CyberExpress #012 (29-01-2024)

[1s2k.pl]

To wydanie ma sponsora, a jest nim firma KRUK S.A.:

W KRUKu dzięki nowym technologiom ułatwiamy klientom regulacje zobowiązań. Automatyzacja i boty umożliwiają szybszą obsługę i realizację potrzeby uzyskania odpowiedzi na pytania „tu i teraz”. Klienci korzystający z platform do spłat online zyskują narzędzia do bezpiecznych transakcji i potwierdzenie, że informacje o zadłużeniu otrzymują z wiarygodnego źródła.

Jeśli chcielibyście poznać szczegóły, to dłuższy tekst autorstwa ekspertów KRUKa na temat nowych technologii w branży windykacji znajdziecie na Niebezpieczniku.

Jak zwykle, kiedy jest sponsor, to do CyberExpressu dorzucamy 3 dodatkowe materiały premium, takie, którymi dzielimy się tylko z uczestnikami naszych płatnych szkoleń; takie, które przekazują konkretną, praktyczną wiedzę:

1. Jak skonfigurować atak phishingowy Browser in the Browser z użyciem Evilginx? Tutaj pełen opis, krok po kroku.

2. A jak ukryć instancję phishingową przed namierzeniem i zdjęciem? Tutaj kilka porad dla RedTeamerów.

3. Jak zbudować domowe laboratorium do tzw. Hardware Hackingu? Tu cenne wskazówki.

Fajne materiały? To właśnie dzięki sponsorom 😎 Jeśli Wasza firma też chciałaby pojawić się w naszym newsletterze i wspomóc jego rozwój, to napiszcie do nas na [email protected]

A teraz, pora na linki!

1. Algorytm do odzyskiwania “pociętych” pieniędzy

Niesamowicie ciekawy opis tego, jak można się wzbogacić skupując “wychodzącą z obiegu walutę”. W Hong Kongu za 100 dolarów sprzedają w workach, jako pamiątki, zniszczone banknoty. Są pocięte, ale warte 138 000 dolarów. Zgadnijcie, ile z nich da się odzyskać używając odpowiedniej techniki…

---

2. Trafił do więzienia przez błąd systemu rozpoznawania twarzy

Przerażająca historia mężczyzny, który został zatrzymany po tym, jak system rozpoznawania twarzy uznał, że pasuje on do rysopisu rabusia. W więzieniu wyrządzono mu wiele nieprzyjemności. Teraz pozywa autora oprogramowania na 10 milionów dolarów.

LINK

---

3. Ataki na Jenkinsa!

W sieci pojawiło się sporo exploitów i są już wykorzystywane do masowych ataków. Zapaczujcie swoje instancje.

---

Nie wymagamy płacenia za czytanie CyberExpressu — jest darmowy. Dlatego będzie nam bardzo miło, jeśli udostępnisz linka tego newslettera znajomym z pracy np. na firmowym Slacku. Niech też staną się bezpieczniejsi!

Share

---

4. Apple zmuszone przez Unię Europejską

…do obniżenia opłat dla programistów na terenie Europy. Co więcej, Apple w ogóle może być pozbawione prowizji, jeśli twórcy aplikacji opublikują ją poza oficjalnym sklepem i skorzystają z alternatywnego pośrednika w płatnościach. Bo Unia Europejska wymusiła na Apple również to, aby w Europie udostępniono użytkownikom iOS możliwość instalacji apek spoza sklepu. Od marca 2024.

• Tu oświadczenie Apple ws. nowych zasad

• A tu refleksje Piotrka i ciekawa dyskusja w komentarzach

---

5. Pośmiejmy się z szefa HP

Enrique Lores ostrzegł ludzi przed nieoficjalnymi tuszami. Straszył, że mogą być “zawirusowane”, a ich użycie w drukarce zainfekuje zarówno drukarkę jak i komputer. Zobacz analizę tego, czy to w ogóle możliwe.

---

6. Powiadomienia na iPhonach są używane do śledzenia użytkowników

Okazuje się, że niektóre z aplikacji (nawet jeśli nie są uruchomione) to wysyłają powiadomienia na iPhony tylko po to, aby przy okazji zebrać kilka cennych informacji na temat urządzenia. Potem wykorzystują te dane do śledzenia użytkowników. Tu opis tekstowy a poniżej demo “ataku” na YT:

---

7. Microsoft zhackowany przez GRU

Ciekawa i szczegółowa analiza ataku opublikowana przez Microsoft. TL;DR: zaczęło się od serwera testowego, który nie miał MFA i miał słabe hasło. I tu jest moment kiedy możecie zrobić 🤦‍♂️. Hasło odkryto zwykłym password sprayingiem ale realizowanym przez IP z dobrą reputacją. Potem było już tylko ciekawiej.

---

8. Odtajnione listy ujawniają warsztat NSA

Obszerny opis tego, jak NSA zdobywa informacje od brokerów danych i wykorzystuje je do prowadzenia swoich operacji.

LINK

---

A teraz pora na coś supertechnicznego:

9. Tworzenia ROM-u GameBoy’a …z audio(crasha)

Mówiąc najprościej, ten kosmita odtworzył całą grę na podstawie wielu crashy, a dokładniej, dźwięków w tych crashach 🤯

---

10. Setki tysięcy telewizorów użyto do ataku

Zainfekowano 170 000 telewizorów (AndroidTV). Botnet wykorzystywano do ataków, m.in. DDoS, ale również do wyświetlania treści propagandowych.

LINK

Przeczytałeś prawie cały 🚂 CyberExpress (newsletter Niebezpiecznika)! Gratulacje! Jeśli nie otrzymujesz go na maila, to wpisz swój adres poniżej, a zaczniesz go otrzymywać :-)

== AUTOPROPAGANDA ==

Czyli istotne treści z Niebezpiecznika od poprzedniego wydania newslettera:

• Programujecie lub testujecie aplikacje webowe? To zobaczcie nasz nowy cykl o bezpieczeństwie webaplikacji, w ramach którego opublikowaliśmy już 2 techniczne artykuły:

  • TOP5 dodatków do przeglądarek pomocnych w pracy programisty lub pentestera webaplikacji

  • Jak wykorzystać formularz przypominania haseł do zhackowania webaplikacji?
    
    

⚠️ Nie zapomnijcie zapisać się do dedykowanego temu cyklowi newslettera pt. Poradnik Hackera Webaplikacji — w nim jeszcze więcej wskazówek dla osób zainteresowanych bezpieczeństwem serwisów internetowych

• Znów można wziąć darmowy udział w naszych szkoleniach w ramach KFS. Szczegóły tutaj.

• Ciekawy atak na wkrętarki Bosch, czyli o “internecie rzeczy” i braku bezpieczeństwa.

• Podsumowanie nowych informacji na temat wycieku z ALAB

• O atakach w warszawskim metrze (i nie tylko tam), które zawieszają smartfony.

• O 3 sposobach dla rodziców na namierzanie lokalizacji swojego dziecka

• O zmianach w aplikacji mobilnej ING

• I o tym, jakiego kodu Donald Tusk używa do odblokowania smartfonu.

* * *

I to tyle na dziś. Na koniec nie jeden obrazek, a kilka — wszystkie będące gratką dla historyków komputerów. Wielka Brytania świętuje 80 lat Colossusa, czyli komputera, który został wykorzystany do łamania szyfrów w czasie II wojny światowej. Z tego tytułu opublikowano kilka odtajnionych fotek.

Do następnego!

Przeczytaj cały wpis