Wygląda że nikt tego dokładnie nie przeczytał i tam nie ma błędu zdaje się w kodzie – tylko kod jest nieoptymalny. Nieoptymalność polega na tym że liczyli logarytm za pomocą dzielenia przez 1000 lub 1024 A mogli wykorzystać gotowy logarytm z standardowej biblioteki, który jest ztablicowany w celu przyspieszenia działania ( jednak z tego powodu i jako że double ma skończona dokładność a log jest stablicowany tylko dla (1, 10) dla log10 to dla dużych licz może być wynik gorszy niż przez te dzielenie !!! ) Podsumowując to nie błąd w implementacji algorytmu tylko „upiększenie” / uproszczenie kodu który jeśli o dokładność wyniku może nie być wcale dokładniejszy niż oryginalny kod. Trochę dla mnie click-bait w tytule oryginalnego artykułu a niebezpiecznik wcale się nie wczytał o co chodzi.

    Odpowiedz

Zostaw odpowiedź do Michal Gluchowski

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Weekendowa Lektura: odcinek 344 [2019-12-08]. Bierzcie i czytajcie

Komentarze