CyberExpress #006 (24-02-2023)
Dziś: rady od NSA, omijanie biometrii, banowanie oszustów, wycieki, exploity, zhackowani Rosjanie i policjanci. Lektura zajmie Ci ~3 minuty. Chyba, że tylko nagłówki scrollujesz, łachudro! To mniej.
Dziś zamiast wstępniaka krótka prośba.
Planujemy webinar o Sztucznej Inteligencji (tym jak sprytnie ją wykorzystać do ułatwienia sobie życia i pracy; tym na co uważać) — z chęcią poruszymy zagadnienia z tego obszaru, które Was interesują, dlatego prosimy: odpowiedzcie na te 3 pytania. Nie zajmie to więcej niż minuty. Dzięki!
1. Biometria głosowa w banku zhackowana
Stosowanie biometrii głosowej do uwierzytelnienia to pomyłka. W Niebezpieczniku zwracaliśmy na to uwagę już w 2015 roku. A teraz dziennikarz skorzystał z publicznie dostępnego narzędzia AI do fałszowania głosu i tak wygenerowaną próbką obszedł zabezpieczenia w banku.
https://www.vice.com/en/article/dy7axa/how-i-broke-into-a-bank-account-with-an-ai-generated-voice
2. NSA opracowało rady dla pracowników zdalnych
Materiał dość krótki, a kilka rad “chroni” przed mało prawdopodobnymi zagrożeniami. Ale zapoznać się warto.
⚠️ Jeśli szukacie materiału, który kompleksowo podpowiada na co zwrócić uwagę podczas pracy zdalnej, jeśli chodzi o bezpieczeństwo, zarówno od strony pracownika jak i pracodawcy, to polecamy obejrzenie nagrania naszego webinaru. Z kodem “CYBEREXPRESS” dostęp uzyskacie aż o 99 PLN taniej. Kod będzie aktywny tylko do końca dnia, ale dostęp przydzielamy na 30 dni, więc na pewno zdążycie obejrzeć. ⚠️
3. Komisja Europejska każe pracownikom odinstalować TikToka, także z prywatnych urządzeń
Jeśli ktoś tego nie zrobi, niebawem straci dostęp do służbowej poczty i komunikatora (Skype for Business). Podobne zakazy już jakiś czas temu wprowadziła administracja w USA. Powodem tej decyzji jest obawa o bezpieczeństwo danych osób, które korzystają z TikToka, choć my dodalibyśmy, że także o rozum i godność człowieka.
https://www.bbc.com/news/technology-64743991
Na marginesie: zamyka się polskie biuro TikToka.
4. Jest zdjęcie chińskiego balona szpiegowskiego!
Ujawniono fotkę zrobioną przez pilota U-2S Dragon Fly (którego cień widać na balonie). The War Zone zrobił zoom&enhance i przeanalizował ładunek przenoszony przez balon:
https://www.thedrive.com/the-war-zone/our-best-look-yet-at-the-chinese-spy-balloons-massive-payload
A brać OSINT-owa namierzyła miejsce wykonania zdjęcia na podstawie rzeźby terenu:
5. Valve zastawiło pułapkę i zbanowało 40 000 graczy
A raczej oszustów, którzy cheatowali w Dota2… Valve wypuściło patcha-honeypota. Podłożyli dane w takim miejscu, jakie podczas normalnej rozgrywki nigdy nie jest odczytywane, ale jakie zostanie odczytane, jeśli ktoś korzysta z exploita (cheata).
https://www.dota2.com/newsentry/3677788723152833273
6. Wyciekły dane osób robiących testy DNA
Firma DNA Diagnostics Center zajmująca się testami DNA została zhackowana. Włamywacze wykradli dane ponad 2 milionów osób. Dane miały pochodzić z “zapomnianej” bazy, a firma mogła uniknąć ich wycieku, bo została powiadomiona dużo wcześniej, że w jej sieci dzieje się coś niedobrego. Ale nie zareagowała.
No cóż, w takiej sytuacji rekomendujemy poszkodowanym zmianę swojego DNA na nowe. A nie, czekaj…
https://gizmodo.com/dna-testing-diagnostics-center-leaked-data-forgot-1850140233
7. Exploit na Fortineta wykorzystywany do ataków
W 4 wydaniu CyberExpressu pisaliśmy o dziurach w urządzeniach Fortinet i zachęcaliśmy do ich patchowania. Jeśli nas nie posłuchaliście, to teraz macie problem, bo exploit został upubliczniony i już jest aktywnie wykorzystywany do ataków.
https://www.horizon3.ai/fortinet-fortinac-cve-2022-39952-deep-dive-and-iocs/
8. Magiczna gumka od Google usunie niechciane osoby ze zdjęcia
Już nie trzeba będzie uczyć się Photoshopa, żeby kogoś usunąć ze zdjęcia!
https://blog.google/products/photos/magic-eraser-android-ios-google-one/
9. Kopał kryptowaluty w szkole
Kolejna historia człowieka, który kradł prąd pod swoją farmę koparek kryptowalutowych. Tym razem schował je w szkole, za ścianą z taśmy klejącej…
https://apnews.com/article/massachusetts-c59f30e1736c7409e41357f1ae2e7b93
10. Policjant wysłał służbowe pliki na prywatną skrzynkę
Jeden policjant wysłał temu drugiemu policjantowi służbowe dane dotyczące zabezpieczenia wizyty Bidena na prywatną skrzynkę. Wszyscy opisują ten incydent w charakterze skandalu i śmieją się z policji. A my tym razem na przekór innym napiszemy: brawa dla tych funkcjonariuszy (lub cywilów) z IT KGP, którzy ten wyciek wykryli. To pokazuje, że ktoś tam tego ich LOTUS-a jednak monitoruje. I dobrze.
https://wiadomosci.radiozet.pl/polska/dokumenty-z-zabezpieczenia-wizyty-bidena-na-prywatnej-skrzynce-policjanta-z-ochoty
PS. Kto wie, dlaczego ten temat umieściliśmy za poprzednim? ;P Odpiszcie mailowo. Dla 3 pierwszych osób, które udzielą poprawnych odpowiedzi, podeślemy niebezpieczne gażety :)
11. Ruskie radiostacje zhackowane
Ktoś nadał fałszywy komunikat alarmu bombowego i spowodował że Rosjanie ruszyli do schronów. I bardzo dobrze, niech poczują na sobie terror, jaki ich kraj stosuje przeciwko innym.
12. Raporty
Tym razem, ze względu na dzisiejszą rocznicę, polecamy podsumowanie roku cyberoperacji związanych z wojną w Ukrainie od CERT Europa. I pozostając w temacie, zacytujmy (bardzo odkrywczy :D) wniosek Holendrów, że “nie wszystkie ataki Rosjan są znane opinii publicznej…” 🙄
A jak komuś mało analiz “cyberwojennych” to tu kolejna analiza, od Aspen Institute.
* * *
Tyle na dzisiaj. Tym razem ankiety nie będzie, bo wciąż aktywna jest ankieta z poprzedniego wydania CyberExpressu. Niewiele osób oddało głos, więc zachęcamy do kliknięcia tu, przescrollowania i zagłosowania! Inaczej inni wybiorą za Was ;P
Bezpiecznego weekendu!
Слава Україні!