10:16
11/12/2017
11/12/2017
Memdump to cotygodniowe zestawienie informacji “zrzuconych z pamięci” redaktorów. Poniższe tematy były godne uwagi i nas zainteresowały, ale z różnych przyczyn nie zdążyliśmy ich opisać na łamach Niebezpiecznika tak szczegółowo, jakbyśmy sobie tego życzyli. Dlatego “zrzucamy” je wam do samodzielnego “zdebuggowania”, okraszając jedynie kilkoma zdaniami komentarza.
DLA WSZYSTKICH
- Obszerny poradnik jak zachować bezpieczeństwo w Internecie.
- Rada Ministrów przyjęła projekt ustawy o dokumentach publicznych. Jeśli wszystko pójdzie zgodnie z planem, ograniczy to dostęp do dowodów “kolekcjonerskich”. O projekcie pisaliśmy kilka miesięcy temu.
- Badacze z Princeton opublikowali ciekawy artykuł o śledzeniu użytkowników smartfonów bez GPS, na podstawie sensorów i zewnętrznych źródeł informacji.
- Leakbase, który sprzedawał hasła z bazą ponad dwóch miliardów rekordów przestał działać. Prawdopodobnie ma to związek z nalotem holenderskiej policji na czarny rynek internetowy – Hansa. Witryna aktualnie przekierowywuje pod adres haveibeenpwned.com.
- O tym, że ofiary internetowych przestępstw cierpią na depresję, stres oraz doświadczają lęków.
- Amerykański Departament Bezpieczeństwa Wewnętrznego (DHS) oskarżył chińskiego producenta dronów DJI o przesyłanie wrażliwych informacji o infrastrukturze amerykańskiej do Chin. Szczegóły znajdziecie w notatce opublikowanej na info.publicintelligence.net.
- Facebook jakiś czas temu wdrożył nowy system dodawania ankiet. Znaleziono w nim błąd pozwalający usunąć dowolne zdjęcie z serwisu. Znalazca otrzymał 10,000 dolarów w ramach programu bug bounty.
- Krytyczne luki znalazły się w mobilnych aplikacjach bankowych. Badanie nie dotyczyło produktów dla polskiego rynku, ale i tak jest pouczające.
- Mailsploit pozwala na efektywny spoofing wiadomości mailowych.
- Baza zawierająca 1,4 mld danych dostępowych “błąkała się” po darknecie. Skala jest przerażająca podobnie jak to, że część z tych haseł najwyraźniej jest jeszcze w użyciu.
- A tymczasem… ponad 80% ludzi korzysta z jednego hasła do wielu serwisów.
- Przenośny “Secrets Manager” z synchronizacją, bez chmury, bez płacenia za serwer, za to z Raspberry Pi? Ciekawy pomysł.
- The Janus to dość ciekawy błąd dotykający Androida. Pozwala on na modyfikację kodu aplikacji, bez zmiany sygnatury. Dzięki temu potencjalnie złośliwa aplikacja traktowana będzie jako bezpieczna.
- Keylogger w sterownikach klawiatury w laptopach HP.
- Wydatki na bezpieczeństwo mają wzrosnąć w 2018r. o 8% i osiągnąć 96,3 miliarda dolarów.
- Na ponad 5550 stronach opartych o WordPress’a znaleziono keyloggera.
- Błąd w Microsoft Malware Protection Engine – zdalne wykonanie kodu.
- Zdalne hakowanie sejfu na broń Vaultek VT20i, czyli najpopularniejszego urządzenie tego typu na Amazonie. Badacze odkryli błąd w sposobie odblokowywania przez Bluetooth LE. Demo opublikowane zostało na YouTube.
- Nowa funkcja w Chrome 63 – Strict Site Isolation. Aby ją włączyć, należy w pasku adresu wpisać chrome://flags, zjechać na dół, włączyć odpowiednią funkcję i zresetować przeglądarkę.
- Process Doppelgänging to nowy “fileless attack” niewykrywalny przez większość oprogramowania zabezpieczającego oraz działający na wszystkich Windowsach. Pozwala on na uruchomienie złośliwego kodu wykrywalnego jako niegroźny. Dostępna jest również prezentacja.
- NiceHash, czyli usługa pozwalająca na wynajęcie mocy obliczeniowej potrzebnej do wydobywania krypto-walut została zhakowana. Skradzione środki znajdują się na tym portfelu. Aktualnie jest to 4,736 BTC. Wydane zostało oficjalne oświadczenie (backup).
DLA PROGRAMISTÓW / SYSADMINÓW
- Malware uderzający w WordPress’y – wp-vcd ukrywa się w piraconych motywach.
- Jak tanim kosztem stworzyć sobie router do testów penetracyjnych sieci Wi-Fi.
- Infografika pokazująca jak się rozwijać w obszarze bezpieczeństwa IT.
- Sprawdźcie też ten wpis.
- Kanał informacyjny (security) – ponad 25 źródeł.
- Malpedia również jest czymś, co warto poznać.
- Ćwiczenia z zakresu PostgreSQL na licencji Creative Commons.
- Linuksowa wersja ProcDump Sysinternals
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Link do prezentacji bezplikowego szkodnika nie działa :(
Otwórz link, usuń cudzysłów na końcu i voila
> O tym, że ofiary internetowych przestępstw cierpią na depresję, stres oraz doświadczają lęków.
Ja tak mam za każdym razem, gdy rząd zapowiada kolejne ułatwienia dla przedsiębiorców.
Niestety nie jesteś sam ;(
> Ja tak mam za każdym razem, gdy rząd zapowiada kolejne ułatwienia dla przedsiębiorców.
Ach! I jeszcze te zapewnienia, że “małe przedsiębiorstwa to nasze oczko w głowie”, “chcemy usuwać bariery regulacyjne”, “priorytetem rządu jest gospodarka i bezpieczeństwo”. Słowem: cud, miód i orzeszki.
Po czym wprowadzają centralny rejestr faktur oraz obowiązek raportowania na bieżąco do fiskusa każdej transakcji i wszystkich stanów magazynowych…
> Aktualnie jest to 4,736 BTC.
Ale wiecie, że 4,736 BTC i 4736 BTC różnią się o kilka rzędów wielkości, prawda?
4,736 BTC jest w notacji amerykańskiej, u nas to 4736 bitcoinów, czyli na chwilę pisania tego komentarza blisko 282 miliony złotych.
Niestety ostatnimi czasy niezwykle często dochodzi do niechlujnego mieszania notacji rodzimej (przecinek jako znak oddzielający jedności od dziesiętnych, kropka jako separator co trzy rzędy wielkości) z anglosaską (w której użycie przecinka i kropki jest odwrotne), co nierzadko prowadzić może do sporych nieporozumień.
Co do notacji anglosaskiej to zgoda, ale rodzima? Wydawało mi się, że w Polsce separatorem tysięcy *nie* jest kropka, a *spacja*. Na przykład:
(eng) 4,098,367.23
(pol) 4 098 367,23
Mam rację?