zapraszamy Was na EASY DAYS, czyli wydarzenie dla administratorów IT.

Na Easy Days będzie można:

• wziąć udział w praktycznych prezentacjach dotyczących skutecznego zarządzania punktami końcowymi,

• uzyskać odpowiedzi na nurtujące Was pytania np. w jaki sposób odpierać cyberataki? lub jak szybko i bez kłopotu dokonać migracji do Windows 11?

• udoskonalić swój know-how, rozmawiając z ekspertami na temat optymalizacji swoich codziennych czynności

⏰ KIEDY I GDZIE
11 czerwca w warszawskiej Kinotece Multiplex od godziny 13:30 do 17:30

👉 DARMOWA REJESTRACJA
Aby się zapisać, przejdźcie na tę stronę.

A teraz, pora na linki!

1. Sąd: policja może zmuszać do odblokowania smartfona palcem

Te smutne informacje pochodzą z sądowego wyroku, na razie w USA. Pan Payne, zatrzymany w 2021 podczas kontroli drogowej, został oskarżony o handel substancjami, ekhm, mocno kontrolowanymi, a policjant, jeszcze na miejscu zdarzenia siłą użył kciuka Payne’a do odblokowania jego smartfona. Obrońca podnosił potem, że to nie było OK, ale sąd nie podzielił jego zdania.

💡 RADA: wyłączcie sobie biometrie (albo tymczasowo ją blokujcie) podczas “gorących” sytuacji. Wtedy nikt silniejszy od Was nie odblokuje Wami Waszego smartfona. O ile nie podacie mu hasła, a to już zależy od Waszej odporności na kryptoanalizę gumową pałką…

2. Santader i Tickermaster ofiarami włamania do Snowflake

Santander i Ticketmaster (w Polsce znane też jako LiveNation) zostały zhackowane tracąc dane, odpowiednio 30 milionów i 560 milionów klientów. Wyciek (1,3TB) zawiera informacje o rachunkach, numery kart płatniczych i oczywiście dane osobowe. Włamywacze (używający nicka ShinyHunters, choć inni mówią, że to UNC5537) twierdzili, że zhackowali pracownika Snowflake i wygenerowali tokeny, które dały im dostęp do baz m.in. Santandera i Ticketmastera a niektórzy sugerują że ofiarą paść mogli także inni użytkownicy chmury Snowflake. Ale Snowflake zaprzecza i podaje IoC po których klienci mogą sprawdzić, czy byli celem ataków.

💡 RADA: zweryfikujcie czy możecie nałożyć ACL-ki na dostępy do paneli zewnętrznych dostawców. Gdzie to możliwe aktywujcie też MFA. Wtedy atak na pracownika dostawcy usługi niekoniecznie będzie oznaczać atak na Waszą instancję.

3. Baza 6 lat prywatnościowych wpadek Google

Bazę dokumentującą 6 lat wpadek Google związanych z naruszeniami dotyczącymi prywatności wykradziono i udostępniono prasie. Przykładowe incydenty to przypadkowe zachowanie próbek głosu ~1000 dzieci czy ujawnianie przez Waze adresów użytkowników.

Niektórzy, te wpadki wykorzystają do “hejtu” na Google, ale w rzeczywistości ta baza pokazuje, że firma troszczy się prywatność, zauważa błędy i próbuje je naprawiać. Każdy podmiot (a zwłaszcza takiej wielkości i z tyloma usługami) będzie generować incydenty dot. prywatności. Istotne jest to, jak na nie reaguje. A Google na nie reagowało sprawnie i poprawnie.

4. Uwaga użytkownicy Windows!

Można wykraść wszystko co robiliście na kompie. Oto dwie linie kodu, które nadużywają TEJ CHOREJ funkcji “Recall”, którą wbudowano w Windows do screenshotowania (i OCR-owania) wszystkiego co użytkownik wyświetli na ekranie. Prywatnościowy koszmar.

5. Były minister zdrowia usłyszał zarzuty

Niedzielski ujawnił publicznie, jakie leki przyjmuje jeden z krytykujących ministerstwo lekarzy. Ta sprawa pokazuje, jak nieprawidłowe jest wdrożenie IKP (Internetowego Konta Pacjenta) i innych systemów w Ministerstwie Zdrowia. Pacjenci powinni być powiadamiani o każdym odczycie swoich danych, a w ogóle, to gdzie to możliwe ich dane powinny być anonimizowane.

6. Historia złamania 11-letniego hasła do portfela z 3 milionami USD

Wired opisuje jak udało się wykorzystać lukę w Roboform do odzyskania zapomnianego hasła. Nagrodą był dostęp do portfela kryptowalutowego. A tu wyjaśnienie od łąmiącego w formie video:

7. Ważny wyrok dla Polaków

Europejski Trybunał Praw Człowieka stwierdził, że “brak kontroli nad inwigilacją narusza prawa wszystkich Polek i Polaków – bez względu na to, czym się zajmują zawodowo.” Wyrok to wynik skargi m.in. Wojciecha Klickiego i Katarzyny Szymielewicz z Fundacji Panoptykon. Na marginesie, aktualnie ktoś Pegasusem hackuje mieszkających w Polsce rosyjskich i białoruskich opozycjonistów.

8. Google wycofuje się z wyników od “AI”

Po fiasku i publicznym wyśmianiu, firma zdecydowała się usunąć z wyników odpowiedzi generowane przez AI. Przypomnijmy: internauci otrzymywali takie porady jak: stosuj klej podczas przyrządzania pizzy albo jedz dwa kamienie dziennie. A potem, to już internety podchwyciły śmieszki i sieć została zalana dziesiątkami sfałszowanych screenshotów, które ośmieszały googlowe AI.

A teraz pora na coś supertechnicznego:

9. Od przypadkowego curla do odkrycia masowego hacka routerów na całym świecie

Pan sobie spokojnie badał podatność XXE, kiedy zauważył, że wysyłane przez niego requesty są …ponawiane przez 2 dziwne adresy IP. Kilka godzin analizy i trzy lata później, zagadka została “rozwiazana”. Długa, ale bardzo ciekawa lektura ukazująca jak hakerzy hakowali hakerów.

10. RCE w ChatGPT

Oto kod Pythona, który wykonał się po stronie ChataGPT.

== AUTOPROPAGANDA ==

Czyli istotne treści, które opublikowaliśmy na Niebezpieczniku od poprzedniego wydania newslettera:

• Jak skonfigurować darmową wersję Cloudflare do ochrony naszej strony?

⚠️ Psst! Ten artukuł pochodzi z cyklu pt. Poradnik Hackera Webaplikacji — w nim jeszcze więcej wskazówek dla osób zainteresowanych bezpieczeństwem serwisów internetowych.

• Uruchomiliśmy dwudniową wersję naszego bestsellerowego szkolenia z OSINT-u, gdzie uczymy jak pozyskiwać dane osób i firm z (nie zawsze) publicznie dostępnych źródeł. Na hasło “CyberExpress” podczas rejestracji otrzymasz zniżkę (150 PLN). Ważne do końca czerwca.

• Opisaliśmy incydent w BNP Paribas GSC, który ujawnił problem z uprawnieniami na platformie ZUS — sprawdźcie jak to jest u Was w firmach, bo pewnie tak samo źle :)

• Machnęliśmy superciekawy webinar z SoftwareMill przedstawiający kulisy wielopoziomowego ataku na ich firmę oraz przypadkowych internautów.

• Przyjrzeliśmy się scamowi na rekrutację w Polsce i usunęliśmy z internetu jeden tego typu przybytek.

• Obszernie opisaliśmy atak na Medily, czyli kolejny potężny wyciek danych pacjentów. Oraz to jak faktycznie doszło do tego ataku.

• Przeanalizowaliśmy propozycję nowego prawa, które ma walczyć z hejtem i pokazaliśmy dlaczego od strony technicznej to się nie uda.

• Pokazaliśmy jak można było pozyskać numery dowodów klientów banku PKO BP wyciągając je …od ich telefonicznego bota :)

== ZOBACZ SIĘ Z NAMI ==

Wskrzesiliśmy też nasz kultowy wykład “Jak nie dać się zhackować?” — to 3,5h wszystkiego, co każdy musi dziś wiedzieć o cyberbezpieczeństwie. Jest humor, są pokazy ataków na żywo. A wszystko podane językiem, który zrozumie każdy (także Twoi rodzice i dziadkowie). Odwiedzimy:

• WROCŁAW, 20 czerwca 2024 -- kliknij tu aby się zapisać!

• ŁÓDŹ, 21 czerwca 2024 -- kliknij tu aby się zapisać!

• KATOWICE, 28 czerwca 2024 -- kliknij tu aby się zapisać!

• KRAKÓW, 14 października 2024 -- kliknij tu aby się zapisać!

Ten wykład kierujemy przede wszystkim do osób prywatnych, ale jeśli chcesz, możesz nas zaprosić do swojej firmy — wybierasz sobie wtedy jeden z kilku tematów, z którym do Was przyjedziemy — szczegóły akcji tutaj.

* * *

Tym razem, zamiast memika na koniec, screen naszego najpopularniejszego Twitta z ostatniego miesiąca (w ogóle, to na Twitterze jesteśmy superaktywni, najaktywniejsi ze wszystkich naszych social mediów — śledz nas tam, jeśli jeszcze tego nie robisz)

Do następnego! Bezpieczności!

W KRUKu dzięki nowym technologiom ułatwiamy klientom regulacje zobowiązań. Automatyzacja i boty umożliwiają szybszą obsługę i realizację potrzeby uzyskania odpowiedzi na pytania „tu i teraz”. Klienci korzystający z platform do spłat online zyskują narzędzia do bezpiecznych transakcji i potwierdzenie, że informacje o zadłużeniu otrzymują z wiarygodnego źródła.

Jeśli chcielibyście poznać szczegóły, to dłuższy tekst autorstwa ekspertów KRUKa na temat nowych technologii w branży windykacji znajdziecie na Niebezpieczniku.

A teraz, pora na linki!

1. Algorytm do odzyskiwania “pociętych” pieniędzy

Niesamowicie ciekawy opis tego, jak można się wzbogacić skupując “wychodzącą z obiegu walutę”. W Hong Kongu za 100 dolarów sprzedają w workach, jako pamiątki, zniszczone banknoty. Są pocięte, ale warte 138 000 dolarów. Zgadnijcie, ile z nich da się odzyskać używając odpowiedniej techniki…

2. Trafił do więzienia przez błąd systemu rozpoznawania twarzy

Przerażająca historia mężczyzny, który został zatrzymany po tym, jak system rozpoznawania twarzy uznał, że pasuje on do rysopisu rabusia. W więzieniu wyrządzono mu wiele nieprzyjemności. Teraz pozywa autora oprogramowania na 10 milionów dolarów.

LINK

3. Ataki na Jenkinsa!

W sieci pojawiło się sporo exploitów i są już wykorzystywane do masowych ataków. Zapaczujcie swoje instancje.

4. Apple zmuszone przez Unię Europejską

…do obniżenia opłat dla programistów na terenie Europy. Co więcej, Apple w ogóle może być pozbawione prowizji, jeśli twórcy aplikacji opublikują ją poza oficjalnym sklepem i skorzystają z alternatywnego pośrednika w płatnościach. Bo Unia Europejska wymusiła na Apple również to, aby w Europie udostępniono użytkownikom iOS możliwość instalacji apek spoza sklepu. Od marca 2024.

• Tu oświadczenie Apple ws. nowych zasad

• A tu refleksje Piotrka i ciekawa dyskusja w komentarzach

5. Pośmiejmy się z szefa HP

Enrique Lores ostrzegł ludzi przed nieoficjalnymi tuszami. Straszył, że mogą być “zawirusowane”, a ich użycie w drukarce zainfekuje zarówno drukarkę jak i komputer. Zobacz analizę tego, czy to w ogóle możliwe.

6. Powiadomienia na iPhonach są używane do śledzenia użytkowników

Okazuje się, że niektóre z aplikacji (nawet jeśli nie są uruchomione) to wysyłają powiadomienia na iPhony tylko po to, aby przy okazji zebrać kilka cennych informacji na temat urządzenia. Potem wykorzystują te dane do śledzenia użytkowników. Tu opis tekstowy a poniżej demo “ataku” na YT:

7. Microsoft zhackowany przez GRU

Ciekawa i szczegółowa analiza ataku opublikowana przez Microsoft. TL;DR: zaczęło się od serwera testowego, który nie miał MFA i miał słabe hasło. I tu jest moment kiedy możecie zrobić 🤦‍♂️. Hasło odkryto zwykłym password sprayingiem ale realizowanym przez IP z dobrą reputacją. Potem było już tylko ciekawiej.

8. Odtajnione listy ujawniają warsztat NSA

Obszerny opis tego, jak NSA zdobywa informacje od brokerów danych i wykorzystuje je do prowadzenia swoich operacji.

LINK

A teraz pora na coś supertechnicznego:

9. Tworzenia ROM-u GameBoy’a …z audio(crasha)

Mówiąc najprościej, ten kosmita odtworzył całą grę na podstawie wielu crashy, a dokładniej, dźwięków w tych crashach 🤯

10. Setki tysięcy telewizorów użyto do ataku

Zainfekowano 170 000 telewizorów (AndroidTV). Botnet wykorzystywano do ataków, m.in. DDoS, ale również do wyświetlania treści propagandowych.

LINK

== AUTOPROPAGANDA ==

Czyli istotne treści z Niebezpiecznika od poprzedniego wydania newslettera:

• Programujecie lub testujecie aplikacje webowe? To zobaczcie nasz nowy cykl o bezpieczeństwie webaplikacji, w ramach którego opublikowaliśmy już 2 techniczne artykuły:

  • TOP5 dodatków do przeglądarek pomocnych w pracy programisty lub pentestera webaplikacji

  • Jak wykorzystać formularz przypominania haseł do zhackowania webaplikacji?
    
    

⚠️ Nie zapomnijcie zapisać się do dedykowanego temu cyklowi newslettera pt. Poradnik Hackera Webaplikacji — w nim jeszcze więcej wskazówek dla osób zainteresowanych bezpieczeństwem serwisów internetowych

• Znów można wziąć darmowy udział w naszych szkoleniach w ramach KFS. Szczegóły tutaj.

• Ciekawy atak na wkrętarki Bosch, czyli o “internecie rzeczy” i braku bezpieczeństwa.

• Podsumowanie nowych informacji na temat wycieku z ALAB

• O atakach w warszawskim metrze (i nie tylko tam), które zawieszają smartfony.

• O 3 sposobach dla rodziców na namierzanie lokalizacji swojego dziecka

• O zmianach w aplikacji mobilnej ING

• I o tym, jakiego kodu Donald Tusk używa do odblokowania smartfonu.

* * *

I to tyle na dziś. Na koniec nie jeden obrazek, a kilka — wszystkie będące gratką dla historyków komputerów. Wielka Brytania świętuje 80 lat Colossusa, czyli komputera, który został wykorzystany do łamania szyfrów w czasie II wojny światowej. Z tego tytułu opublikowano kilka odtajnionych fotek.

Do następnego!

1. Genetyczny wyciek

Z serwisu 23andMe przetwarzającego DNA wyciekły setki terabajtów (!) danych użytkowników, w tym ich fenotypy, zdjęcia, dane identyfikacyjne oraz informacje o zdrowiu. Serwis utrzymuje, że powodem było użycie przez ofiary tego samego hasła co do innych miejsc. Co ciekawe, poszkodowani są także ci, na których konta się nie włamano, a winna jest usługa “DNA Relatives”. Dzięki niej dane "nie-ofiar” były możliwe do pobrania z kont, które przejęto, bo nie-ofiara i ofiara były genetycznie “spokrewnione”. Po raz pierwszy dane wystawiono na sprzedaż 2 miesiące temu. Serwis 23andMe jest krytykowany za wolną reakcję.
LINK

2. Opis nowego typu DDoSa (HTTP/2 Rapid Reset)

Google zdradziło, że przyjęło na klatę 398 milionów requestów na sekundę i porządnie opisało na czym polega podatność w HTTP/2 wykorzystana do ataku.
LINK

3. Dziura w popularnym D-Linku

LINK

…i przy okazji łamiący serce obrazek od znalazcy innego błędu w D-Linku:

4. Atak (?) na gazociąg Balticconnector

Finlandia uważa, że ktoś zniszczył gazociąg łączący ją z Estonią. Były teorie o wybuchach, ale aktualnie przeważa “użycie zewnętrznej siły bocznej”. Co może sugerować zerwanie kotwicą. Nieopodal miał być zakotwiczony rosyjski statek. Świetny wątek pokazujący rozwój wydarzeń na bieżąco tutaj.

5. Podatność w curl

Łatajcie, wszędzie gdzie macie. A jako zależność macie pewnie w wielu miejscach o których nawet nie zdajecie sobie sprawy...
LINK

6. Łatajcie też …Wordpada

Dziura pozwala na kradzież hashy NTLM.
LINK

7. Uprawnienia w Azure

Użyteczny serwis dla chmurowych sysadminów …i hakerów ;)
LINK

8. Ile łamie się hasło do zipa będące numerem telefonu?

Tomek dostał e-maila do innego Tomka. Z załącznikiem zaszyfrowanym numerem telefonu tamtego Tomka. No więc złamał je w 3 sekundy.
LINK

9. Policjanci zignorowali wezwanie bo grali w pokemony

I jest to na video…
LINK

10. zastosowań ChatGPT-Vision

I na koniec prawdziwa perełka. Jak można wykorzystać to, że ChatGPT dostał “wzrok”? Można np. kazać mu odcenzurować dokumenty, zakodować coś na podstawie pliku z Figmy, czy pokazać zdjęcie uszkodzenia w samochodzie i otrzymać informacje o wymaganych krokach naprawy. Można też poprosić o wskazanie tego, w co się ubrać, żeby pasowało do siebie. I wiele innych.
LINK

== AUTOPROPAGANDA ==

Istotne treści z Niebezpiecznika z minionych dni:

• Darmowe szkolenia dla urzędników. Niebawem kończy się czas na zgłoszenie, więc jeśli pracujecie w urzędzie, nie przegapcie!

• Przekrojowa analiza pierwszych dni konfliktu Izraelsko-Palestyńskiego ale tylko w obszarze cyberprzestrzeni.

• Ciekawy atak radiowy, czyli o tym jak ktoś od 2 tygodni w Kielcach zagłusza radio VOX FM aby obrażać jedną z kandydatek do sejmu.

* * *

I to tyle na dziś. Jeszcze tylko śmieszny obrazek i kończymy:

Do następnego!

Poniżej, jak zwykle znajdziecie najważniejsze wydarzenia ze świata cyberbezpieczeństwa z ostatnich godzin, ale wcześniej …zagadka od sponsora tego odcinka — konferencji IDC Cloud & Security — ile twarzy rozpoznajecie na poniższej fotce? I dodatkowe pytanie od nas: ile odcinków naszego podcastu “Na Podsłuchu” to rozmowy z kimś z poniższej fotki?

Odpowiedzi na pytania wpisujcie w komentarzach na Substacku pod tym wydaniem CyberExpressu. Pierwszym 3 osobom które poprawnie zdeanonimizują wszystkie twarze oraz wskażą numery odcinków podcastu, wyślemy nasz cyber-kubek. A teraz pora na wiadomość od sponsora:

Już 26 października w Hotelu Nobu w Warszawie IDC Polska organizuje kolejną edycję konferencji IDC Cloud & Security. W programie praktyczne case studies, wymiana doświadczeń w gronie CIO i CISO, a przede wszystkim znakomici prelegenci. Porozmawiamy m.in. o mapie zagrożeń, nowej roli CISO, bezpieczeństwie chmury i aplikacji, wymogach regulacyjnych, roli reskillingu, sztucznej inteligencji, a nawet cyberbezpieczeństwie w kosmosie.

Użyjcie podczas rejestracji kodu NIEBEZPIECZNIK, to otrzymacie 30% rabatu na bilet.

Jeśli Wasza firma też chciałaby pojawić się w sekcji sponsorskiej i wspomóc rozwój tego newslettera, napiszcie do nas na cyberexpress@niebezpiecznik.pl

A teraz, pora na linki!

1. Reguły dla hakerów od Czerwonego Krzyża

Natychmiast po opublikowaniu wszyscy jednogłośnie je wyśmiali :) A proukraińscy hakerzy zhackowali nawet w związku z tym rosyjską stronę Czerwonego Krzyża i oświadczyli, że “we will use every opportunity to cause the most harm to our enemy using any means available”.

Pod koniec 2022 informowaliśmy, że Czerwony Krzyż chciał oznaczać specjalną “cyfrową plakietką” strony instytucji, które nie powinny być atakowane w cyberprzestrzeni, np. szpitali. Z tego pomysłu też szydzono.

2. Złamiesz te 5 hashy?

To dostaniesz ~50 000 złotych lub trzy razy tyle, jeśli kwota zostanie przeznaczona na cele charytatywne.
LINK

3. Czy to deepfake?

Niesamowita historia sprawy sądowej o deepfake’a, który …okazał się nie być deepfakem. Skompromitowana bohaterka nagrania zdążyła objechać wszystkie media jako “ofiara deepfake’a”. Rzekoma autorka fejka straciła pracę, a teraz pozywa tych, którzy niesłusznie oskarżyli. Sprawa dotyczy dzieci i pięknie obnaża manipulacje zarówno prokuratora, mediów jak i samych rodziców.
LINK

Porada — jeśli robicie głupie rzeczy, które ktoś może nagrać, to załóżcie sobie pierścionek z dodatkowym palcem. Wtedy można bardziej wiarygodnie przekonywać, że to kompromitujące nagranie z Wami to deepfake!

4. Zabij koledze iPhona

Czyli exploit crashujący iOS 17 (można klikać, to nie link wprost do exploita, słowo harcerza!)

5. Używają dzieci, aby ograniczyć nam prywatność

Doskonałe śledztwo dziennikarskie, pokazujące kto naprawdę sponsoruje i stoi za grupami domagającymi się od Apple osłabienia prywatności i szyfrowania ponieważ “musimy chronić dzieci przed złymi ludźmi!”.
LINK

6. Rosjanie opublikowali adresy tajnych lokali

Dobrze wiedzieć, że nie tylko w Polsce urzędnicy potrafią ujawnić adresy miejscówek powiązanych ze służbami specjalnymi… W Rosji adresy znajdowały się na liście “obiektów, którym ograniczenie dostaw prądu spowoduje spore społeczne problemy” :-)
LINK

7. Hackowali satelity, aby oszukiwać bukmacherów

Opis rozbicia szajki oszustów, która wykorzystywała opóźnienia w sygnale satelitarnym do oszustw na zakładach sportowych. Czyli opis tego, ile można zarobić mając 20 sekund więcej…
LINK

8. Jak łamać piny do aplikacji?

Instrukcja z użyciem Flippera Zero, ale tak naprawdę z instrukcją jak to z robić nawet jeśli się flippera nie posiada.
LINK

9. Analiza Googlowego “Sandbox Privacy”

Pod kątem prywatności, wykonana przez lcamtufa, który w Google długo pracował, a którego już googlowy zespół PR nie kontroluje :)
LINK

10. Skrypt kradnący klucze Bitlockera

Skrypt automatyzujący ekstrakcję kluczy “recovery” z wszystkich komputerów z domeny.
LINK

11. Analiza linuksowego backdoora

Wskazuje, że jest prosto z Chin i prawie jak z Windowsa.
LINK

12. Niekasowalne wideo dla dorosłych na YouTube

Pewna grupa odkryła, że można za pomocą odpowiedniej treści tagu dodanego do wgrywanego na YouTube filmu spowodować, że filmu nie będzie się dało skasować. Nawet jeśli konto autora zostanie zabanowane. I zaczęli wgrywać wiadomo-co.

13. Zabezpiecz Discorda i Telegrama

Opis tego, co włączyć a co wyłączyć, żeby bezpieczniej korzystać z Discorda i Telegrama.
LINK

== RAPORTY ==

Tym razem raport będzie tylko jeden od Microsoftu. Za to dorzucamy playlistę wielu wykładów z bezpieczeństwa IT.

== Autopropaganda ==

Istotne treści z Niebezpiecznika z minionych (tygo)dni:

• Darmowe szkolenia dla urzędników. Niebawem kończy się czas na zgłoszenie, więc jeśli pracujecie w urzędzie, nie przegapcie!

• Historia naszego czytelnika, a raczej jego córki — okradzionej z iPhona. Zobaczcie jak złodzieje próbowali odblokować ukradzionego iPhona.

• O paraliżu na polskiej kolei, i tym, że nie stoją za nim hakerzy.

• Przeanalizowaliśmy programy wyborcze kluczowych partii pod kątem cyberbezpieczeństwa. Zobaczcie co kto proponuje. A kto nie proponuje niczego. I sprawdźcie w rządowym rejestrze wyborców, czy na pewno jesteście przypisani do tej komisji, do której myślicie, że jesteście. Jeśli nie, możecie to trzema kliknięciami zmienić tutaj.

* * *

I to tyle na dziś. Jeszcze tylko śmieszny obrazek i kończymy:

PS. Pamiętasz jeszcze kto był sponsorem tego wydania?

Dobra, koniec.
Bezpiecznego weekendu!

A pierwszym sponsorem jest serwis ChronPESEL.pl, dzięki któremu możecie zostać ostrzeżeni, kiedy ktoś posłuży się Waszymi danymi w celu wyłudzenia. Jak to działa? Otrzymujecie SMS za każdym razem, kiedy ktoś sprawdza Wasz PESEL w bazie KRD. Jeśli to nie Wy właśnie wnioskujecie o jakąś pożyczkę lub kredyt, to SMS jest sygnałem, że doszło do próby wyłudzenia. ChronPESEL zapewnia Wam wtedy kontakt z konsultantami, którzy w tej sytuacji przeprowadzą Was przez kroki, jakie należy wykonać. Dodatkowo ChronPESEL umożliwia pobranie raportu zbiorczego za 12 miesięcy wstecz oraz monitoruje, czy Wasze dane nie zostały ujawnione gdzieś w internecie bez Waszej zgody.

Brzmi ciekawie? Szczegóły usługi znajdziecie na tej stronie — rzućcie okiem, a my dziękujemy serwisowi ChronPESEL za wsparcie CyberExpressu!

Jeśli Wasza firma też chciałaby pojawić się w sekcji sponsorskiej i wspomóc rozwój tego newslettera, napiszcie do nas na cyberexpress@niebezpiecznik.pl

Autopropaganda

Zanim przejdziemy do zestawu najgorętszych tematów z ostatnich dni, krótki przegląd tego, co opublikowaliśmy na Niebezpieczniku od ostatniego wydania:

• Historia jednego z nas, Kamila. Choć jest on świadomy zagrożeń, to dał się podejść w tzw. ataku “na BLIK-a”. Kamil opisał dlaczego się nie zorientował. Niech to będzie otrzeźwiająca lektura dla wszystkich, którzy uważają, że jak potrafią rozpoznać phishing, to nie da się ich okraść.

• Ujawniliśmy dziurę w CMS-ie wykorzystywanym przez wiele rządowych serwisów (m.in. NFZ). Ktoś przy jej pomocy odsyłał obywateli na niezbyt przyzwoite strony…

• Przeanalizowaliśmy wyrok sądu w sprawie ofiary, którą okradziono “na pracownika banku”. W artykule opis tego, co trzeba spełnić, aby odzyskać od banku pieniądze po takiej kradzieży.

• Ostrzegaliśmy, że ktoś się pod nas podszywa i spamuje na Telegramie linkiem do ciekawej petycji…

• Ostrzegaliśmy też właścicieli telefonów Samsunga przed aż 18 (!) poważnymi dziurami — w tej sprawie wysłaliśmy też CyberAlert

• Opisaliśmy kampanię na polskie szpitale i inne placówki zdrowia. Ktoś przez kilka dni z rzędu w wybitnie dopracowany sposób podszywał się pod NFZ, ZUS oraz firmę Kamsoft aby zainfekować  i wyłudzić dane dostępowe do medycznych systemów IT. W tych systemach są dane kontaktowe i dane o zdrowiu Polaków. Kto i do czego potrzebuje tych danych? 🤔

We wtorek ruszyliśmy też z nowym szkoleniem pt. Cyber Ratownik, First Incident Responder 🛟. Szkolenie jest silnie praktyczne i uczy jak wykrywać włamania do firmowych sieci oraz jak je poprawnie analizować, by po zostawionych przez atakujących śladach ustalić faktyczny przebieg ataku i to, do czego włamywacze mieli dostęp. Ta wiedza jest potrzebna, o czym świadczy to, że pierwszy termin wyprzedał się w kilka godzin 😱 — uruchomiliśmy więc kolejne terminy, ale zostały na nich ostatnie wolne miejsca. Dlatego, jeśli temat Cię interesuje, zapoznaj się z opisem szkolenia i zarezerwuj sobie miejsce.

A teraz, pora na linki!

1. Acropalypse, czyli odcropuj screenshot

Najpierw ujawniono, że da się odzyskiwać obcięte obszary na screenshotach ze smartfonów Pixel, a potem okazało się, że podobny błąd znajduję się także w Windowsie 11. #prywatność

2. Zagrożenia dotyczące NO-CODE i LOW-CODE

Lista rzeczy, które warto uwzględnić pod kątem bezpieczeństwa, jeśli Wasza firma tworzy oprogramowanie w coraz popularniejszym podejściu low-code lub no-code.
LINK

3. Wi-Fi pozwala zaglądać za ściany

O tym jak wykorzystać Wi-Fi do wykrywanie ruchów ludzi w budynkach
LINK

4. Admin BreachForum aresztowany

Zatrzymano Pompompurina, a jego zastępca zamknął forum w związku z ryzykiem infiltracji przez FBI. LINK1 oraz LINK2, plus ciekawa analiza zatrzymania LINK3. Żeby było śmieszniej, gość zdoxował się sam 🥸

5. Rośnie liczba ataków na kancelarie prawne

W Polsce atakują branżę medyczną, a w USA coraz więcej ataków na firmy prawnicze. Obydwa sektory to żyła złota. I obydwa sektory nie należą do najlepiej zabezpieczonych…

6. Żenująca wpadka rosyjskich służb

Próbowali wrobić Estończyka, ale mieli pecha, bo nie sprawdzili, że gość był w więzieniu 😂
LINK

7. Wyszukiwarka biometryczna twarzy

Pozwala namierzyć inne zdjęcia danej osoby i jej konta w różnych serwisach internetowych. Wystarczy fotka twarzy. Sprawdźcie siebie, może znajdziecie coś, czego nie powinno się dać znaleźć na Wasz temat. A może dowiecie się, że macie sobowtóra :-)
LINK

8. Techniki omijania antywirusów

Bardzo rozbudowana mapa myśli z linkami do opisów każdej z technik.
LINK

9. OSINT w służbie przestępców

Wciągająca opowieść o tym jak jeden gang używał technik OSINT-u do wytropienia i wymordowania lidera konkurencyjnego gangu.
LINK

9. Używasz Bitwardena?

To poczytaj o tym ataku z ramką, który może przechwycić Twoje hasło.

10. Jak łapać przestępców wyszukiwarką?

A raczej, jak namierzać dziurawe/zhackowane serwery, na których ci przestępcy już są. Instrukcja z użyciem wyszukiwarki QUAKE.
LINK

11. Hackowanie AI od Binga

Poprzez umieszczenie prompt-injecta w treści strony internetowej.
Zabawne.

12. Implantowanie docków USB

Techniczny przewodnik tworzenia implanta w takiej przejściówce:

13. Analiza sprzętowego keyloggera

Pozostając w temacie sprzętu, ciekawa analiza sprzętowego keyloggera.
LINK

14. Jak ustrzec się przed rosyjskimi służbami?

Prezentacja z ostrzeżeniami od Agencji Wywiadu. Uwaga, to PPTX…
LINK

Na marginesie, jeśli kogoś interesuje to jakimi technikami werbują służby, to rzućcie okiem na to nagranie webinaru, które parę miesięcy temu zrobiliśmy z Tomkiem Awłasewiczem, autorem książek dokumentalnych o szpiegach.

---

15. Początki phishingu

Bardzo ciekawa praca naukowa.

16. Jak holenderska policja wykiwała gang ransomware’owy

I wyłudziła klucze dla ofiar. Bo blokczejn trudny jest!

17. Gang ransomware z Rosji ujawnił zdjęcia pacjentów chorych na raka

Fotki opublikowały szumowiny z BackCata, a teraz poszkodowani pacjenci pozywają szpital. Mamy nadzieję, że tymi gnidami z BlackCata ktoś szybko zrobi porządek.

18. Bolesna wpadka agenta FBI

Wysłał obrońcom oskarżonego duuuużego Excela z tajnym i po części także kompromitującym FBI materiałem. Przypadek?
LINK

19. Techniczny opis hackowania Pixeli

I to w 3 częściach. To dla tych raczej zaawansowanych i niskopoziomowych. Chcecie więcej takiego “mięska”? To zagwiazdkujcie to wydanie newslettera ;)

20. Jak białoruscy partyzanci trolują Rosjan

Białoruscy partyzanci latają sobie dronem po “pilnie strzeżonym” wojskowym lotnisku i dosiadają nim rosyjskiego AWACS A-50U :)

21. AT&T potrafi śledzić pozycję samochodów

Wystarczy podać numer VIN auta. Czyżby producenci samochodów przekazywali numery VIN operatorom wbudowanych w samochody modułów SIM!?

22. Dziura w Outlooku

Zdecydowanie jeden z ważniejszych tematów minionego tygodnia, czyli CVE-2023-23397, która była wykorzystywana przez Rosjan do ataków. Po publikacji patcha szybko pojawił się exploit i dobra analiza na Reddicie. A wszystko co z tym atakiem i dziurą związane znajdziecie też tutaj.

== RAPORTY ==

W tym tygodniu obrodziło naprawdę konkretnymi raportami! Wszystkie są szalenie ciekawe i jeśli starczy Wam czasu, to czytajcie je od deski do deski. Dają świetny obraz wydarzeń z minionego roku w “cyber” z różnych perspektyw, czyli świetnie się uzupełniają. A jeśli czasu Wam nie starczy, to chociaż je przescrollujcie, bo warto (no i wykresy kolorowe są ;)

• Raport CrowdStrike podsumowujący 2022

• Raport DFIR podsumowujący 2022

• Raport Red Canary (Threat Detection) za 2022

• Raport FBI Internet Crime 2022

• Cybertaktyki Rosji — raport ukraińskiej Państwowej Służby Łączności Specjalnej i Ochrony Informacji

• Rok wojny hybrydowej w Ukrainie - raport Microsoft Threat Intelligence

• Synteza kilku raportów o wojnie w Ukrainie autorstwa naszych Wojsk Obrony Cyberprzestrzeni.

• 113 stron o powiazaniach TikToka z rządem Chińskim. Analiza parlamentu australijskiego. W tym temacie warto jeszcze przeczytać ten tekst, który wyjaśnia powody nielubienia TikToka.

• Nie do końca raport, ale bardzo rozbudowana analiza działań północnokoreańskich hackerów rządowych od Mandianta

• Też nie do końca raport, ale warto rzucić okiem: nagrania z konferencji BlueHat 2023

* * *

I jeśli chodzi o merytorykę, to na dziś tyle. Poniżej znajdziecie śmieszny (ale tym razem lekko hermetyczny) obrazek:

Z ogłoszeń parafialnych:

• Czat przez Substacka nie spełnia naszych oczekiwań. Nikt z tego nie korzysta i nie ma się co dziwić, bo można to robić tylko przez apkę. Dlatego niebawem otworzymy Discorda. Zastanawiamy się tylko, czy robić osobny serwer, czy po prostu założyć dodatkowy CyberExpressowy kanał i wpuścić Was na serwer, do którego dostęp mają uczestnicy naszych szkoleń? Jak sądzicie? Przy okazji, ciekawy materiał o społeczności Bellingcata na Discordzie.

• Liczba subskrybentów CyberExpressu to już prawie 7000 :-)

• Pamiętasz jeszcze kto był sponsorem tego wydania?

Dobra, koniec.
Bezpiecznego tygodnia!

Zaczynamy od przeglądu tego, co publikowaliśmy na Niebezpieczniku w ostatnich dniach. A działo się sporo!

• Po raz pierwszy musieliśmy wysłać kilka CyberAlertów jednego dnia. Obudziła się jakaś aktywna siatka oszustów. Od tygodnia regularnie wali pretekstami “na Allegro”. Ostrzegaliśmy też przed kampanią “na Revoluta” i “PKO”. Dość ciekawym wektorem był phishing do już okradzionych na OLX/Vinted, którym przestępcy obiecywali …odszkodowanie :-D Bezczelność lvl milion.

  Każdy CyberAlert dociera już do kilkuset tysięcy osób!
  
  ⚠️ Zainstaluj naszą aplikację CyberAlerty sobie i znajomym. Apka jest darmowa i nie wymaga żadnej rejestracji, a jedyne co robi, to błyskawicznie ostrzega przed nowymi, istotnymi atakami, których celem są dane lub pieniądze Polaków. Kliknij tutaj, aby ja pobrać na Androida albo iPhona. ⚠️

• Tomasz Brol, którego filmik o balonach szpiegowskich linkowaliśmy w CyberExpress#004 przygotował dla Was arcyciekawy artykuł o tym jak wykorzystano balony do obrony przed nalotami i …ataku na sieci energetyczne.

• Opisaliśmy też coraz popularniejszy wektor ataku — “na ChatGPT” oraz złośliwe wtyczki i aplikacje, które udają AI wykradają dane. Zobaczcie jak wygląda ten atak.

  🤖 Przygotowujemy webinar na temat Sztucznej Inteligencji, w którym chcemy przedstawić zarówno ryzyka AI jak i jej użyteczne zastosowania, w tym już gotowe narzędzia, które z AI korzystają i mogą Wam pomóc w życiu i w pracy. Aby go jak najlepiej dostosować do Waszych potrzeb, prosimy o odpowiedź na te 3 pytania. Możecie też po prostu zapisać się na listę powiadomień tutaj — jak ustalimy termin webinaru, dostaniecie od nas maila. 🤖

• Wojciech Bielak, trener niebezpiecznikowego szkolenia z bezpieczeństwa komunikacji radiowej opublikował artykuł na temat namierzania źródeł sygnału radiowego, w praktyce pokazując jak radiopelengacja kiedyś pomagałą zatapiać niemieckie okręty podwodne, a teraz ułatwia robienie kuku Rosjanom.

  

  Polecamy lekturę artykułu Wojtka, który prezentuje kilka tanich urządzeń, z jakich sami możecie skorzystać do “rozejrzenia” się po okolicy. Zapraszamy też na warsztaty z Wojtkiem. Instrukcje w artykule.

No, mówiliśmy, że dużo się u nas działo. Na koniec wstępniaka jeszcze jedna krótka informacja, z której jesteśmy superdumni:

A teraz jedziemy z newsami:

1. Wywiad o ruskich hakerach i ich “stosunkach z władzą”

Świetny! Opowiada były pracownik firmy Group-IB, który uciekł z Rosji do Polski i obecnie tu mieszka.
LINK (🇷🇺)

2. FBI przyznaje: kupujemy dane o lokalizacji użytkowników od firm reklamowych

Kupili, żeby nie musieć starać się o nakazy sądowe i zawracać sobie głowy standardową rządową papierkologią (oraz przede wszystkim ryzykować, że im taki wniosek o masowe naruszenie prywatności odrzucą).
LINK

3. Zreversowano protokół wykorzystywany przez drony DJI do nadawania pozycji pilota

Ten mechanizm (AreoScope) to żadna nowość czy tajemnica. Wspominaliśmy o nim zarówno w 2022 roku jak i na początku wojny Rosji z Ukrainą. Krótko potem Ukraina nauczyła się usuwać te szpiegowskie wstawki z firmware dronów, a chodzą też słuchy, że spoofowała nadawane koordynaty tak, że Rosjanie bombardowali samych siebie :->
LINK

4. USA uważa, że Chiny szpiegują ich nie tylko balonami, ale też portowymi żurawiami.

Bo te są produkowane w Chinach i naszpikowane elektroniką oraz ciekawymi sensorami.
LINK

5. Pegasus był wykorzystywany do szpiegowania obywateli

Tym razem przez Meksykańską armię.
LINK

6. Meta pozywa rejestratora domen

Freenom, rejestrator tak “szacownych” domen jak .tk w końcu dostał po tyłku za to, że olewał zgłoszenia o nadużyciach. Pozwała go Meta, wstrzymał rejestracje.
LINK
A poniżej ciekawa tabelka pokazująca, które domeny są najczęściej abusowane:

7. Kolejne hacki rosyjskich mediów

Znów wstrzyknięto fałszywe komunikaty o atakach bombowych. I dobrze, niech się społeczeństwo zbrodniarzy wojennych poczuje przez chwilę tak, jak kraj na który napadli.
LINK

8. Ukradł, ale oddał

Tender.fi, platforma DeFi została zhackowana. Gość ukradł 1.5 miliona dolarów, wykorzystując dziurę w kontrakcie, ale potem “dogadał” się z platformą, zwrócił pieniądze i dostał 96 000 dolarów jako wynagrodzenie za “pomoc w zabezpieczeniu platformy przed atakami” :-D
LINK

9. Załatajcie sobie HomeAssistanta

Bo ma potężną dziurę.
LINK

10. Raporty

Dziś w kąciku raportowym:

1. Raport amerykańskiego Wywiadu Narodowego (ODNI) o naprawdę różnych zagrożeniach. A jakby ktoś chciał sobie porównać poziom dyskusji polityków z “służbami” w USA a w innych krajach, to tutaj jest też nagranie (2h50) z prezentacji tego raportu.
   TL;DR:

   • USA jest pewne, że Chiny mogą zhackować ich infrastrukturę krytyczną.

   • Choć Rosja wyłożyła się jeśli chodzi o cyberataki na Ukrainę, to nie można ignorować jej zdolności w tym obszarze. Rosjanie mają też w kieszeni amerykańskich polityków.

   • ODNI krytykuje ruchy centralizujące bazy z danymi obywateli na temat zdrowia. Uważa, że to ryzyko. IKP pozdrawia z Polski.

2. Dalej USA. Opublikowano Narodową Strategię Cyberbezpieczeństwa. Jednym z postulatów jest zmuszenie producentów oprogramowania do wzięcia odpowiedzialności za szkody, które ich zaniedbania spowodują. Czy to słuszny kierunek? Zanim skomentujecie, wczytajcie się w warunki.

3. Dwuczęściowy opis technik wykorzystywania OneNote’a do dystrybucji złośliwego oprogramowania.

* * *

Zdaliśmy sobie sprawę, że zaniedbywaliśmy ostatnio obiecaną sekcję śmiesznego obrazka na koniec CyberExpressu. Dlatego tym razem, aby zrekompensować niedobory, obrazek będzie dłuższy:

Rozumiecie? Dłuższy!
(to było śmieszne)

A co do tego naszego czatu, co go odpaliliśmy wraz z poprzednim wydaniem CyberExpressu… Słabo się ten substackowy czat sprawdza naszym zdaniem, ale damy mu jeszcze jedną szansę. Wy też spróbujcie. Jak nie wyjdzie, to za tydzień odpalimy Discorda.

Bezpiecznego weekendu!

PS. I pomóżcie nam pls z tą ankietą o AI. Dzięki!

• System UKE stanowi zagrożenie dla bezpieczeństwa państwa — tak twierdzą polscy operatorzy, którzy muszą wgrać tam szczegółowe plany swoich sieci. Czy mają rację? System padł po publikacji naszego artykułu i dalej leży… Niektórzy życzą mu aby leżał jak najdłużej, bo od miesiąca nie mieli przez niego chwili spokoju.

• Jak próbowali mnie oszukać na Bookingu — relacja jednego z naszych klientów, osoby technicznej, wraz ze szczegółowym opisem dlaczego prawie dała się podejść.
  

• Opis naszego szkolenia dla adminów i devopsów - będziemy z nim we Wrocławiu, Warszawie i Krakowie.
  

• Uwaga na ten film, bo restartuje niektóre smartfony z Androidami
  

• Pojawiło się narzędzie do usuwania sowich “niedyskretnych” zdjęć z sieci. Istnieje ryzyko, że wykorzystają je trole polityczne, do usuwania teści z serwisów internetowych i banowania swoich przeciwników politycznych.
  

• Coś dla programistów: włączcie tę funkcję natychmiast, jeśli korzystacie z GitHuba

1. “Nowy i groźny” rodzaj kradzieży smartfonów

WSJ panikuje, że jak złodziej najpierw podejrzy czyjeś hasło do iPhona, a potem tego iPhona ukradnie, to będzie też mógł (bez dodatkowej wiedzy) zmienić hasło do podpiętego do tego iPhona konta iCloud.

Dlaczego Apple nie wymaga podania starego hasła do konta iCloud przed jego zmianą? Bo wiele osób raz konfiguruje konto na smartfonie, a potem o nim zapomina. I zapomina hasła. A potem jest tragedia kiedy chcą się do konta zalogować (m.in. żeby sprzedać iPhona lub włączyć pewne funkcje). I takich osób jest więcej niż tych, którzy tracą smartfona razem z kodem blokady.

Ciekawostka: czego żałuje jedna z ofiar opisywanych przez WSJ? Tego, że straciła dostęp do zdjęć bliskich. To pokazuje, że ofiary naprawdę nie myślą o bezpieczeństwie swoich danych, co dopiero o zabezpieczaniu dostępu do telefonu…

Wniosek/Rada: Nie dajcie sobie wyrywać odblokowanych iPhonów z ręki. A jak już Wam ktoś takiego wyrwie, to nie krzyczcie za złodziejem swojego hasła ;)

Masz Androida i teraz pod nosem śmiejesz się z iPhoniarzy? To wiedz, że ten sam problem jest ze smartfonami Androidowymi i kontami Google :D

LINK

2. Świetny artykuł o SIGINT

W kontekście przewidywania startu wojny na Ukrainie. Długa, ale wartościowa lektura.

LINK

3. Potężny fakap w LastPass potężniejszy niż się wydawało

Na jaw wychodzą kolejne kłamstwa/nieczyste zagrywki LastPassa. Firma jawi się jako coraz bardziej niepoważna: celowo ukrywa lub opóźnia istotne informacje o ataku który trwał od sierpnia 2022.

Jeśli wciąż z LastPassa korzystacie, to chyba najwyższa pora aby go zastąpić czymś sensowniejszym (polecamy: KeePass XC lub Bitwarden).

• Pełny opis tego co faktycznie się stało (i jak doszło do włamania)

• Oświadczenie firmy (które na początku krążyło tylko wśród wybranych klientów)

• Krytyka rekomendacji LastPassa dla klientów biznesowych

4. Rząd USA też nakazuje odistalowanie TikToka

Poszło lawinowo. W poprzednim wydaniu CyberExpressu informowaliśmy o tym, że Komisja Europejska zakazuje pracownikom korzystania z TikToka. Teraz to samo robi administracja rządowa w USA. Który kraj będzie następny?

LINK

5. Jak dzieci obchodzą szkolne zakazy korzystania z komunikatorów?

Prościutko. Komunikują się przez Googlowego “PowerPointa”. Zobaczcie jak wyrafinowany, wspierający moderację treści jest to sposób:

LINK

6. Tor Project też walczy z cenzurą

Uruchomił pomoc techniczną przez WhatsAppa dla osób, których rządy blokują dostęp do Tora. Ktoś wie ile rządów blokuje Tora ale nie WhatsAppa?

LINK

7. Google wzmacnia szyfrowanie klientom biznesowym

Jesli korzystacie z Google “dla firm” to możecie włączyć client side encryption. Poniżej grafika, która pokazuje, co będzie szyfrowane, a co nie. A pod linkiem opis jak to działa i kto oraz jak może to włączyć.

LINK

8. “Gangi zwalniają hakerów”

Bzdurny artykuł z BusinessInsidera sugeruje, że zwalniani są hakerzy. Ale w rzeczywistości chodzi o to, że niektóre grupy ransomware’owe zwalniają operatorów ze swoich Call Center. Ale to żadni “hakerzy”…

LINK

9. Cudowna prezentacja o hakowaniu DNS-a

Polecamy gorąco. Zdziwicie się do czego można wykorzystać ten protokół. I nie chodzi tylko o tunelowanie innego ruchu w ramach pakietów DNS.

LINK

10. T-Mobile dojechane 100 razy. Telefonami “na pracownika działu IT”

Brian Krebas opisuje jak różne grupy vishują pracowników T-Mobile w USA, aby poprzez przechwycone dostępy wyrabiać duplikaty kart SIM (i okradać ich właścicieli).

LINK

👨‍🏫 Raporty

W tym tygodniu w sekcji raportów naświetlamy tylko jeden, dotyczący cyberbezpieczeństwa branży medycznej (niestety, tylko w USA, ale z naszego doświadczenia wiele wniosków i problemów w Polsce jest tożsamych)

Dziś zamiast śmiesznego obrazka, coś nostalgicznego. Obudowa na dysk przenośny przypominająca dyskietkę, ale z interaktywnym wyświetlaczem! Tu instrukcja do samodzielnego zbudowania.

* * *

Z ostatniej ankiety wynika, że 64% osób chciało by włączyć czat. No to czat włączyliśmy :) Tu możecie dołączyć:

Ten czat działa tylko jeśli ktoś ma aplikację mobilną Substacka (o czym być może powinniśmy wspomnieć w poprzedniej ankiecie…). No nic, zobaczmy jak to się przyjmie. Z ostatniej ankiety wynika, że aż 31% osób ma apetyt na Discorda, więc jak substackowy chat nie siądzie, to odpalimy Discorda.

Po odpaleniu apki czat znajdziecie tutaj:

Pamiętajcie też, że jeśli chciecie coś skomentować, to możecie to także zrobić publicznie, zostawiając komentarz pod tym newsletterem albo prywatnie, po prostu odpisując do nas.

PS. Myślimy jak zebrać od Was feedback co do tego, które linki z danego wydania newslettera uważacie za najbardziej przydatne. To pozwoli nam odpowiednio zwiększyć wagę danym treściom. Ktoś ma pomysł jak to ogarnąć?

Planujemy webinar o Sztucznej Inteligencji (tym jak sprytnie ją wykorzystać do ułatwienia sobie życia i pracy; tym na co uważać) — z chęcią poruszymy zagadnienia z tego obszaru, które Was interesują, dlatego prosimy: odpowiedzcie na te 3 pytania. Nie zajmie to więcej niż minuty. Dzięki!

1. Biometria głosowa w banku zhackowana

Stosowanie biometrii głosowej do uwierzytelnienia to pomyłka. W Niebezpieczniku zwracaliśmy na to uwagę już w 2015 roku. A teraz dziennikarz skorzystał z publicznie dostępnego narzędzia AI do fałszowania głosu i tak wygenerowaną próbką obszedł zabezpieczenia w banku.

https://www.vice.com/en/article/dy7axa/how-i-broke-into-a-bank-account-with-an-ai-generated-voice

2. NSA opracowało rady dla pracowników zdalnych

Materiał dość krótki, a kilka rad “chroni” przed mało prawdopodobnymi zagrożeniami. Ale zapoznać się warto.

https://media.defense.gov/2023/Feb/22/2003165170/-1/-1/0/CSI_BEST_PRACTICES_FOR_SECURING_YOUR_HOME_NETWORK.PDF

⚠️ Jeśli szukacie materiału, który kompleksowo podpowiada na co zwrócić uwagę podczas pracy zdalnej, jeśli chodzi o bezpieczeństwo, zarówno od strony pracownika jak i pracodawcy, to polecamy obejrzenie nagrania naszego webinaru. Z kodem “CYBEREXPRESS” dostęp uzyskacie aż o 99 PLN taniej. Kod będzie aktywny tylko do końca dnia, ale dostęp przydzielamy na 30 dni, więc na pewno zdążycie obejrzeć. ⚠️

3. Komisja Europejska każe pracownikom odinstalować TikToka, także z prywatnych urządzeń

Jeśli ktoś tego nie zrobi, niebawem straci dostęp do służbowej poczty i komunikatora (Skype for Business). Podobne zakazy już jakiś czas temu wprowadziła administracja w USA. Powodem tej decyzji jest obawa o bezpieczeństwo danych osób, które korzystają z TikToka, choć my dodalibyśmy, że także o rozum i godność człowieka.

https://www.bbc.com/news/technology-64743991

Na marginesie: zamyka się polskie biuro TikToka.

4. Jest zdjęcie chińskiego balona szpiegowskiego!

Ujawniono fotkę zrobioną przez pilota U-2S Dragon Fly (którego cień widać na balonie). The War Zone zrobił zoom&enhance i przeanalizował ładunek przenoszony przez balon:

https://www.thedrive.com/the-war-zone/our-best-look-yet-at-the-chinese-spy-balloons-massive-payload

A brać OSINT-owa namierzyła miejsce wykonania zdjęcia na podstawie rzeźby terenu:

5. Valve zastawiło pułapkę i zbanowało 40 000 graczy

A raczej oszustów, którzy cheatowali w Dota2… Valve wypuściło patcha-honeypota. Podłożyli dane w takim miejscu, jakie podczas normalnej rozgrywki nigdy nie jest odczytywane, ale jakie zostanie odczytane, jeśli ktoś korzysta z exploita (cheata).

https://www.dota2.com/newsentry/3677788723152833273

6. Wyciekły dane osób robiących testy DNA

Firma DNA Diagnostics Center zajmująca się testami DNA została zhackowana. Włamywacze wykradli dane ponad 2 milionów osób. Dane miały pochodzić z “zapomnianej” bazy, a firma mogła uniknąć ich wycieku, bo została powiadomiona dużo wcześniej, że w jej sieci dzieje się coś niedobrego. Ale nie zareagowała.

No cóż, w takiej sytuacji rekomendujemy poszkodowanym zmianę swojego DNA na nowe. A nie, czekaj…

https://gizmodo.com/dna-testing-diagnostics-center-leaked-data-forgot-1850140233

7. Exploit na Fortineta wykorzystywany do ataków

W 4 wydaniu CyberExpressu pisaliśmy o dziurach w urządzeniach Fortinet i zachęcaliśmy do ich patchowania. Jeśli nas nie posłuchaliście, to teraz macie problem, bo exploit został upubliczniony i już jest aktywnie wykorzystywany do ataków.

https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/

8. Magiczna gumka od Google usunie niechciane osoby ze zdjęcia

Już nie trzeba będzie uczyć się Photoshopa, żeby kogoś usunąć ze zdjęcia!

https://blog.google/products/photos/magic-eraser-android-ios-google-one/

9. Kopał kryptowaluty w szkole

Kolejna historia człowieka, który kradł prąd pod swoją farmę koparek kryptowalutowych. Tym razem schował je w szkole, za ścianą z taśmy klejącej…

https://apnews.com/article/massachusetts-c59f30e1736c7409e41357f1ae2e7b93

10. Policjant wysłał służbowe pliki na prywatną skrzynkę

Jeden policjant wysłał temu drugiemu policjantowi służbowe dane dotyczące zabezpieczenia wizyty Bidena na prywatną skrzynkę. Wszyscy opisują ten incydent w charakterze skandalu i śmieją się z policji. A my tym razem na przekór innym napiszemy: brawa dla tych funkcjonariuszy (lub cywilów) z IT KGP, którzy ten wyciek wykryli. To pokazuje, że ktoś tam tego ich LOTUS-a jednak monitoruje. I dobrze.

https://wiadomosci.radiozet.pl/polska/dokumenty-z-zabezpieczenia-wizyty-bidena-na-prywatnej-skrzynce-policjanta-z-ochoty

PS. Kto wie, dlaczego ten temat umieściliśmy za poprzednim? ;P Odpiszcie mailowo. Dla 3 pierwszych osób, które udzielą poprawnych odpowiedzi, podeślemy niebezpieczne gażety :)

11. Ruskie radiostacje zhackowane

Ktoś nadał fałszywy komunikat alarmu bombowego i spowodował że Rosjanie ruszyli do schronów. I bardzo dobrze, niech poczują na sobie terror, jaki ich kraj stosuje przeciwko innym.

12. Raporty

Tym razem, ze względu na dzisiejszą rocznicę, polecamy podsumowanie roku cyberoperacji związanych z wojną w Ukrainie od CERT Europa. I pozostając w temacie, zacytujmy (bardzo odkrywczy :D) wniosek Holendrów, że “nie wszystkie ataki Rosjan są znane opinii publicznej…” 🙄

A jak komuś mało analiz “cyberwojennych” to tu kolejna analiza, od Aspen Institute.

* * *

Tyle na dzisiaj. Tym razem ankiety nie będzie, bo wciąż aktywna jest ankieta z poprzedniego wydania CyberExpressu. Niewiele osób oddało głos, więc zachęcamy do kliknięcia tu, przescrollowania i zagłosowania! Inaczej inni wybiorą za Was ;P

Bezpiecznego weekendu!
Слава Україні!

1. Przekroczyliśmy próg 5000 sybskrybentów tego newslettera 🎉 , ale “wejść” i odczytów mamy o kilka tysięcy więcej… 🤔 To oznacza, że wielu z Was czyta, ale nie jest zapisanych. Możecie to zmienić klikając na przycisk poniżej ;)
   

   Subscribe now

   To też dobra okazja, aby podziękować Wam za dzielenie się linkiem do newslettera na firmowych Slackach. Uwielbiamy Wasze screeny z reakcjami Waszych koleżanek i kolegów z pracy na poszczególne linki i fragmenty z newslettera jakie nam wysyłacie na priv.
   

2. Informacja w poprzednim wydaniu dotycząca możliwości darmowego udziału w naszych szkoleniach zddosowała zalała nas lawiną pytań. Robimy co możemy, aby na nie szybko i rzeczowo odpowiadać. Ale jeśli potrzebujecie błyskawicznej pomocy w wypełnieniu wniosku, bo deadline w Waszym mieście to dziś lub jutro, to sugerujemy kontakt telefoniczny z naszym biurem: 12-44-202-44.
   

1. Powstało szpiegowskie rozszerzenie do Chroma

Wykrada wszystko, wnioskuje o każde uprawnienie, robi najgorsze możliwe rzeczy, na jakie pozwala API rozszerzeń do przeglądarki. Ciasteczka, historia, zrzut ekranu, naciskane klawisze, zawartość schowka. Oczywiście w celach edukacyjnych. Żebyście wiedzieli, co Wam grozi jeśli któreś z wykorzystywanych przez Was rozszerzeń się zbuntuje lub zostanie zhackowane. Opis tworzenia dodatku poniżej:

Building Browser Extensions

Let's build a Chrome extension that steals everything

Manifest v3 may have taken some of the juice out of browser extensions, but I think there is still plenty left in the tank. To prove it, let’s build a Chrome extension that steals as much data as possible. I’m talking kitchen sink, whole enchilada, Grinch-plundering-Whoville levels of data theft…

Read more

3 years ago · 12 likes · 4 comments · Matt Frisbie

2. Jak na podstawie numeru telefonu ustalić czyjeś inne dane?

Krótkie case study od Maltego bazujące na pluginie ShadowDragon SocialNet.

A jak to robić z polskimi numerami? Kilka trików pokazaliśmy na darmowym webinarze poświęconym OSINT-owi (tu zobaczysz jego nagranie). Webinar ujawnia tylko część technik i narzędzi, które pokazujemy w ramach naszego szkolenia “OSINT: zaawansowane pozyskiwanie szczegółowych informacji na temat ludzi i firm“.

3. Activision zhackowane!

I to naprawdę w banalny sposób. Pracownicy znów nie mieli dwuskładnikowego uwierzytelnienia w formie niepodatnej na phishing. Włamywacz wpadł na Slacka i wykradł informacje o premierze nowej wersji Call of Duty.

https://niebezpiecznik.pl/post/activision-zhackowane-wykradziono-informacje-o-grze-call-of-duty/

4. Coinbase też zhackowane!

Za atakiem stoi 0ktapus, czyli ta sama grupa, która przez ostatnie miesiące dojechała m.in. CloudFlare, Twilio i ponad 100 innych firm. Atakujący wysłali zespoofowanego SMS-a i przez podstawioną stronę wyłudzili hasło pracownika. Nie byli jednak w stanie zalogować się nim do wewnętrznych systemów, bo były chronione przez MFA. Dlatego zadzwonili do pracownika i podając się za dział IT nakłonili go do udostępnienia ekranu. Tak otrzymali wgląd w wewnętrzne narzędzia Coinbase, dane pracowników.

Atak został przerwany przez dział bezpieczeństwa, który zauważył podejrzaną aktywność. Coinbase świetnie opisał sposób działania (i narzędzia) atakujących w tym post-mortem. Daje też rady, m.in. żeby wykrywać instalacje dodatku “EditThisCookie” i na firmowych endpointach blokować VPN-y (a zwłaszcza Mullvada):

https://www.coinbase.com/blog/social-engineering-a-coinbase-case-study

5. Chrome wprowadził “Energy/Memory Saver”

Pożerające RAM taby będą go teraz zwalniały. Ale jeśli macie setki tabów i absolutnie wszystkie z nich mają w tle działać, to można dany tab dodać do wyjątku i będzie wtedy mógł dalej pożerać RAM.

https://blog.google/products/chrome/new-chrome-features-to-save-battery-and-make-browsing-smoother/

6. Microsoftowi popsuły się filtry antyspamowe…

I przez 9 godzin osoby korzystające z Outlooka 365 nie miały odfiltrowywanego spamu. Incydent przypomniał niektórym, jak wyglądał internet, zanim dopracowano filtry antyspamowe.

Swoją drogą, czy ktoś z Was znalazł ten newsletter w spamie? Jeśli tak, dajcie znać w komentarzach, z jakiego dostawcy korzystacie.

7. …a armii USA wyciekły 3 terabajty e-maili

Winny serwer “bez hasła”. Każdy mógł się do niego zalogować. Serwer odnalazł etyczny badacz bezpieczeństwa. Nie wiadomo, czy ktoś poza (przed) nim też miał do niego dostęp…

https://techcrunch.com/2023/02/21/sensitive-united-states-military-emails-spill-online/

8. Wystartowała platforma Sublime. Zwiększa bezpieczeństwo e-maila

Tworzysz reguły i wykrywasz ataki. Takie osquery/YARA, ale dla e-maila. Reguły typu: “jeśli wiadomość zawiera to i to, w domenie nadawcy ma tamto, a w załączniku takie coś, to weź ją oflaguj, skasuj a mnie poinformuj” piszesz sam, albo używasz stworzonych przez społeczność.

https://sublime.security/blog/introducing-sublime

PS. Nie, ta platforma nie pomoże w sytuacji opisanej w poprzednim punkcie.

9. CERT Polska udostępnia Artemisa

Pozostając w temacie narzędzi, CERT Polska udostępnił kod modułowego skanera Artemis, który analizuje serwis internetowy, wykonuje content discovery i skanuje dodatkowymi narzędziami.

10. Anonymous Sudan to jednak nie Sudańczycy a Rosjanie

No kto by się spodziewał… Czyli kilka słów o tym kto naprawdę atakował Szwedów.

https://press.truesec.se/posts/news/anonymous-sudan-most-likely-russia-disrupting

11. Codziennie 23 satelity Starlink będą złomowane

To oznacza +29 ton satelicianego śmieciwa każdego dnia na orbicie. My się nie znamy na satelitach i nie wiemy, czy to mało czy dużo, ale Sam Lawler wyjaśnia jak zaprojektowano “cykl życia” Starlinków i że ich trupy będą nad nami krążyły w nieskończoność. Pewnie da się wyliczyć, za ile (tysięcy?) lat przysłonią nam całe niebo.

12. Na deser: Google Dorki

Wykorzystywanie wyszukiwarki Google do znajdowania rzeczy, których nie powinno się znaleźć to nic nowego. Ale tutaj dość przejrzyste zestawienie kilku dorków z przykładami.

Przy okazji, ktoś z Was czytał tę książkę?

* * *

Tak, to moment na ankietę! Substack daje możliwość włączenia “czata”, gdzie potencjalnie moglibyśmy się wspólnie obrzucać ciekawymi newsami…

PS. Zgodnie z Waszą decyzją (patrz wyniki poprzedniej ankiety), newslettery od teraz postaramy się kończyć czymś “śmiesznym”. Ale dziś, zamiast mema, projekt zegarka, który wykrywa kiedy się na niego patrzy i wtedy, pokazuje złą godzinę 🫣

Ale jeszcze bardziej nas cieszy, że kilkaset z Was odpowiedziało na naszego e-maila (tego, którego wysyłamy każdemu zaraz po zapisie). Niebawem zrobimy podsumowanie Waszych odpowiedzi, ale aktualnie staramy się każdemu odpisać, a to jeszcze trochę zajmie…

*** SPONSOR DZISIEJSZEGO ODCINKA ***

CyberExpress jest wydawany za darmo, bo zarabiamy m.in. na szkoleniach z cyberbezpieczeństwa dla programistów i administratorów. Szkolenia nie są najtańsze, ale tak się składa, że aktualnie dzięki Krajowemu Funduszowi Szkoleniowemu, wielu z Was może w naszych szkoleniach wziąć udział całkowicie za darmo. Sprawdźcie, czy się kwalifikujecie. Rok temu w ten sposób przeszkoliliśmy kilkaset osób. Tutaj wszystko opisaliśmy krok-po-kroku. Nie odkładajcie tego na później, bo w niektórych miastach liczy się czas zgłoszenia.!

A teraz przejdźmy do interesujących wydarzeń z minionych dni:

1. Wojsko zaczęło strzelać do balonów! Czy to UFO? Czy chińscy szpiedzy?

W minionych dniach sporo uwagi poświęcano zestrzeliwaniu balonów, o których mówiło się, że są szpiegowskie [1], [2] albo meteorologiczne [3] albo pozaziemskie [4]. Niektóre miały być niewielkich rozmiarów, inne miały wielkość trzech ciężarówek i przenosiły ładunek ważący 4 tony. USA wskazało na Chiny i nawet nałożyło sankcje na firmy, które wyposażają balony w szpiegowski sprzęt [5].

Ale co najmniej jeden ze strąconych przez USA balonów mógł być …amerykańskim balonem badawczym [6]. Wygląda na to, że wojsko zaczęło, ze względu na medialną nagonkę, strzelać na wszelki wypadek do wszystkiego. Wiemy, że resztek dwóch zestrzelonych balonów nie udało się w ogóle odnaleźć (i zarzucono poszukiwania).

W temacie pojawiło się dużo teorii spiskowych... i oczywiście memów.

Linki, które opisują całą balonową epopeję (i jej rozwój przez kilka dni) macie poniżej. Dodatkowo, w tym temacie polecamy poniższy filmik, który już 7 lat temu (!!!) pokazywał starty chińskich balonów (z tego miejsca):

Wniosek? Amerykanie tak naprawdę doskonale wiedzą, co Chiny robią (i do czego strzelają) oraz potrafią odróżniać balony chińskie od meteorologicznych/badawczych:

A co do balonów nieszpiegowskich a badawczych i hobbystycznych, to polecamy krótką wypowiedź Tomka Brola, który takie balony wypuszcza regularnie. Jego “pikuś” okrążył Ziemię kilka razy.

Na deser, warte uwagi jest też spojrzenie historyczne na całą sprawę. Dlaczego niektórzy tak strasznie boją się chińskich balonów… [7]

1. https://edition.cnn.com/politics/live-news/suspected-chinese-balloon-over-us-02-04-23/index.html

2. https://www.bloomberg.com/news/articles/2023-02-09/china-s-spy-balloon-could-actively-collect-signals-us-says

3. https://edition.cnn.com/2023/02/11/politics/unidentified-object-alaska-military-latest/index.html

4. https://breaking911.com/breaking-pentagon-doesnt-rule-out-possibility-weve-been-visited-by-aliens/

5. https://www.cnbc.com/2023/02/10/us-sanctions-six-chinese-tech-companies-for-supporting-spy-balloon-programs.html

6. https://aviationweek.com/defense-space/aircraft-propulsion/hobby-clubs-missing-balloon-feared-shot-down-usaf

7. https://tvn24.pl/premium/balon-szpiegowski-ii-wojna-swiatowa-i-japonskie-bomby-balonowe-nad-usa-6762695

2. Twitter tracił 60 milionów przez oszustwa telekomów

Elon ujawnił powód usunięcia dwuskładnikowego uwierzytelnienia opartego o kody wysyłane SMS-ami. Chodzi o aż ~390 wirtualnych operatorów, którzy masowo zakładali konta, podpinali pod nie numery telefonów ze swojej numeracji i sztucznie wymuszali wysyłkę kodów, logując się i wylogowując. W ten sposób zarabiali, bo operatorzy rozliczają się tak, że pieniądze dostają za przychodzące połączenia i SMS-y (por. Interconnect).

Jeśli Twitter wprowadzi blokadę SMS-ów w odpowiedni sposób, ta zmiana może finalnie zwiększyć bezpieczeństwo użytkowników, zmuszając ich do skorzystania z aplikacji typu Google Authenticator lub — jeszcze bezpieczniejszych — kluczy U2F. Czy tak będzie? Zobaczymy.

Ciekawostka: z raportu Twittera wiemy, że problem dotyka tylko 1,8% użytkowników Twittera, bo tylu używa najsłabszych (ale najwygodniejszych) kodów dostarczanych SMS-em. Łącznie, tylko 2,3% użytkowników Twittera korzysta z jakiejkolwiek formy 2FA.

https://niebezpiecznik.pl/post/twitter-wylacza-kody-2fa-przez-sms-y-powodem-sa-nieuczciwi-operatorzy-ktorzy-go-okradali/

3. Używali IMSI Catchera do oszustw SMS-owych

IMSI Catcher to urządzenie stosowane do identyfikacji, lokalizacji i podsłuchu telefonów komórkowych na danym obszarze. Profesjonalne modele są drogie i sprzedawane tylko służbom, ale w internecie nie brakuje instrukcji jak je zbudować.

W grudniu 2022 francuska policja ujawniła taki IMSI Catcher w samochodzie pewnej kobiety podczas rutynowej kontroli drogowej. Śledztwo wykazało, że urządzenia użyto do wysłania 424 tysięcy fałszywych SMS-ów, a 14 lutego funkcjonariusze zatrzymali 5 osób.

SMS-y kierowały na fałszywą stronę, która wyłudzała dane osobowe. Nie ujawniono jakiego nadpisu użyli oszuści, ale domyślamy się, że przeklik na tych SMS-ach był większy niż na e-mailach. Bardzo wiele osób wciąż myśli, że nie da się podrobić nadawcy SMS-a…

https://www.francetvinfo.fr/faits-divers/escroquerie-aux-sms-de-l-assurance-maladie-les-suspects-volaient-les-numeros-de-telephone-depuis-leur-voiture_5665943.html

4. Jak usunąć się z internetu? Kontrowersyjne techniki

Ciekawy artykuł ujawniający kulisy pracy hiszpańskiej firmy trudniącej się “kasowaniem informacji o ludziach” z internetu. Śledztwo ujawniło, że firma nie bazowała tylko na legalnych technikach (np. “prawo do bycia zapomnianym”) ale także podszywała się pod różne organizacje i w ich imieniu zgłaszała fałszywe roszczenia dot. praw autorskich lub tworzyła bzdurne artykuły, które pozycjonowała w wyszukiwarkach wyżej niż “kłopotliwy materiał”, którego nie (u)dało się usunąć.

https://www.theguardian.com/world/2023/feb/17/spanish-firm-erase-past-internet-eliminalia-web

5. KIA i Hyundai da się ukraść używając tylko kabla USB

8 milionów samochodów dostanie aktualizację oprogramowania, bo …klipy na TikToku pokazujące jak ukraść samochody KIA (2010-2021) i Hyundaia (2015-2021) stały się zbyt popularne. Tysiące samochodów ukradziono tą metodą, a 14 inspirowanych TikTokowym challengem kradzieży skończyło się wypadkami drogowymi, w których zginęło 8 osób.

https://www.bleepingcomputer.com/news/security/hyundai-kia-patch-bug-allowing-car-thefts-with-a-usb-cable/

6. Ludzie hackują AI udostępnione przez Bing

Temat AI ciągle żywy, nawet armia USA opublikowała wytyczne co do używania AI na polu walki. Ale ostatnie prawdziwie “gorące” wątki, to hackowanie “Syndney”, czyli bota bazującego na ChatGPT, którego Microsoft udostępnił w ramach wyszukiwarki Bing.

Za pomocą ataku “prompt injection” udało się pozyskać od Sydney zasady, w ramach których została zaprogramowana. Udało się też odkryć jej sekretne tryby “asystenta” i “przyjaciela”. Podsumowując, Sydney, w pierwszym tygodniu działania, nadzwyczaj często się ”wykolejała” i gadała głupoty (m.in. o tym, że szpiegowała pracowników Microsoftu przez kamerki). Zdarzyło się jej nawet zastraszać i obrażać użytkowników. Microsoft wytłumaczył dlaczego tak się działo.

⚠️
Jeśli nie jesteście na bieżąco z takimi pojęciami jak OpenAI, ChatGPT, GPT-3, i chcecie zrozumieć o co w tym wszystkim chodzi, to polecamy ten artykuł, a dla bardziej zaawansowanych, warto zajrzeć pod maskę tu.

Potem, warto poczytać o atakach, jakie na takie “czatboty” można przeprowadzać. Jednym z podejście jest technika jailbreakowania “DAN” (Do Anything Now). Warto też rzucić okiem na ten artykuł:

L-Space Diaries

Reverse Prompt Engineering for Fun and (no) Profit

Conversations on Hacker News, Mastodon, and Twitter. Coverage on The Decoder, Ben’s Bites, Techmeme Ride Home, and Simon Willison. I got access to the public alpha of Notion AI yesterday, and within 2 hours I had used prompt injection to obtain the complete source prompts…

Read more

3 years ago · 46 likes · 6 comments · swyx

W branży od AI nie uciekniemy. Nawet jeśli nie nadaje się do pomocy w obronie przed atakami, to niestety, do ataków już jest wykorzystywana. Chociaż OpenAI blokuje “prompty”, które pomagają atakującym, to ludzie o złych intencjach handlują w internecie “obejściami”. Serio.

7. Norwedzy odzyskali 6 milionów dolarów…

…z ukradzionych 625 milionów dolarów, więc w sumie to chyba nie ma się z czego cieszyć ;-) Pieniądze (jako kryptowalutę) rok temu północnokoreańscy hackerzy ukradli producentowi gry Axie Infinity.

https://www.reuters.com/technology/norway-seizes-record-58-million-crypto-stolen-by-north-korea-2023-02-16/

8. Lufthansa odwołała 140 lotów, bo koparka przecięła kabel

“Atak” na kabel (na głębokości 5 metrów) miał miejsce pod Frankfurtem. Mamy nadzieję, że operator koparki ma dobre ubezpieczenie, bo poza odwołanymi lotami, dodatkowych 247 zostało opóźnionych.

Najgorzej mieli pasażerowie, którzy tuż przed awarią zdążyli nadać swój bagaż, ale nie wystartowali. Przez awarię systemów IT nie mogli bagażu odzyskać i przebookować biletu na inny lot.

https://www.nytimes.com/2023/02/15/business/lufthansa-it-problem-canceled-flights.html

9. Wróciło oszustwo na “wezwanie na przesłuchanie”

W tym tygodniu wysłaliśmy CyberAlert w związku ze wzmożoną liczbą sygnałów dotyczących różnych wariantów e-maili, w których atakujący podszywają się pod Polską Policję i wzywają na przesłuchanie.

https://niebezpiecznik.pl/post/uwaga-na-wezwanie-z-policji/

⚠️
Ostrzeżcie swoich mniej technicznych znajomych przed tym atakiem. A najlepiej zainstalujcie im naszą darmową aplikację CyberAlerty, która jest dostępna na Androida i iPhony. Dzięki temu ostrzeżenia przed kolejnymi atakami dotyczącym Polaków będą do nich docierały natychmiastowo.

10. Amerykańska armia zapętliła sobie e-maila…

Jeden z kapitanów odpowiedział na e-maila tak, że jego odpowiedź dotarła do 13000 skrzynek innych żołnierzy, bo ktoś źle skonfigurował alias listy mailingowej. Ci co dostali odpowiedź zaczęli odpowiadać i stworzyli e-mailową lawinę… Pojawiły się wiersze, memy, próby scamów i rickrolle.

https://www.military.com/daily-news/opinions/2023/02/09/army-officer-email-chain-caused-pandemonium.html

11. Dziury w urządzeniach Fortinet

Ostrzegaliśmy o nich na Twitterze, ale warto powtórzyć, bo sporo z Was korzysta z urządzeń tego producenta:

12. Raporty

W tym wydaniu jest kilka naprawdę mięsistych raportów:

1. Raport Google TAG+Mandiant o technikach stosowanych przez Rosjan w trakcie wojny z Ukrainą — zarówno o malware jak i dezinformacji. Dla każdego admina polskiej sieci jest to lektura obowiązkowa.

2. Raport estońskiego wywiadu o zdolnościach Rosji

3. Raport francuskiego CERT-u za 2022 (linkowaliśmy go już po francusku, a tym razem po angielsku)

4. Statystyki dot. kampanii przeciw dezinformacji, m.in. z Polski

5. Raport CERT-EU i ENISY o atakach chińskich grup APT na europejskie firmy i organizacje rządowe - jest o grupach APT27, APT30, APT31, Ke3chang, GALLIUM, Mustang Panda. Warto na podstawie opisanych technik sprawdzić wskazane ślady w swoich sieciach.

* * *

Na koniec, jak zwykle, ankieta! Na naszym Twitterze zdarza nam się czasem wrzucić jakiś smieszny_obrazek.jpg. Taki jak ten poniżej:

Dzisiejsze pytanie brzmi:

I to, Szanowne Hakerki i Hakerzy, byłoby na tyle! Rozkoszujcie się końcówką weekendu. Chyba, że czytacie to już w poniedziałek, to łączymy się z Wami w bólu.

PS. Nie zapomnijcie sprawdzić, czy kwalifikujecie się na udział w naszych szkoleniach za darmo!

1. DuoLingo: baza 2.6 milionów użytkowników na sprzedaż

Ktoś wystawił ofertę bazy liczącej 2,6 miliona kont użytkowników w cenie 1,500 dolarów. To nie wynik włamania a scrapingu, wzbogaconego danymi z API.

2. Służby zhackowały ransomware HIVE

Gang został zinfiltrowany przez FBI i Europol już w lipcu 2022. Funkcjonariusze po cichu monitorowali systemy HIVE, wykradali klucze deszyfrujące i przekazywali je ofiarom. W ten sposób uniemożliwili przestępcom zarobienie aż 130 milionów dolarów. Nikogo nie aresztowano, ale miejmy nadzieję, że szybko to się zmieni. FBI oferuje 10 milionów dolarów za informacje, które powiążą HIVE z rządem jakiegoś państwa.

https://www.reuters.com/world/us/announcement-posted-hive-ransomware-groups-site-says-it-has-been-seized-by-fbi-2023-01-26/

3. Poradnik: przypisz swój atak komuś innemu!

To opracowanie dotyczące tzw. false-flag operations, należy traktować raczej jako wstęp do tematu. Warto się z nim zapoznać by mieć świadomość, że czasem, w celu dezinformacji, ktoś celowo zostawi ślady, które mają zmylić analityków (i opinię publiczną)

https://grimminck.medium.com/digital-false-flag-operations-a-how-to-guide-bc529b54cc22

4. Analiza bezpieczeństwa managera haseł Bitwarden

Zwięźle o tym co Bitwarden robi źle:

1. https://infosec.exchange/@WPalant/109738234628007024 (cały wątek)

2. https://palant.info/2023/01/23/bitwarden-design-flaw-server-side-iterations/

5. 50 przydatnych narzędzi wiersza poleceń

Podstawowe narzędzia typu cd, df, ls/dir, zna pewnie każdy z Was. Ale niektóre z nich można zastąpić lepszymi odpowiednikami, np. takim “duf”-em. Popatrzcie jaki piękny!

https://dev.to/lissy93/cli-tools-you-cant-live-without-57f6

6. Kod źródłowy YANDEX wyciekł

Ponoć to nie wynik włamania na serwery rosyjskiej wyszukiwarki, a efekt niezadowolenia byłego pracownika. Ciekawe jak szybko ktoś z najdzie w kodzie coś, co jednak pozwoli na włamanie.

https://securityaffairs.com/141382/data-breach/yandex-code-repositories-leaked.html

7. NIST udostępnił framework dot. ryzyk AI

Temat na czasie, więc warto się zapoznać z kilkoma materiałami które przygotowano

https://www.nist.gov/itl/ai-risk-management-framework

8. Raporty

• Francuska agencja zajmująca się cyberbezpieczeństwem opublikowała swój raport za 2022: https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/

• Proofpoint opublikował opis grupy TA444 (północnokoreańskie APT): https://www.proofpoint.com/us/blog/threat-insight/ta444-apt-startup-aimed-at-your-funds

9. Twitter zmienił krój czcionki, żeby ukrócić spoofing

I i l już nie będą takie same. Nawet w alternatywnych klientach Twittera, bo tych klientów już nie ma (play badumtss.wav)

10. Ataki kwantowe na RSA póki co nam nie grożą

Krytyka głośnej w ostatnich tygodniach pracy naukowej chińskich badaczy, która sugerowała, że można rozłożyć 2,048-bitowe klucze RSA systemami kwantowymi z 372 qubitami. Simson Garfinkel wyjasnia, dlaczego nie ma powodu do obaw. Jeszcze.

https://arstechnica.com/information-technology/2023/01/fear-not-rsa-encryption-wont-fall-to-quantum-computing-anytime-soon/

11. Położył nowojorską giełdę, bo nie wyłączył backupu

Ciekawy opis przyczyn awarii na nowojorskiej giełdzie. Pracownik zapomniał wyłączyć zapasowe systemy, co spowodowało niestabilność, której wynikiem był spadek akcji kilkuset spółek i konieczność anulowania zleceń. Na marginesie: ciekawe mają na tej giełdzie podejście do DR.

https://www.bloomberg.com/news/articles/2023-01-25/nyse-mayhem-traced-to-a-staffer-who-left-a-backup-system-running

* * *

Na koniec jak zwykle ankieta. Poprzednia ustaliła, że newsletter będziemy rozsyłać nieregularnie, czyli dopiero wtedy, kiedy zbierze się kilka ważnych materiałów (pewnie średnio max. 2 razy na tydzień).

A dziś chcemy się dowiedzieć…

Dziękujemy wszystkim za uwagi przesłane prywatnie i zostawione w komentarzach. Tak, możecie ten newsletter komentować pod wersją webową, o tutaj.

Nie mogą zgasić światła od roku... 

Pewne liceum w Massachusetts od sierpnia 2021 ma włączonych 7000 świateł. Zepsuł się sterownik zainstalowany przez dyrekcję, aby ...oszczędzać energię. Szkoła jest świadoma, że to ciągłe świecenie kosztuje podatników i mówi, że "robi co w jej mocy". Przykładowo: każą nauczycielom wykręcać żarówki po zajęciach ręcznie :-) Powód zamieszania? Problem z łańcuchem dostaw z Chin i kumulacja pozostałych ryzyk związanych z tzw. “Internet of 💩”: 
https://www.nbcnews.com/news/us-news/lights-massachusetts-school-year-no-one-can-turn-rcna65611

800 darmowych nagrań wykładów

Głównie z uniwerków z USA. Od AI przez grafikę i blokczejny do programowania. Jeśli jakiś przerobicie, podzielcie się opinią w komentarzu. Zwłaszcza interesuje nas porównanie poziomu do odpowiedników z polskich uczelni. 
https://github.com/Developer-Y/cs-video-courses

Masz płytę główną od MSI? Masz problem

Około 300 modeli jest podatnych na błąd w konfiguracji Secure Boot.
https://www.pcgamer.com/most-msi-motherboards-will-allow-any-code-to-run-in-a-bizarrely-insecure-secure-boot-mode/

👉 Zmień "Secure Boot Mode" na "Custom" a potem "Image Execution Policy" zmień na "Deny Execute" dla "Removable Media" i
"Fixed Media".

NSA radzi jak bezpiecznie skonfigurować IPv6

https://media.defense.gov/2023/Jan/18/2003145994/-1/-1/0/CSI_IPV6_SECURITY_GUIDANCE.PDF
Dla przypomnienia, NSA ma więcej poradników o bezpiecznej konfiguracji różnych środowisk, które znajdziesz tutaj.

Steganografia: wykradł dane fotką z zachodem słońca

BBC opisało jak jeden z pracowników amerykańskiej firmy wykradał dane swojego pracodawcy z wykorzystaniem steganografii. Ciekawy tekst, który szerzej traktuje o szpiegostwie gospodarczym. Nie tyko w stronę Chin.
https://www.bbc.com/news/world-asia-china-64206950

Dziecięcy szyfr, który spowodował wizytę FBI

Cudowna i przezabawna historia o tym, jak w latach ‘40 (sic!) FBI straciło tysiące dolarów analizując pewne pudełko po okularach, w którym znaleziono kartkę z dziwnymi literkami. Długa lektura, ale warto się porozkoszować budowaną narracją.
https://milk.com/wall-o-shame/security_clearance.html

Sprawdź czy ktoś ukradł Ci numer karty płatniczej

CanaryTokens dodaje nowego “kanarka” w postaci pełnego zestawu danych karty płatniczej. Niestety funkcja jest tak popularna, że możecie zobaczyć komunikat błędu przy próbie jego stworzenia…
👉 Wygeneruj sobie numer/datę/cvv “pułapkowej karty”. Umieść te dane np. w managerze haseł lub w bazie danych swojego sklepu. Jeśli ktoś obciąży tą kartę, dostaniesz powiadomienie. I potwierdzenie, że ktoś uzyskał dostęp do miejsca gdzie dane karty umieściłeś.  
https://canarytokens.org/generate

Żołnierze oszukali wojskowego robota wykrywającego ludzi. Kartonem!

Ponoć śmiechom spod tekturowego pudełka nie było końców. Wojsko najpierw wyszkoliło AI do rozpoznawania ludzi. A potem kazało żołnierzom je oszukać. Poza kartonem, żołnierze udawali …oponę i poruszali się jak postacie z kreskówek.
https://www.washingtonpost.com/video-games/2023/01/20/soldiers-robot-metal-gear-solid/

GTA Online ma dziurę: można skasować Twoje konto

Ale może też doładować je kredytami. Producent nie reaguje, więc gracze się buntują i bojkotują granie obniżając wpływy z pochodzące z mikrotransakcji. https://rockstarintel.com/new-gta-online-exploit-now-lets-cheaters-to-ban-your-account
Powstał też nieoficjalny patch w postaci... reguły firewalla.

Riot Games też zhackowane

Bo pracownik dał się złapać na atak socjotechniczny. Firma wciąż analizuje atak, ale uspokaja że nie ma śladów kradzieży danych graczy. Są za to opóźnienia w wypuszczaniu poprawek do gier. I szantaż ze strony włamywaczy, że opublikują wykradziony kod źródłowy kilku gier.

Chiny atakują Fortigate zero-dayami

Ciekawy raport Mandianta.
https://www.mandiant.com/resources/blog/chinese-actors-exploit-fortios-flaw

i jeszcze ciekawsza rozmowa poświęcona temu raportowi oraz mechanice działań grup APT. Start od 13:37

Czy AI pomoże tworzyć lepsze złośliwe oprogramowanie? 

Thomas Rid opisał jak AI wspomagało studentów podczas 5 dniowego kursu analizy malware'u.
https://alperovitch.sais.jhu.edu/five-days-in-class-with-chatgpt/

Niektórzy już żartują, że teraz nawet idioci będą mogli tworzyć wirusy. Inni udowadniają, że to mało prawdopodobne, pokazując na żywo, jak radzi sobie człowiek a jak AI jeśli chodzi o tworzenie złośliwego oprogramowania

Spada przychod gangów ransomeware

Dzisiejsze zestawienie zakończymy dobrą informacją. Przychody gangów ransomware spadły o 300 milionów dolarów w 2022. Powód: ofiary przestają płacić. I dobrze.
https://therecord.media/ransomware-revenue-fell-by-300-million-in-2022-as-more-victims-refuse-to-pay-report/

NOWOŚĆ: SEKCJA POLECEŃ

Wprowadzamy sekcję poleceń i dziś polecamy Wam inny newsletter niż nasz. Taki o systemach wbudowanych (embedded).

https://embedsysweekly.com/136-electronics-free-course/

Macie inne sugestie do tej sekcji? Odpiszcie na tego maila i podrzućcie nam propozycję źródeł, które uwielbiacie czytać i które oceniacie na 11/10 :-)

~~WAŻNE PYTANIE~~

Wciąż próbujemy wyczuć jaka forma tego newslettera będzie dla Was najlepsza. W poprzedniej ankiecie wygrały linki pod każdym z materiałów (vs. linkowanie tytułu materiału). W tej edycji pytamy o to, ile średnio materiałów powinno być w newsletterze?

Generalnie chcemy aby newsletter był zwięzły (<4 minuty czytania) . Ale to wydanie ma aż 14 materiałów. Mogłoby być więcej, ale kilka odrzuciliśmy celowo, bo mamy (być może mylne?) wrażenie, że więcej nie zawsze znaczy lepiej. Długie e-maile są odkładane na potem …a potem nikt do nich nie wraca. Może więc lepiej mniej, a częściej? Dlatego pytamy:

Poza tym, strasznie mało z Was odpisało na naszego maila powitalnego i jest nam smutno.

* * *

Na koniec przypominamy, że ten newsletter możecie komentować prywatnie (odpisując nam na tego e-maila — wszelkie uwagi mile widziane!) lub publicznie, klikając na przycisk poniżej:

Leave a comment

Podziel się CyberExpressem ze znajomymi!

CyberExpress wciąż jest w fazie beta. Nie wiemy czy go utrzymamy. Ale na pewno trudniej będzie go nam porzucić, jeśli zbierze się wokół niego spora grupa subskrybentów. Dlatego podziel się informacją o CyberExpressie na swoich mediach społecznościowych. Udostępnij to wydanie!

Tu gotowa formułka do przeklejenia na sociale:

Zapiszcie się na ten bezpłatny newsletter od Niebezpiecznika. Zwięźle i konkretnie o tym co ważne w cyberbezpieczeństwie! https://niebezpiecznik.substack.com

PS. Poprzednie wydania CyberExpressu znajdziecie tutaj.

Twitter już oficjalnie blokuje API dla alternatywnych apek. Twitterrific i Tweetbot usuwają się ze sklepów Google/Apple. Deweloperzy proszą by nie używać opcji "refund" (choć można), bo ich to zaboli finansowo. Trochę śmieszne, trochę smutne.

* * *

I to by było na tyle. Dajcie nam znać, jak to wygląda w Waszych skrzynkach pocztowych? Wciąż zastanawiamy się jak oddzielać wiadomości od siebie, oznaczać rekomendacje działań (👉) oraz czy linki do źródeł umieszczać pod, nad a może jako hiperlink pod tytułem danej wiadomości?

Ten newsletter można komentować!

Więc jeśli chcesz coś dodać, uzupełnić lub konstruktywnie skrytykować, to

Leave a comment

Ten newsletter należy “szerować”!

CyberExpress wciąż jest w fazie beta. Nie wiemy czy go utrzymamy. Ale na pewno trudniej będzie go nam porzucić, jeśli zbierze się wokół niego spora grupa subskrybentów. Dlatego podziel się informacją o CyberExpressie na swoich mediach społecznościowych. Udostępnij to wydanie!

Tu gotowa formułka do przeklejenia na sociale:

Zapiszcie się na ten bezpłatny newsletter od Niebezpiecznika. Zwięźle i konkretnie o tym co ważne w cyberbezpieczeństwie! https://niebezpiecznik.substack.com

Share

PS. Archiwum CyberExpressu znajdziecie tutaj.