MS wprowadził w Skype funkcję grup, natomiast Windowsie, poprzez One Drive jest możliwość udostępniania plików. Obiektywnie są to dobre i przydatne rozwiązania, ale... No właśnie - ale!
W Skype użytkownik może być dodawany do grup bez konieczności wyrażenia zgody na to, co skrzętnie wykorzystują spamerzy. Co jest najgorsze, że to w opcjach programu nie ma możliwości wyłączenia tego dla grup. Prawdopodobnie za zablokowanie tej funkcji odpowiada opcja zezwolenia na połączenia tylko od kontaktów, ale jeszcze nie udało mi się tego potwierdzić (na logikę służy ona do czego innego).
Natomiast udostępnianie plików w Windowsach domyślnie działa na tej zasadzie, że udostępniając pliki domyślnie zezwala się na ich edycję. Co jest najgorsze, tylko w wersji Pro Windowsa da się zmienić domyślne ustawienie na udostępnianie tylko do wglądu.
Dziwi mnie, że takie rzeczy jeszcze są możliwe i że nikt w Microsofcie tego nie zmienił w kilka dni/tygodniu po wdrożeniu tych funkcji. Jak by nie patrzeć, mogą one mieć negatywne konsekwencje związane z bezpieczeństwem użytkowników.
W Polsce nie funkcjonuje skuteczny system ochrony ludności. Organy odpowiedzialne za realizację zadań z zakresu zarządzania kryzysowego oraz obrony cywilnej nie stworzyły adekwatnych do występujących zagrożeń struktur, nie wdrożyły skutecznych procedur oraz nie zapewniły niezbędnych zasobów, umożliwiających właściwe zarządzanie w przypadku wystąpienia sytuacji kryzysowych.
Z dniem 23 kwietnia 2022 r. weszła w życie ustawa z dnia 11 marca 2022 r. o obronie Ojczyzny (Dz.U. z 2024 r. poz. 248). Nowa ustawa uchyliła starą ustawę z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony Rzeczypospolitej Polskiej (Dz.U. z 2021 r. poz. 372, z późn. zm.), która w Dziale IV wyczerpująco regulowała problematykę obrony cywilnej. Nowa ustawa nie zawiera takich przepisów, i tym samym, obecnie w Polsce nie ma podstaw prawnych funkcjonowania obrony cywilnej[1].
No to chyba czas na inicjatywy oddolne. Co myślicie (poza #niedasie)?
Jeszcze jeden post w temacie xz/sshd, a także wcześniejszej sprzedaży "Simple Mobile Tools".
Dawno temu, nauczono mnie ważnej zasady bezpieczeństwa w IT: kiedy grożą ci przemocą, ulegnij. Życie i zdrowie twoje i twojej rodziny jest ważniejsze niż jakikolwiek projekt wolnego oprogramowania, nad którym pracujesz. Wielu ludzi będzie cię obwiniać, ale ci naprawdę ważni zrozumieją.
Ale co, jeśli przed twoim nosem wisi marchewka, a nie kij? Co, jeśli ktoś oferuje ci pieniądze w zamian za "zdradę"? Powinieneś się opierać czy ulec?
Lecz czy nie powinieneś spodziewać się kija na drugim końcu? Czy nie uderzy cię wówczas, kiedy odrzucisz marchewkę? Wszak czy pieniądze nie są po prostu "cywilizowanym" sposobem umywania rąk od implikowanej groźby przemocy?
A co, jeżeli naprawdę potrzebujesz tych pieniędzy? Jeżeli z trudem wiążesz koniec z końcem, a odrzucenie marchewki jest kijem samo w sobie?
Cóż, nie sugeruję, że w #Gentoo spotka mnie taka sytuacja (sytuacja łapówki; brak dochodu znam aż za dobrze), ale naprawdę nie wiedziałbym jak postąpić. I jestem w stanie zrozumieć każdego, kto przyjąłby te pieniądze.
A morał z tego taki: dopóki ludzie będą wykorzystywać twórców wolnego oprogramowania jako darmową siłę roboczą, dopóty nie będą mieli prawa się dziwić, że istotne dla nich projekty są sprzedawane albo niszczone od środka.
2024-03-19, ogłoszono dwie dziury bezpieczeństwa na liście mailingowej, poświęconej problemom bezpieczeństwa Pythona: "quoted zip-bomb" i "TemporaryDirectory symlink dereference during cleanup". Obie miały dotykać wszystkich aktualnych wydań CPythona.
Tego samego dnia, wydano nowe wersje Pythona 3.10, 3.9 i 3.8. Co ciekawe, nie było wydań dla 3.11 i 3.12.
2024-04-02, w końcu otagowano Pythona 3.11.9. Początkowo, podpis dla archiwum się nie sprawdzał. Dziś już jest OK, ale wydania dalej nie ogłoszono. Co jednak najbardziej mnie zaskoczyło, to brak poprawek dla dwóch ogłoszonych wcześniej problemów! Czyżby nieudane wydanie?
Przyjrzałem się sprawie bliżej… i okazało się, że oba problemy były już poprawione w poprzednim wydaniu 3.11.8 (i 3.12.2), więc ogłoszenie było błędne. Wzdych.
W najnowszym odcinku „ICD Weekend” opowiadamy o problemach ze skanowaniem twarzy, zwodniczych praktykach wielkich korporacji i o nowościach w świecie bezpieczeństwa. Zapraszamy do słuchania!
Zdaje się, że już wszyscy i ich babcie używają exploitu w xz/sshd, by szerzyć swoją agendę, więc i ja nie będę gorszy.
#Autotools to zły system budowania. Skryptu configure są absolutnie nieczytelne, więc nikogo nie powinno dziwić, że nikt nie zauważył złośliwego kodu — wszak nie różni się niczym od całej reszty tego bełkotu.
Statyczna konsolidacja i włączanie zależności są złe. Wiecie, dlaczego tak szybko udało się rozwiązać problem z liblzma? Bo wystarczyło cofnąć systemową bibliotekę do wcześniejszej wersji. Nie trzeba było przeszukiwać, łatać i wydawać na nowo setek projektów. Z #RustLang i Cargo nie byłoby tak łatwo.
Możecie winić #OpenSource za bycie niedofinansowanym i tym samym otwartym na tego rodzaju nadużycia w kluczowych projektach. Ale tak naprawdę żaden projekt IT nie jest w stanie być odpornym na poczynania złoczyńców o dostatecznych zasobach, a że przydarzyło się to xz, to tylko przypadek. Korpoprojekty też nie są bezpieczne, a tym bardziej własnościowe oprogramowanie z zamkniętym kodem źródłowym.
Tak więc: doceńcie Mesona, doceńcie dynamiczne ładowanie bibliotek, doceńcie dostawę oprogramowania przez dystrybucje, i rzućcie grosza wie… chciałem powiedzieć, devom open source.
„W Sosnowcu o bezpieczeństwo na ulicach mają zadbać ochroniarze. Policjanci już nie dają rady. Zwłaszcza nocą. Chodzi o poczucie bezpieczeństwa wśród mieszkańców. Rzecznik Urzędu Miasta zdradził, o które ulice chodzi.“
🫣
„Godna zaufania” sztuczna inteligencja w Firefoxie, walka Biedronki z Lidlem – ICD Weekend #13
Michał i Ola opowiadają o technologii i prawie, uwzględniając kwestie prywatności i bezpieczeństwa. W tym odcinku m.in. doręczenia pism sądowych poprzez komentarz do transakcji sieci Bitcoin, kolejne wariacje wykorzystania AI, walka marketingowa Biedronki z Lidlem.
Japonia i Niemcy zawarły umowę o wzajemnym zaopatrzeniu wojskowym
ACSA są elastyczną formą, więc pozwalają na szybkie reagowanie na zmianę sytuacji. Przy tym wysyłają jasny sygnał do Pekinu, bo przecież nie ma wątpliwości, że chodzi tutaj o Pekin i jego ambicje.
Nowy odcinek ICD Weekend już dostępny! Technologiczny postęp: ekrany w lodówkach sklepowych, blue screeny w samochodach - ICD Weekend #8
Michał i Arek poruszają nowinki ze świata technologii, prywatności i bezpieczeństwa. W tym odcinku m.in.: aktualizacje psujące pojazdy i urządzenia, cyfrowy skimming kart płatniczych oraz ataki za pomocą protokołu RDP.
Wygląda na to że firma Newag tak budowała pociągi aby się psuły jak wykryją naprawę w serwisach firm trzecich.
To tak na wypadek gdyby nie wygrali przetargu na serwis.
Od niedawna CERT Polska ma nowy, bezpłatny, łatwy numer do powiadamiania o scam/próbach oszustwa/wyłudzeniach:
8080
Co robimy, jak zidentyfikujemy sms ze scammem?
Kopiujemy treść i wysyłamy sms na 8080.
Efekt na obrazku 1.
Co to daje?
Na obrazku 2 wynik działania przeglądarki z włączonym #SafeBrowsing.
Na obrazku 3 wynik działania przeglądarki z wyłączonym SafeBrowsing (bo to nadal Google), ale z włączonym #dns od dostawcy europejskiego dns0.eu, współpracującego z CERT krajów członkowskich Unii Europejskiej. Nazwa nie jest rozwijana, strona się nie załaduje.
Hej czy są tu jacyś eksperci od #Docker? Jeden z Czytelników mojego #blog ma pytanie, na które nie jestem w stanie udzielić mu odpowiedzi. Prośba o #pomoc! 🥺
@dQdSoYqXIIx Szukasz rozwiązania na router w sieci domowej?
Niezależnie od urządzenia, czy to router, komputer czy telefon z internetem mobilnym dobrze jest zacząć od ustawienia dns np. na europejski https://dns0.eu/pl (zero, nie duże O).
W ramach tego projektu współpracują organizacje CERT z unijnych krajów członkowskich, i on zabezpiecza m. in. przed zgłoszonymi im niebezpieczeństwami, scamem, "złymi domenami" itd. Więcej info na stronie.
"Starszym bratem" tej usługi, oferowanym przez jej fundatorów jest NextDNS.io
On dodatkowo jest konfigurowalny i potrafi blokować reklamy już na poziomie dns. Do 300 000 zapytań bezpłatnie (starcza pi razy drzwi na miesiąc na 2 urządzenia), wersja płatna bez ograniczeń to 9zł/mies.
Warto też poczytać stronę polskiego CERT: cert.pl
Temat zabezpieczania prywatności jest bardzo szeroki. Nie da się "trochę" dbać o prywatność. Pytaj o konkrety, jak dodasz hashtag #FediPomoc to pewnie szybciej ktoś zobaczy Twoje pytania.
Cloudflare reklamuje się jako dostawca zabezpieczeń, ale powoduje więcej problemów, niż rozwiązuje.
Można ustalić jakie ktoś ma hasło, bazując wyłącznie na odgłosach stukania tej osoby w klawiaturę. Na odległość (np. podczas wideorozmowy przez Zooma).