Kojarzę jakiś opis typu "posiadanie telefonu zawsze przy sobie pozwala dokładnie sprecyzować, kto gdzie znajduje się w domu/firmie, jaki ma rozkład dnia, przebywania w pomieszczeniach itp.". Pamiętacie może, czego to dotyczy i na ile takie zagrożenie jest realne? Potencjalne niebezpieczeństwo, czy ktoś już to kiedyś wykorzystał? A jeśli tak - to kto i do czego? Klasyczni włamywacze okradający domki, konkurencja jakiejś firmy, obce wywiady?
Po zobaczeniu cudownej bramki w meczu Wisła Puławy - drugi zespół Lecha Poznań chciałem sprawdzić coś na stronie internetowej Wisły Puławy. Niestety, nie działa, co się zdarza (a w weekend nie oczekuję, że ktoś to naprawi), ale... Jezu, nie róbcie tak. Zabezpieczajcie ekrany o błędach na serwerze produkcyjnym.
@polamatysiak przewodniczy drugiemu posiedzeniu Zespołu ds. Walki z Wykluczeniem Transportowym, poświęconemu niejasnościom wokół problemów z pojazdami Impuls.
Nieustająco podziwiam Polę za zachowywanie spokoju podczas wypowiedzi Newagu, bo ich ekipa doskonale podnosi ciśnienie, kawa nie jest potrzebna.
Osoby bardziej biegłe w IT uprzedzam, że to raczej jest NSFW, bo podczas oglądania będziecie używać wyrazów, zwłaszcza gdy pojawi się magiczna "podatność". Żeby nie było: ostrzegałem.
Wyjaśni mi ktoś, o co chodzi z tym spamem/spambotami w fediwersum? Jak to się objawia? Tak na logikę - w feedzie nie ma reklam, widzi się tylko tooty z zaobserwowanych kont 🤔
O Predatorze, europejskim konkurencie Pegasusa, słyszałam już wcześniej - gdy się składa Weekendową Lekturę, to się takich rzeczy nie pomija. Ale @mateuszchrobok dobrze podsumował dostępne na ten temat informacje w swoim najnowszym filmie:
Niesławny Usecrypt reklamował się swego czasu jako komunikator, który skutecznie wykrywa Pegasusa na telefonach. Dlaczego mijał się z prawdą i dlaczego w zasadzie żadna aplikacja nie może zaoferować takiej funkcji, wyjaśnił w obszernym artykule @InfZakladowy (tekst jest sprzed paru lat, ale nie stracił w tej kwestii na aktualności)
Twarzoksiążka przyatakowała mnie dziś postem zirytowanego książkoczytacza, który w trakcie lektury natknął się na sformułowanie "zły aktor" będące kalką z angielskiego, oznaczające osobę lub grupę dokonującą czynów przestępczych w internecie. Też mi ten "aktor" nie pasuje, stąd pytanie: jak sami tłumaczycie frazy "bad actor", "threat actor", "malicious actor"?
Rok temu Naczelny Sąd Administracyjny uchylił decyzję UODO nakładającą karę na Morele.net za wyciek danych. Urząd jeszcze raz przeanalizował sprawę i jeszcze raz sklep ukarał
Tego jeszcze nie grali - pojawił się deepfake z Jerzym Ziębą, trudny do odróżnienia od nagrań oryginalnych choćby dlatego, że ich autor już wcześniej wygadywał bzdury na różne okołozdrowotne tematy
Parę słów o tym, dlaczego CISA dała amerykańskim agencjom federalnym tylko 48 godz. na uporanie się z lukami w VPN-ach firmy Ivanti. Otóż luki pozwalające przejąć nad nimi kontrolę dodała do swego arsenału wspierana przez chiński rząd grupa APT, którą Volexity identyfikuje jako UTA0178, a Mandiant jako UNC5221.
Ataki zaczęły się na początku grudnia i przybrały charakter globalny (przejęte urządzenia znajdują się też w Polsce, choć w porównaniu z USA niewiele). W styczniu badacze przeanalizowali wykorzystanie CVE-2023-46805 i CVE-2024-21887. Pierwsza z wymienionych luk pozwala na ominięcie uwierzytelniania. Druga umożliwia wstrzyknięcie dowolnego polecenia w panelu webowym takich urządzeń, jak Ivanti Connect Secure i Ivanti Policy Secure. Atakujący posłużyli się nimi, by wykraść dane, za pomocą których logowali się później do wewnętrznych systemów przez RDP/SMB/SSH.
Ledwo Ivanti wydało stosowne poprawki, wykryto jeszcze dwie luki. CVE-2024-21888 umożliwia podniesienie poziomu uprawnień, a CVE-2024-21893 jest błędem po stronie serwera, który daje dostęp do określonych zasobów bez uwierzytelniania. Drugą z wymienionych luk zainteresowali się już przestępcy.
Funkcja przypomnienia hasła jest bardzo specyficzna - z jednej strony niepozorna, z drugiej wymagająca dobrych zabezpieczeń, a więc szalenie ważna. Dlatego jest to też fragment systemu, na których uwagę zwracają audytorzy cyberbezpieczeństwa. A warto powiedzieć, że nie trzeba dużo, aby poprawnie ochronić tę część procesu - wystarczy trzymać się reguł, które wymienia choćby Niebezpiecznik.
W jaki sposób Meta wprowadza szyfrowanie e2e do facebookowego Messengera, co to jest Labyrinth i czy możemy czuć się w pełni bezpieczni, korzystając dziś z tego komunikatora - wyjaśnia @mateuszchrobok
Tego jeszcze nie było - darmowy kurs kohortowy z podstaw bezpieczeństwa dla tych, którzy chcieliby się przekonać, czy pentesty to coś dla nich. Prowadzi @kacperszurek, więc jakość gwarantowana:
Uwierzytelnianie użytkowników to jedna z najczęściej wykorzystywanych funkcji aplikacji webowych (i nie tylko), więc to normalne, że powstało kilka powszechnie szanowanych rozwiązań, wśród których można wymienić sesje i tokeny. Czym się różnią ideowo oraz implementacyjnie?
Na Facebooku wszystko w normie - mimo zgłoszeń nikt scamowych stronek nie usuwa. Poniżej kilka przykładowych postów z fałszywych profili Lotniska Chopina w Warszawie, które rzekomo odsprzedaje "cały bagaż pozostawiony bez opieki przez ponad sześć miesięcy" i to "za jedyne 13 zł", bo w ramach akcji charytatywnej. Link prowadzi do ankiety wyłudzającej dane.