Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Podsumowanie cyber-wydarzeń stycznia

30 stycznia 2023, 18:42 | Aktualności | komentarzy 5
Tagi:

Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-)

SEKURAK (scamy, ciekawostki, ostrzeżenia)

Proste ćwiczenie. Wymień jak najwięcej powodów dlaczego ten dowód osobisty jest fałszywy (odpowiedzi naszych czytelników w komentarzu w poście):


VALL-E – Microsoft zaprezentował projekt, który wypowie Twoim głosem cokolwiek. Mając zaledwie kilkusekundowe nagranie Twojego głosu. Efekty, na przykładzie nagranych próbek realnych osób można przetestować w demie.


Proste pytanie – dlaczego na pierwszy rzut oka widać, że ta mapka to przykład fake/dezinformacji? Nad odpowiedzią spróbuj zastanowić się samodzielnie (odpowiedzi czytelników sekuraka – tutaj)


Cały czas w Google możemy natknąć się na złośliwe reklamy. Przykładowe hasła: Notepad++, Winrar, CCleaner, Virtualbox, VLC, Gimp.

Możliwy efekt? Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google.

Protip: miej zainstalowanego w przeglądarce blokera reklam (np. uBlock Origin). Pamiętaj, że reklamy mogą prowadzić do stron ze złośliwym oprogramowaniem!


LastPass – o co chodzi w wycieku haseł z tego managera i jaki jest koszt złamania wszystkich Twoich haseł?


Interpol / FBI uderzył w jedną z większych grup ransomware – Hive. Efekt? Zdjęta strona wyciekowa, pozyskanych ~1300 kluczy deszyfrujących.

Protip: czasem warto przechowywać również zaszyfrowane przez ransomware dane – niekiedy, po pewnym czasie pojawia się możliwość ich odszyfrowania.


Czy ten SMS to prawdziwe ostrzeżenie przed scamem? A może to jest właśnie scam? Wyjaśnienie.


Wrocław, Kraków, … ktoś rozkleja(ł) na mieście kody QR. W zasadzie w linku nie można było znaleźć nic złośliwego, przy czym nie była to akcja organizowana przez Urząd do spraw cudzoziemców.


Miasto porozklejało QR-kody, dzięki którym można zgłaszać ściany pomaziane grafiti. Ktoś „zhackował” te kody…naklejając swoje wersje. Australia.


Badacze: zwykłe routery WiFi są w stanie „widzieć” osoby przebywające w danym pomieszczeniu. Ciekawostka? Tak, ale może to mieć autentycznie przydatne zastosowania – inna ekipa użyła tej samej „technologii” i pokazała jak można w pomieszczeniu wykryć osobę, która ma problemy z oddychaniem.


Czy czeka nas inwazja treści generowanej automatycznie? Ktoś googlał jaki OS jest najlepszy, jeśli jego komputer posiada 4 GB RAM-u. Pierwszy zwrócony link – wpis wygenerowany przez AI:


Za $100 kupił przenośny dysk SSD 16 TB. Po podpięciu do Windows rzeczywiście 16TB. Gdzie tu jest scam? ;-) Podobne, podejrzanie dobre oferty pojawiają się również naszych rodzimych serwisach aukcyjnych.


Ransomware w placówce medycznej w Otwocku. Objęte incydentem dane pacjentów z 5 lat, w tym dane kontaktowe, wyniki badań, dokumentacja medyczna.

Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.


Ktoś kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa malware. Analiza tematu:


Aktualizacja jednego z przydatniejszych narzędzi do OSINTu. Tutaj wyszukasz konta danego użytkownika w 500+ serwisach społecznościowych/grach online/…


Przestępcy opracowali ~nowy sposób na kradzież samochodów. Wycinają dziurę i dostają się do kabli, następnie wstrzyknięcie komunikacji do CAN i samochód się otwiera


Appka mierząca parametry standardowego klucza na podstawie jego zdjęcia. Ułatwia dorobienie duplikatu…

TECH (opis technicznych podatności)

W jaki sposób kliknięcie w linka na telefonie może doprowadzić do przejęcia konta w appce? Na przykładzie appki Kayak, inna tego typu podatność była swego czasu raportowana w Tiktoku oraz w MS Teams.

Protip: aktualizujcie regularnie appki, uważajcie w co klikacie.


Chciałbyś się edukować w obszarze bezpieczeństwa aplikacji webowych? Na sekuraku opublikowaliśmy spory poradnik o podatności Server-Side Request Forgery (SSRF). Przykłady / skutki wykorzystania / metody ochrony.


Historyczna podatność w infrastrukturze Google: hacker wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu oraz specyficzne ustawienia na telefonie badacza…


Seria podatności dotyczących kilku firm z branży motoryzacyjnej

Zhackowali system KIA. Pokazali jak można przejmować samochody: zdalne otwieranie, uruchamianie samochodów, dostęp do kamer (!)

Zdalnie zhackowali elektroniczne tablice rejestracyjne w Kalifornii, mogli wyświetlać na nich dowolny dodatkowy napis, zmieniać tło, lokalizować auta, zgarniać dane właścicieli.

Pokazali jak podatnościami w API można było przejmować konta pracowników / dealerów BMW / Rolls Royce. Efekt? mieli możliwość wglądu w szczegóły/dokumentacje serwisowe samochodów


Jak bezpiecznie przechowywać hasło w bazie? PBKDF2 / bcrypt / scrypt / argon2? Krótkie podsumowanie na sekuraku.

FUN

Czym jest drunknet. Pardon – druknet?!?


Informujemy, że zostałeś poinformowany? ;-) Na koniec „sercowo” i już jesteśmy pewni, że to scam:


Pasożyt atakuje pasożyta :-)


Co tu się mogło wydarzyć? ;-)

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Emil Krawat

    „Proste ćwiczenie. Wymień jak najwięcej powodów dlaczego ten dowód osobisty jest fałszywy”

    Proste ten koleś Nowak Juliusz Dabrowski nie jest jest Prezydentem Miasta Legionowo

    Odpowiedz
  2. M

    Super, fajne zestawienie ze streszczeniem każdego newsa😃

    Odpowiedz
  3. czytelnik

    Podrzucam temat na newsa :)

    Bezpieczeństwo Proton Drive w kontekście zachwalania go przez firmę do przechowywania wrażliwych danych.

    Czy można im wierzyć mając w pamięci przypadek z menadżerem haseł LastPass.

    Jestem właśnie na etapie szukania bezpiecznego online rozwiązania dla cyfrowych kopii moich wrażliwych danych.

    Odpowiedz
    • Marek

      Zaszyfruj przed wysłaniem.
      Hasło trzymaj poza urządzeniem (na kartce, w głowie).

      Odpowiedz
      • Tomasz Turba

        Dokładnie :-)

        Odpowiedz

Odpowiedz