Niebezpiecznik

Memdump to cotygodniowe zestawienie informacji “zrzuconych z pamięci” redaktorów. Poniższe tematy były godne uwagi i nas zainteresowały, ale z różnych przyczyn nie zdążyliśmy ich opisać na łamach Niebezpiecznika tak szczegółowo, jakbyśmy sobie tego życzyli. Dlatego “zrzucamy” je wam do samodzielnego “zdebuggowania”, okraszając jedynie kilkoma zdaniami komentarza.

DLA WSZYSTKICH

• Najpopularniejszym hasłem w 2017 jest… 123456.
• NIK ogłosił plany swoich kontroli na rok 2018. Bezpieczeństwo teleinformatyczne RP to jeden z punktów programu.
• Twitterowe konto Johna McAfee zostało zhakowane. Hmmm.
• Uzyskanie dostępu do systemu operacyjnego pewnych rosyjskich bankomatów okazało się wyjątkowo łatwe.
• Lista najgroźniejszych ludzi w Internecie.
• Backdoory w trzech wtyczkach do WordPressa: Duplicate Page and Post, No Follow All External Links, WP No External Links.
• Wyciąganie haseł, które zapamiętała przeglądarka za pomocą ukrytych pól logowania (demo).




• Hakowanie maszyn w kasynach.
• Setki tysięcy urządzeń IoT podatne na zdalne wykonanie kodu. Problem leży w serwerze web GoAhead, z którego korzystają tacy giganci jak Oracle, D-Link, ZTE czy HP. Dostępna jest analiza oraz PoC.
• Hakowanie głośników Bose i Sonos przez Internet.
• Zgadywanie PINu do telefonu za pomocą wbudowanych sensorów. Aplikacja nie potrzebuje pozwolenia użytkownika.
• Aplikacja LastPassa na Androida nie jest bezpieczna.
• Zdalne wykonanie kodu na serwerze Yahoo – 8 000 dolarów.
• Nissan zaliczył wpadkę. Ponad milion obecnych i byłych klientów powiadomionych zostało o możliwym wycieku. Problem dotyczy klientów, którzy sfinansowali swój zakup przez Nissan Canada Finance. Najprawdopodobniej wykradzione zostały dane klienta, adres, marka i model pojazdu, numer identyfikacyjny pojazdu (VIN), ocena kredytowa, kwota kredytu i miesięczna opłata.
• Twitter wdrożył rozwiązania 2FA firm trzecich (Google Authenticator, Duo Mobile, Authy, 1Password itp.).
• Czy Rosjanie mogą mieć dostęp do oprogramowania używanego przez FBI do analizy odcisków palców? Jeśli was to interesuje, zajrzyjcie do BuzzFeed.
• Oszukiwanie sztucznej inteligencji od Google.
  
• W Chinach naprawdę można iść do więzienia za oferowanie nielegalnej usługi VPN.

DLA SYSADMINÓW / PROGRAMISTÓW

• Dlaczego nie korzystamy z TLS 1.3?
• Wykorzystywanie błędu  DRAM rowhammer, aby uzyskać uprawnienia kernela.
• Hakowanie Magneto przez… wtyczkę do helpdesku.
• Bezpłatne wykłady od Princeton na temat krypto-walut – ponad 13h materiału.

Przeczytaj także:

• Memdump #006 (6/2017)
• Memdump #005 (5/2017)
• Memdump #009 (1/2018)