Zapraszamy do nowego wydania Weekendowej Lektury. Co prawda, weekend zmierza już ku końcowi, ale przed nami majówka, podczas której będziecie mogli ogarnąć wszystkie zebrane przez nas wieści ze świata cyber. Miłego klikania!
W dzisiejszym wydaniu szczególnie polecamy w części fabularnej informacje o petycji dotyczącej wykorzystywania technologii śledzących na stronach administracji publicznej w Polsce (pkt 1-2) oraz przewodnik po certyfikatach z zakresu cyberbezpieczeństwa wraz z rankingiem (pkt 12). W części technicznej spójrzcie na świeżo opublikowany raport roczny z działalności CERT Orange Polska w 2023 r. (pkt 1) oraz zestawienie grup sponsorowanych przez różne państwa, które mogą zagrażać tegorocznym wyborom na całym świecie (pkt 19). Życzymy udanej lektury.
Wersja anglojęzyczna
Część bardziej fabularna
- [PL] Państwo dzieli się danymi obywateli z big techami. Trzeba to zmienić!
- [PL] Więcej o petycji ws. użycia skryptów śledzących na rządowych stronach
- [PL][AUDIO] Unijna baza danych o zdrowiu – jak to będzie działać
- [PL] UODO ma poważne zastrzeżenia wobec rejestru osób publicznych
- [PL] Jak od sześciu lat internetowe korporacje obchodzą RODO
- [PL] Czy kierowca może zażądać usunięcia swoich danych z CEPiK?
- [PL][AUDIO] Służby chcą uzyskać dane z naszych maili i komunikatorów?
- [PL] Oszustwa na PIT – uwaga na linki zawarte w mailu
- [PL] Internetowy identyfikator do personalizacji reklam jest daną osobową
- [PL][WIDEO] O deepfake’ach, czyli co mam zrobić, gdy zostanę bohaterką porno
- [PL] AI Act w działaniu: Co się stanie z deepfake’ami?
- [PL] Przewodnik po certyfikatach z zakresu cyberbezpieczeństwa
- Google opóźnia wycofanie plików cookie innych firm z Chrome’a
- Aplikacje randkowe na bakier z prywatnością – wyniki badania Mozilli
- WhatsApp opuści Indie, jeśli rząd będzie wymuszać złamanie szyfrowania e2e
- Prezydent USA podpisał ustawę uderzającą w TikToka
- Sankcje na rosyjskie media – rozbieżne działania i wątpliwe skutki
- Szef rosyjskiego kontrwywiadu skazany na 9 lat więzienia
- Kto stał za kradzieżą danych pacjentów fińskiego ośrodka psychoterapii
- Operatorzy miksera Samourai aresztowani i oskarżeni o pranie pieniędzy
Część bardziej techniczna
- [PL] Raport roczny z działalności CERT Orange Polska w 2023 r.
- [PL][WIDEO] Dysk twardy cię podsłuchuje, czyli o nowym ataku side‑channel
- [PL] Przyśpieszanie procesu budowania obrazów kontenerów
- [PL] Podatność BatBadBut nie tak straszna, jak pierwotnie sądzono
- Luka w interfejsie webowym serwera Cisco IMC użyta do uruchomienia Dooma
- Microsoft opublikował na GitHubie kod źródłowy systemu MS-DOS
- Instancje WordPressa atakowane za pośrednictwem wtyczki WP-Automatic
- Unieszkodliwiono serwer botnetu PlugX powiązany z 2,5 mln adresów IP
- Dev Popper – nowa kampania skierowana do twórców oprogramowania
- Analiza nowej wersji oprogramowania kradnącego dane Redline
- Komentarze na GitHubie używane do rozprzestrzeniania szkodników
- GuptiMiner był dystrybuowany poprzez aktualizacje antywirusa eScan
- Kampania ArcaneDoor ukierunkowana na urządzenia Cisco ASA / FTD
- Brokewell – nowy bankowy trojan atakujący urządzenia z Androidem
- Jak grupa ToddyCat zapewnia sobie stały dostęp do infrastruktury ofiar
- APT73, czyli o gangu ransomware, który identyfikuje się jako grupa APT
- Analiza ataków ransomware’u Cactus na serwery Qlik Sense
- Operatorzy szkodnika CryptVPN atakują poszukiwaczy dziecięcej pornografii
- Jakie grupy APT zagrażają tegorocznym wyborom na całym świecie
- APT28 przez kilka lat wykorzystywała lukę w buforze wydruku Windowsa
Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres biuro (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury. Możecie też dołączyć do naszego serwera na Discordzie i zostawiać swoje znaleziska na kanale „newsy”: discord.gg/zaufana
Komentarze
Artykuł na temat certyfikatów (nr 12) – cieszy fakt, że ktoś podejmuje próbę zrozumienia tego zagadnienia, jednakże:
1/ Koszt certyfikatu to nie tylko opłata wpisowa, ale również czas, który co roku jest kompletnie marnowany na wpisanie CPE, a także zazwyczaj kilkaset dolarów za utrzymanie. Organizacje takie jak ISC, ISACA, EC (od CEH) pobierają znaczną sumę pieniędzy i czasu co roku, rzadko oferując coś w zamian. Najbardziej znamiennym przykładem jest chyba CEH, który wymaga zarówno pieniędzy, jak i czasu od osób, które zdobyły starszą wersję CEH, kiedy nie było takiego wymogu. 2/ Stawianie certyfikatu CISSP powyżej OSCP to nieporozumienie. Są to dwa różne królestwa zwierząt, ale na pewno OSCP jest znacznie bardziej elitarny niż CISSP, ponieważ udowadnia umiejętności, a nie wiedzę. 3/ Comptia Security+: być może coś się zmieniło, ale kiedy ja sprawdzałem, to był to certyfikat na poziomie początkującym.
Mam wrażenie, że autor artykułu przeczytał na ten temat kilka rzeczy, ale nie rozmawiał z ludźmi z branży ani sam nie zdobył tych certyfikatów. Niemniej jednak, cieszy fakt, że podejmuje próbę poruszenia tego tematu, ponieważ wiele osób pyta o to w pierwszych latach swojej kariery.
Autor napisał swoje subiektywne zdanie na temat certyfikatów w końcowej sekcji wpisu i również jak Ty stawia praktyczne certyfikaty ponad teoretyczne. Ba nawet uczelnie ponad certyfikaty. Sam ranking bierze pod uwagę sytuację rynkową, która jest niezależna od „wanna be” autora. Niestety rekruterzy pokochali CEHa ¯\(ツ)/¯, a o istnieniu pentesterlab nie mają pojęcia. CISSP jest królem dżungli, pewnie dlatego, że branża cyberbezpieczeństwa to nie tylko umiejętności twarde, a piwniczak nie chce do zarządu. Pozdrawiam, byłem tym autorem.