22/1/2019
Rok ma 12 miesięcy. Po roku warto spróbować czegoś nowego. No więc próbujemy — oto pierwszy odcinek Na Podsłuchu, w którym nie ma jednego tematu przewodniego, ale za to jest kilka bieżących wydarzeń. Ich listę znajdziecie poniżej.
Posłuchaj tego odcinka
Listen to “NP #012 – ten z pierwszym przeglądem newsów” on Spreaker.
Linki do omawianych zagadnień
W odcinku przywoływaliśmy m.in. poniższe zagadnienia:
- Afera szpiegowska z Huawei na terenie Polski. Czy jest się czego bać? Tłumaczymy i podtrzymujemy wszystko to co pisaliśmy w sprawie podejrzeń tego producenta o szpiegostwo już rok temu w tekście pt. Uwaga na telefony Huawei — służby ostrzegają że Chiny mogą je wykorzystać do podsłuchu
- Ustawa o przetwarzaniu danych osobowych przez służby, która… jest fikcyjna? I trochę o nasłuchiwaniu policji przez krótkofalarzy oraz o problemach jakie generuje strajk policji.
- Atak 51% na kryptowalutę Ethereum Classic. I przepis na przejmowanie innych kryptowalut.
- Aplikacja Oversec (tylko na Androida), która wdraża EYE-TO-EYE encryption. Dzięki niej da się szyfrować wszystko co z telefonu wychodzi, niezależnie od aplikacji jaką to wychodzi i tego czy aplikacja szyfrowanie wspiera. Apka po prostu szyfruje tekst w każdym polu tekstowym i w sprytny sposób przesyła (WhatsAppem, Skypem, czymkolwiek) i pozwala odbiorcy na swoim telefonie (z Oversecem) treść rozszyfrować. Plus świetne uzycie zero-width characters. Tu kod źródłowy.
- Ryuk ransomware. Nowa strategia — infekujemy, czekamy i dopiero po selekcji szyfrujemy dane. Boleśniejsze i gwarancja, że okup zapłacą.
- Cloudflare i domeny — czyli jak jedna firma robi wiele dla bezpieczeństwa internetu tak, że użytkownicy nawet nie zdają sobie sprawę, że są bezpieczniejsi ;) Dodatkowo, parę słów o DNSSEC i innych mechanizmach ochrony domeny przed atakami (por. Przejęcie giełdy Coinroom).
- Domena .DEV i dlaczego niebawem firmy programistyczne mogą mieć duży problem… Dodatkowo parę słów o nagłówku HSTS i o domenie .xxx oraz wpadce Apple.
- Hakowanie dźwigów budowlanych przez niezabezpieczone protokoły zdalnego bezprzewodowego sterowania
- Font do …phishingu.
Zasubskrybuj nas, aby nie przegapić nowych odcinków
Aby zapoznać się z poprzednim odcinkami i nie przegapić odcinków kolejnych — zasubskrybuj nasz podcast! Po prostu wpisz “niebezpiecznik” w wyszukiwarce swojej ulubionej aplikacji do podcastów. “Na Podsłuchu” ma także swoją stałą podstronę na Niebezpieczniku:
Tam znajdziesz player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).
Można nas też subskrybować przez
Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.
Do podsłuchania!
Prosimy o więcej podcastów :-)
Super podcast:) Jesteście mega.
Przy okazji, czemu porzuciliście memdump?
To chyba jeden z wielu tematów, które zostały porzucone przez niebezpiecznik, no cóż dużo na głowie ;)
Fajny podcast,
btw. świetny był odcinek z wyjątkowym programistą php, przydałoby się więcej wywiadów np. z adminami, qa testerami itd. związanymi z netsec.
Będzie głębsza analiza oversex i artykuł o nim? Wszystko pięknie, tylko projekt – napisany bardzo profesjonalnie – pojawił się “znikąd”, ze stroną nie mówiąca nic o tym, kto za nim stoi. Chętnie poczytałoby się więcej – ja wstrzymałem się ze wskoczeniem na bandwagon, *mimo* dostępnego kodu źródłowego – zapaliło mi się kilka światełek alarmowych, to zatytułowane “zbyt piękne, by było prawdziwe” niekoniecznie będące najjaśniejszym z nich (mimo, że to w zasadzie mokry sen kryptonerdów).
Ja przetestowałem i specjalnie nie wróżę przyszłości, z prostej przyczyny. Szyfrowanie “invisible” które jest głównym selling pointem oversec nie działa w z najpopularniejszymi komunikatorami. Do działania wymaga accessibility API którego niektóre aplikacje nie obsługują i białych znaków które większość komunikatorów odfiltrowywuje. Tak więc nie działa na tą chwilę ani z Messengerem, ani z Discordem.
jakby co z telegramem też nie działa za dobrze. w przypadku signala działanie jest akceptowalne. nie udało mi się natomiast jeszcze zaszyfrować zdjęcia oversec’iem
Szczerze powiedziawszy, bardziej niż quirk’i techniczne (które można poprawić) – czy konieczność drobnej konfiguracji, by działało z programem X (ulokowanie klawiszy-nakładek, etc) – interesuje mnie, skąd projekt o tak profesjonalnie przygotowanym kodzie, się “wziął” – na chwilę obecną, z nikąd, bo informacje o proweniencji znaleźć bardzo trudno (lub się nie da).
*oversec, oczywiście. Pomyłka absolutnie freudowska :)
Czy w eastereggu wystarczyło otworzyć plik mp3 jako zip, ew. zmiana rozszerzenia i u mnie to nie działało, czy to jakaś inna sztuczka?
Plik pobrany z spreakera
Ja też pobrałem plik ze spreakera, zapisałem jako .zip i niestety, ale 7-zip nie chce go otworzyć jako archiwum. Proszę o sprawdzenie, czy plik na spreakerze jest wciąż poprawny. Jeśli tak, to proszę o dodatkową wskazówkę.
Dobra mam. W 7-zip prawym na ściągnięty plik .mp3 i polecenie “Open Inside #”.