27.09.2020 | 13:13

Anna Wasilewska-Śpioch

Weekendowa Lektura: odcinek 384 [2020-09-27]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Czeka na was dużo ciekawych linków zarówno w części fabularnej, jak i technicznej – każdy ma szansę znaleźć coś dla siebie. Życzymy zatem udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej materiał wideo odpowiadający na pytanie, czy da się hakować legalnie (pkt 1), niepokojące wieści o tym, że UE szykuje się do wojny z szyfrowaniem (pkt 7) oraz doniesienia o wycieku kodów źródłowych systemu Windows XP (pkt 14). Z kolei w części technicznej zapoznajcie się z analizą ataków na firmy za pośrednictwem luki w VPN-ie Fortinetu (pkt 10), opisem złośliwego oprogramowania Alien, które kradnie hasła z 226 aplikacji na Androida (pkt 16) oraz raportem nt. aktywności grupy APT28, która skoncentrowała swoje wysiłki na członkach NATO (pkt 23). Miłego klikania!

Wersja anglojęzyczna

IT Security Weekend Catch Up – September 27, 2020

Część bardziej fabularna

  1. [PL][WIDEO] Odpowiedzialność za przełamywanie zabezpieczeń – czy da się hackować legalnie?
  2. [PL] Softserve chciał zamieść pod dywan atak ransomware’u i wyciek danych
  3. [PL] O rzekomych fałszywych kontrolerach w komunikacji miejskiej
  4. [PL] Czy IPN podlega pod RODO
  5. [PL] W jaki sposób Digital Services Act ma naprawić internet
  6. [PL] Analiza europejskiej propozycji regulacji o cyfrowej odporności operacyjnej dla sektora finansów
  7. UE szykuje się do wojny z szyfrowaniem + więcej szczegółów
  8. Za „darmowe” usługi płacimy swoimi danymi
  9. Czego się dowiemy, prosząc firmę zajmującą się śledzeniem online o swoje dane
  10. Jeszcze w tym roku ruszy system Amazon Sidewalk do śledzenia lokalizacji
  11. Amazon nadmiernie monitoruje wewnętrzne grupy dyskusyjne pracowników
  12. Jak Signal stał się ważnym narzędziem protestujących
  13. Białoruski opozycjonista ujawnił dane 1000 funkcjonariuszy
  14. Kody źródłowe systemu Windows XP trafiły na 4chan
  15. Oszustwa akademickie, czyli jak się odrabia pracę domową przez internet
  16. Nigeryjczyk zarobił ponad 1 mln dolarów na wkładach do drukarek
  17. Czterech pracowników serwisu eBay nękało blogerów niezadowolonych z aukcji
  18. W ramach operacji Disruptor zatrzymano 179 osób handlujących w darknecie
  19. Australijczyk skazany za kopanie kryptowalut na superkomputerze CSIRO
  20. Członek grupy The Dark Overlord trafi na pięć lat za kraty

Część bardziej techniczna

  1. [PL][WIDEO] Rozmowa Kontrolowana z Mateuszem Kocielskim
  2. [PL][WIDEO] DNS z perspektywy bezpieczeństwa i automatyzacji
  3. [PL][WIDEO] Testowanie bezpieczeństwa API – ciekawostki, sztuczki i porady
  4. [PL][WIDEO] Ataki na środowisko domenowe z perspektywy obrońcy
  5. Krytyczna luka w aplikacjach Instagrama na Androida i iOS
  6. Luka open redirect w Instagramie, którą Facebook potraktował jak XSS
  7. Wstrzymano rozwój wtyczki do przeglądarek uMatrix
  8. Podatność Zerologon groźna też dla serwerów Samba
  9. [WIDEO] XSS i RCE w aplikacjach powstałych przy użyciu platformy Electron
  10. Fortigate VPN naraża używające go firmy na ataki MitM
  11. Nowy wektor ataku za pośrednictwem luki w Citrix Workspace
  12. Błąd w Firefoksie na Androida pozwalał atakować przeglądarki przez Wi-Fi
  13. Duży wyciek danych z krakowskiej firmy + więcej szczegółów
  14. Z mobilnej wersji wyszukiwarki Bing wyciekło 6,5 TB danych
  15. Złośliwe aplikacje na Androida i iOS udające TikToka
  16. Alien kradnie hasła z 226 aplikacji na Androda
  17. Microsoft usunął z platformy Azure 18 aplikacji przypisywanych chińskim hakerom
  18. AgeLocker atakuje urządzenia QNAP NAS i kradnie dane użytkowników
  19. Operatorzy ransomware’u w 66% przypadków wykorzystują Cobalt Strike (PDF)
  20. Złośliwe oprogramowanie LokiBot znów w natarciu
  21. Ataki zaawansowanych ugrupowań przestępczych na sektor finansowy (PDF)
  22. [WIDEO] Ataki na system opieki zdrowotnej w okresie pandemii COVID-19
  23. APT28 zainicjowała nową kampanię wymierzoną w członków NATO
  24. Analiza aktywności irańskiej grupy Rampant Kitten
  25. Niemieckie narzędzie szpiegujące FinSpy zidentyfikowano w Egipcie
  26. Atak na sieć jednej z amerykańskich agencji federalnych
  27. Krajobraz zagrożeń dla sektora przemysłowego w I połowie 2020 r.
  28. Raport F-Secure nt. zagrożeń w I połowie 2020 r. (PDF)
  29. Grupa OldGremlin atakuje rosyjskie firmy i banki
  30. Botnet Mozi wygenerował 90% całego ruchu IoT
  31. Spamerzy używają adresów IP zapisanych w systemie szesnastkowym

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.

Powrót

Komentarze

  • 2020.09.27 18:57 jajok

    Wiadomo, swiat uslany jest pedofilami i trzeba ich lapac w wielka siec z malymi oczkami… Od jutra policjant bedzie czytal Twoje rozmowy pikantne rozmowy z kochanka, bo moze jest niepelnoletnia i na wszelki wypadek trzeba to sprawdzic… jprdle, do czego to doszlo.

    Odpowiedz
    • 2020.09.28 11:04 gu7

      > jprdle, do czego to doszlo

      Ano.

      Zmianę na lepsze trzeba zacząć od unikania wszelkiej komunikacji, która nie jest zaszyfrowana end-to-end.

      Proponuję na początek zrezygnować z dwóch największych potworów inwigilacyjnych: konta na Facebooku i konta Google.

      Odpowiedz
      • 2020.09.29 00:53 Andżej twój rezydent pod twoim pantoflem

        Nawet Kadu ma OTR’a i działa z protokołem gg. Pytanie jest czy smutni panowie nie zapukali do chłopaków po klucz. Najlepiej by było, zrobić jakieś narzędzie i kompilować do kodu swój klucz w łatwy sposób. Do ludzi jeszcze nie doszło chyba w jakim kierunku to wszystko zmierza. Najlepszą terapię szokową ma teraz Australia, a jakoś rok temu przeszło u nich to samo + backdoory dla służb.

        Odpowiedz
        • 2020.09.29 15:29 Franek

          O jakiej terapii szokowej mówisz? Jaki ma ona związek z zeszłorocznym przepchnięciem tam backdoorów dla służb?

          Odpowiedz
          • 2020.10.01 19:24 filantrop Soros

            chyba chodzi o covidowy zamordyzm, godzine policyjna, wchodzenie ludziom do domów za posty na facebooku.

  • 2020.09.28 09:51 A

    Przecież to kolejny skok na prywatność pod pseudo-szlachetną przykrywką. Przestępcy i tak sobie poradzą, będą samemu szyfrować komunikację (wtedy mogą ją nawet na rynku wywiesić :D), a przeciętnemu Kowalskiemu nie będzie się chciało. To samo dzieje się już prawie wszędzie na świecie i to nie tylko w krajach typu Rosja i Iran (patrz: USA i ich „Earn It Act”)…

    Odpowiedz
    • 2020.09.28 11:03 jajok

      Moim zdaniem to po prostu doprowadzi do smierci internetu jako konstruktu spolecznego. Nikt nie lubi, gdy mu sie grzebie w zyciu i dlatego w internecie zostana tylko sklepy internetowe, banki i komunikatory do oficjalnych rozmow.

      Wszystko co prywatne wroci do starych dobrych czasow, gdy ludzie spotykali sie w barach i dyskutowali o dupie marynie.

      Dziwne to jest, bez rzadow zle, z rzadami tez zle. Jak takie wahadlo, ktore wiecznie sie wychyla raz w jedna raz w druga strone.

      Odpowiedz
      • 2020.09.28 11:28 kraserov

        > Wszystko co prywatne wroci do starych dobrych
        > czasow, gdy ludzie spotykali sie w barach i
        > dyskutowali o dupie marynie.

        Tak (niestety) nie będzie, bo prawie nie ma już takich miejsc.

        W barach, kawiarniach, klubach, siłowniach, restauracjach, stołówkach, holach hotelowych, pociągach, autobusach, tramwajach, salach wykładowych – wszędzie są kamery.

        Wszelkie protesty są uciszane argumentem „bezpieczeństwo”.

        Już w 2014 r. (6 lat temu!) w niektórych polskich pociągach były kamery zapisujące dźwięk (sic!). Spółka „PKP Intercity” potem się wykręcała, że niby ta funkcja nie jest aktywowana.
        Pisała o tym Fundacja Panoptykon:
        https://panoptykon.org/wiadomosc/czy-monitoring-w-pociagach-nagrywa-dzwiek-informacyjny-galimatias

        Jeżeli ludzie nie będą twardo się sprzeciwiać kamerom w miejscach publicznych, to obudzimy się już za kilka lat w totalnym Orwellu, bo zaczyna się już wykorzystywanie automatycznego rozpoznawania twarzy.

        Dlaczego ludzie nie protestują przeciw kamerom? Dlaczego masowo nie zaczęli porzucać Windowsa gdy ten wprowadził szpiegującą telemetrię? Dlaczego nadal siedzą na Facebooku i cieszą się że mają „kontakt” z najbliższymi (szkoda że pod nadzorem pana Zuckerberga)? Dlaczego nadal używają „darmowych” usług firmy Google? Etc. etc.

        Odpowiedz
        • 2020.09.28 12:11 jajok

          Dlatego, ze ludzie sa ulomni i niedoskonali. Ty w tym siedzisz to wiesz. Natomiast w czym nie siedzisz to nie wiesz co sie tam dzieje, np. w medycynie, rolnictwie, etc. Taka kondycja ludzka.

          Moim zdaniem dziwienie sie, narzekanie na kondycje ludzka nie ma sensu. Dlaczego ludzie wola „darmowe” rzeczy? Bo tacy sa. Bo kazdy czlowiek woli taniej, niz drozej, a najtaniej to „za darmo”. Dlatego powstal w ogole ten model zarabiania na danych uzytkownikow. Bo absolutnie nikt nie chcial zywa gotowa placic za te uslugi. Najpierw wiec byla pewna cecha ludzi, a dopiero potem dostosowanie sie rynku do tego. Nie na odwrot.

          Jest tez pozytywna strona tej monety. Mianowicie taka, ze im bardziej panstwo ingeruje w zycie obywateli tym bardziej obywatele zaczynaja sie zastanawiac „co to za panstwo w ktorym zyje”. Moze to doprowadzi do wiekszego namyslu nad elitami, ktore nami rzadza.

          Ja uwazam, ze nic w przyrodzie nie ginie i wszelkie wypierane rzeczy wracaja ze zwiekszona sila. Na przyklad liberalizacja zatacza kolo i prowadzi do autorytaryzmu, autorytaryzm sie rozpada i przychodzi rozprezenie liberalizacyjne. I tak sie krecimy od tysiecy lat wokol pewnych idei. Zadna technologia, czy inne wynalazki nic tu nie zmienia.

          Moj stosunek do tego wszystkiego jest tak naprawde nieustalony. Internet jest piekna manifestacja interesow ludzkich jak w pigulce. Od prywatnych pogaduch po „cyberwojny”. Najwiekszy problem mam nie z tym, ze ktos tam sobie w cos spojrzy. Natomiast mam z tym, ze to nie dziala w druga strone. Tzn, Ty obywatelu jestes pod ciaglym dozorem, natomiast my politycy, policjanci, szerzej ludzie wladzy, nie dajemy Ci zadnych mechanizmow introspekcji, analizy i rozliczania tego co robimy. Asymetria, tu widze najwieksza bolaczke. Nalezy tez dodac, ze w Polsce leza mechanizmy „check and balances”. Tzn, mozna kogos posadzic do aresztu tymczasowego na dowolna ilosc czasu, bez wyroku i w zasadzie nic sie nie dzieje. Moim zdaniem powinna byc jakas komisja wyzszej instancji, ktora powinna karac za takie areszty wydobywcze gdy nie dotycza one prawdziwych gangusow, a babeczki ktora na kwarantannie wyszla 2 razy po zakupy.

          Odpowiedz
      • 2020.09.28 11:42 zaspa

        >Nikt nie lubi, gdy mu sie grzebie w zyciu<
        Nie do końca, niektórzy udostępniają jak leci albo ustawiają wszędzie to samo hasło żeby nie musieć się za bardzo wysilać i nie mają nic przeciwko, bo "nie mają nic do ukrycia". Ale jakbyś spytał się wprost, czy chcieliby by ktoś grzebał w ich życiu to oczywiście nie.
        Uważam, że domyślne nieszyfrowanie end-to-end jest bez sensu z tego względu, że nawet przy najlepszych zabezpieczeniach, TORach i nie wiadomo czym jeszcze służby typu FBI i tak w końcu to złamią, to zależy wyłącznie od tego ile poświęcą na to czasu i środków (patrzcie na przykłady typu Silk Road, Alpha Bay, różne fora pedofilskie), a stracą na tym jedynie zwykli użytkownicy, których content będzie mógł już odczytać dostawca usługi, a nie jedynie odbiorca, jak (rzekomo jest teraz). Stracimy więc na tym my, bo służby rozpracowują przestępców tak czy inaczej, będzie im po prostu łatwiej.

        Odpowiedz
        • 2020.09.28 18:41 jajok

          > Nie do końca, niektórzy udostępniają jak leci albo ustawiają wszędzie to samo hasło żeby nie musieć się za bardzo wysilać i nie mają nic przeciwko, bo „nie mają nic do ukrycia”. Ale jakbyś spytał się wprost, czy chcieliby by ktoś grzebał w ich życiu to oczywiście nie.

          Ale tu nie ma sprzecznosci. Gdy udostepniaja to sami decyduja co i kiedy. Gdy ktos grzebie to nie maja tej decyzyjnosci.

          > Uważam, że domyślne nieszyfrowanie end-to-end jest bez sensu z tego względu, że nawet przy najlepszych zabezpieczeniach, TORach i nie wiadomo czym jeszcze służby typu FBI i tak w końcu to złamią, to zależy wyłącznie od tego ile poświęcą na to czasu i środków (patrzcie na przykłady typu Silk Road, Alpha Bay, różne fora pedofilskie), a stracą na tym jedynie zwykli użytkownicy, których content będzie mógł już odczytać dostawca usługi, a nie jedynie odbiorca, jak (rzekomo jest teraz). Stracimy więc na tym my, bo służby rozpracowują przestępców tak czy inaczej, będzie im po prostu łatwiej.

          „…czasu i środków…” – tak, ale oni nie maja swoich srodkow. Oni utylizuja srodki spoleczenstwa. W zwiazku z tym nawet z perspektywy spoleczenstwa, ktore jest inwigilowane mozna uzasadniac ze zniesienie e2e i w konsekwencji jego czaso/finansowo-chlonnosc nalezy ograniczac, zeby bylo na szpitale, sluzbe zdrowia, 500+, you name it.

          Odpowiedz
      • 2020.09.28 12:18 A

        Wąpię… większość ludzi się tym nie przejmie. Przecież „nie mają nic do ukrycia”, a ich konwersacje dot. głównie kotletów na obiad i nowego serialu na Netflixie. Nawet gdyby ten sprzeciw był to i tak władza miałaby zapędy, żeby takie rozwiązania forsować. A w sytuacji gdzie ludzie siedzą cicho, a protesty to domena „freaków”, nie dziwne, że politycy to skrzętnie wykorzystują.

        Odpowiedz
        • 2020.09.28 15:31 jajok

          „nie maja nic do ukrycia” dopoki to nie wplywa na ich zycie. A zacznie wplywac, bo kazdy system sie degeneruje z czasem. Tak jak Zwiazek Sowiecki sie zdegenerowal i umarl, tak nowy wolny swiat ktory sie po nim wylonil sie degeneruje i umiera, tak umrze to co sie wyloni po tym nowym swiecie… No taka jest historia. Nic z tym nie zrobisz. To sa procesy, ktore sa silniejsze od woli pojedynczych ludzi, a nawet ich grup.

          Przed I Wojna Swiatowa wiekszosc Europy tez sobie zyla w fajnym swiecie pokoju. Wszyscy jezdzili do siebie kolejami, byl rozwoj, bylo fajnie (Polski nie bylo, ale nikomu poza Polakom to nie przeszkadzalo). Wojna byla nie do pomyslenia wtedy. Rodziny rozsiane po roznych krajach, wszyscy polaczeni, kto tu w ogole bedzie bral za bron i do drugich strzelal jak ma tam rodzine czy cos. A tu prosze. Jeden czlowiek (Franz Ferdynand) ginie i wojna na cala Europe.

          Historia uczy, ze to co Ty czy ja myslimy nie ma znaczenia. To co wiekszosc ludzi mysli nie ma znaczenia. Ktos, gdzies, w jakims gabinecie powie cos za duzo, kogos poniosa emocje i tylko to bedzie sie liczyc.

          Odpowiedz

Zostaw odpowiedź do kraserov

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Weekendowa Lektura: odcinek 384 [2020-09-27]. Bierzcie i czytajcie

Komentarze