Dzi\u015b zaczynamy pozytywn\u0105 informacj\u0105 – unijne artyku\u0142y 11 i 13 zosta\u0142y odrzucone! Dalej nowe ataki na IoT, obowi\u0105zkowy wyciek danych, torrenty, Fortnite i b\u0142\u0105d w systemie rezerwacji lotniczych.<\/p>\n
<\/p>\n
<\/a>1. Nowe unijne dyrektywy nie wyczyszcz\u0105 wynik\u00f3w Google<\/b><\/p>\n Dobre wie\u015bci dla \u015bledz\u0105cych losy unijnych artyku\u0142\u00f3w 11 i 13. Dyskusyjne nakazy restrykcyjnego filtrowania tre\u015bci wgrywanych do sieci mog\u0142y – pod pretekstem ochrony praw autorskich – znacz\u0105co utrudni\u0107 europejskim internautom dost\u0119p do wielu zasob\u00f3w online. Tymczasem a\u017c <\/span>11 kraj\u00f3w odrzuci\u0142o obecne brzmienie artyku\u0142\u00f3w<\/span><\/a>, a planowane na wczoraj ostateczne g\u0142osowanie w sprawie ich przyj\u0119cia si\u0119 nie odby\u0142o. Przygotowuj\u0105c si\u0119 do ich ewentualnego wprowadzenia Google testowa\u0142o nowy, spe\u0142niaj\u0105cy unijne wymogi algorytm wyszukiwania, po zastosowaniu kt\u00f3rego wyniki nie zawiera\u0142y m.in. tytu\u0142\u00f3w, grafik ani aktualnych informacji. Cytuj\u0105c pracownika Google: \u201cwyniki wyszukiwania wygl\u0105daj\u0105 jak strona, kt\u00f3ra nie wczyta\u0142a si\u0119 prawid\u0142owo\u201d. Tre\u015bci zwracane przez wyszukiwark\u0119 musia\u0142aby bowiem przej\u015b\u0107 filtr \u201cw\u0142asno\u015bci praw autorskich\u201d, kt\u00f3ry w uproszczeniu dopuszcza kompletny wynik jedynie dla pierwszego lub zastrze\u017conego miejsca wyst\u0105pienia danej tre\u015bci (obrazka, tekstu, utworu) w sieci. Generowa\u0142oby to du\u017cy problem zwi\u0105zany z niemo\u017cliwo\u015bci\u0105 cytowania\/przytaczania\/wykorzystywania cudzych tre\u015bci, na kt\u00f3rych swe dzia\u0142anie opiera ogromna cz\u0119\u015b\u0107 internetowego biznesu, ale te\u017c os\u00f3b i organizacji dzia\u0142aj\u0105cych non profit. Wydaje si\u0119, \u017ce chwilowo tego unikniemy.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>2. Ekologiczne, ale dziurawe: trzy podatno\u015bci w \u0142adowarkach samochod\u00f3w<\/strong><\/p>\n Firma Schneider Electric EVlink Parking za\u0142ata\u0142a trzy r\u00f3\u017cne b\u0142\u0119dy w produkowanych \u0142adowarkach samochod\u00f3w elektrycznych, pozwalaj\u0105ce wstrzyma\u0107 ich dzia\u0142anie. Jeden z b\u0142\u0119d\u00f3w dawa\u0142 dost\u0119p do webowego interfejsu urz\u0105dzenia, pozwalaj\u0105c w nim wprowadza\u0107 znaczne zmiany, w\u0142\u0105cznie z wywo\u0142ywaniem i aktywacj\u0105 innych podatno\u015bci bezpiecze\u0144stwa. Inny dawa\u0142 atakuj\u0105cym uprzywilejowany dost\u0119p do maszyny, dzi\u0119ki czemu mogli prze\u0142\u0105cza\u0107 j\u0105 w tryb rezerwacji i blokowa\u0107 dost\u0119p podje\u017cd\u017caj\u0105cym klientom. Nast\u0119pnie przest\u0119pcy mogli podjecha\u0107 w\u0142asnym samochodem \/ podstawi\u0107 w\u0142asny port symuluj\u0105cy gniazdo pojazdu i podczas jego \u0142adowania wy\u0142\u0105czy\u0107 zabezpieczenie chroni\u0105ce sam kabel. Dzi\u0119ki temu mo\u017cna by\u0142o przerwa\u0107 \u0142adowanie i zwyczajnie ukra\u015b\u0107 odbezpieczony element. A\u017c chcia\u0142oby si\u0119 napisa\u0107, \u017ce razem z technologi\u0105 ewoluuj\u0105 umiej\u0119tno\u015bci z\u0142omiarzy – kradzie\u017c takiego kabla to jednak wy\u017csza szko\u0142a jazdy ni\u017c wyci\u0119cie kolejowej szyny. A ju\u017c zupe\u0142nie powa\u017cnie: wzrost popularno\u015bci \u0142adowarek na pewno przyniesie kolejne pr\u00f3by ich hakowania, dlatego przed producentami du\u017ce wyzwanie. Je\u015bli z takich korzystacie, a kt\u00f3ra\u015b jest ci\u0105gle niedost\u0119pna, to na wszelki wypadek warto podjecha\u0107 na inn\u0105.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>3. Ro\u015bnie ryzyko cyberatak\u00f3w na systemy zarz\u0105dzania budynkami<\/strong><\/p>\n Kilka lat temu inteligentne budynki mog\u0142y si\u0119 wydawa\u0107 egzotyczn\u0105 odmian\u0105 rosn\u0105cego trendu IoT. Dzi\u015b staj\u0105 si\u0119 norm\u0105. Dostawcy oferuj\u0105 kolejne, coraz bardziej z\u0142o\u017cone komponenty domowych system\u00f3w, a deweloperzy celuj\u0105cy w zamo\u017cniejszych klient\u00f3w buduj\u0105 kolejne \u201cinteligentne\u201d osiedla. Niestety to, co dla u\u017cytkownika i mieszka\u0144ca zwyczajnie wygodne, mo\u017ce nie by\u0107 r\u00f3wnocze\u015bnie ca\u0142kowicie dla niego bezpieczne. Eksperci znale\u017ali dwie luki w systemie Building Automation Systems (BAS), a konkretnie jego programowalnym kontrolerze logicznym. W\u015br\u00f3d nich by\u0142a m.in. luka w szyfrowaniu hase\u0142 u\u017cytkownik\u00f3w pozwala\u0142a agresorom wykorzystywa\u0107 ich dane do faktycznego zarz\u0105dzania systemem. Wykorzystuj\u0105c j\u0105 do swoich dzia\u0142a\u0144 cyberprzest\u0119pcy mog\u0105 m.in. sabotowa\u0107 systemy klimatyzacyjne doprowadzaj\u0105c np. do przegrzewania i awarii serwer\u00f3w w centrach danych lub te\u017c wy\u0142\u0105cza\u0107 fizyczne zabezpieczenia dost\u0119pu do konkretnych budynk\u00f3w czy pomieszcze\u0144 i \u2026 bez problemu tam wchodzi\u0107 pod nieobecno\u015b\u0107 prawnych w\u0142a\u015bcicieli i lokator\u00f3w. Alarmuj\u0105cy wydaje si\u0119 fakt, \u017ce wi\u0119kszych i mniejszych b\u0142\u0119d\u00f3w w systemach BAS specjali\u015bci wykrywaj\u0105 sporo, ale producenci nie aktualizuj\u0105 usterek nawet przez kilka lat od wp\u0142yni\u0119cia zg\u0142oszenia. C\u00f3\u017c, zapewne do czasu jakiego\u015b wyj\u0105tkowo spektakularnego cyberataku.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>4. Build Your Own Botnet – potencjalnie gro\u017ane \u015brodowisko open source<\/strong><\/p>\n Specjali\u015bci bezpiecze\u0144stwa przechwycili prawdopodobnie pierwszy atak wykorzystuj\u0105cy otwarte \u015brodowisko BYOB. Tym samym narz\u0119dzia utworzonego w dobrej wierze (testowania i wzmacniania obronno\u015bci przed atakami) \u015brodowiska zosta\u0142y wykorzystane wbrew intencjom jego autor\u00f3w. <\/span><\/p>\n BYOB nie wymaga fachowej wiedzy i bazuje na coraz popularniejszych, przejrzystych modu\u0142ach plug-and-play, pozwala wi\u0119c zaprojektowa\u0107 i przeprowadzi\u0107 w\u0142asny cyberatak nawet zupe\u0142nym nowicjuszom. Ofiary tej wykrytej infekcji otrzyma\u0142y wiadomo\u015bci mailowe z za\u0142\u0105cznikiem w HTML. W jego tre\u015bci umieszczono link do phishingowej witryny udaj\u0105cej ekran logowania Office 365<\/a> oraz z\u0142o\u015bliwy skrypt automatycznie pobieraj\u0105cy inne zagro\u017cenia na komputer nie\u015bwiadomego u\u017cytkownika. Trudno zak\u0142ada\u0107, by tw\u00f3rcy BYOB oddaj\u0105c internautom gotow\u0105 platform\u0119 do tworzenia botnet\u00f3w w swojej naiwno\u015bci nie przewidzieli takiego rozwoju sytuacji. Czy us\u0142uga pozostanie wi\u0119c og\u00f3lnodost\u0119pna? Czas poka\u017ce.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>5. Wa\u017cna aktualizacja Drupala<\/strong><\/p>\n Producent wykry\u0142 i za\u0142ata\u0142 dwie podatno\u015bci znalezione w dodatkowych funkcjonalno\u015bciach platformy. Pierwszy b\u0142\u0105d dotyczy\u0142 biblioteaki PEAR Archive_Tar, pozwalaj\u0105c <\/span>na zdalne wykonanie kodu poprzez b\u0142\u0119dn\u0105 deserializacj\u0119 z\u0142o\u015bliwego archiwum TAR. <\/span>Druga usterka wykorzystywa\u0142a spos\u00f3b,<\/span>w jaki j\u0105dro Drupala przetwarza uniwersalne identyfikatory zasob\u00f3w (ang. Uniform Resource Identifier, URI) 'phar:\/\/’ podczas operacji na plikach. U\u017cytkownik musia\u0142 przekaza\u0107 specjalnie przygotowany ci\u0105g znak\u00f3w do podatnego na atak skryptu, by aktywowa\u0107 podatno\u015b\u0107 i m\u00f3c zdalnie wykonywa\u0107 z\u0142o\u015bliwy kod pozwalaj\u0105cy m.in. kasowa\u0107 dane u\u017cytkownika.<\/span> To pierwsze w 2019 r. aktualizacje Drupala, wi\u0119c je\u017celi wasz biznes wykorzystuje strony dzia\u0142aj\u0105ce w tej technologii doradzamy szybki update!<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>6. B\u0142\u0119dy bezpiecze\u0144stwa Fortnite pozwala\u0142y przejmowa\u0107 konta graczy<\/strong><\/p>\n Szereg podatno\u015bci w bij\u0105cej rekordy popularno\u015bci sieciowej strzelance Fortnite pozwala\u0142 nieuprawnionym osobom na przejmowanie kont graczy. Zg\u0142oszone producentowi luki pozwala\u0142y m.in. podgl\u0105da\u0107 zawarto\u015b\u0107 konta, a tak\u017ce pods\u0142uchiwa\u0107 i nagrywa\u0107 rozmowy graczy – r\u00f3wnie\u017c te prowadzone poza gr\u0105 (np. z domownikami), ale odbywane przy w\u0142\u0105czonej aplikacji. By przej\u0105\u0107 konto nieostro\u017cnego gracza wystarczy\u0142o sk\u0142oni\u0107 go do klikni\u0119cia w z\u0142o\u015bliwy link, kieruj\u0105c na starsz\u0105 subdomen\u0119 gry, podatn\u0105 na ataki typu SQL injection wykonywane za pomoc\u0105 techniki cross-site-scripting (XSS). Dodatkowo mechanizm pojedynczego logowania do wszystkich us\u0142ug zwi\u0105zanych z aplikacj\u0119 (tzw. single sign-on – SSO) zawiera\u0142 parametr przekierowa\u0144 mog\u0105cy skierowa\u0107 u\u017cytkownik\u00f3w na dowoln\u0105 domen\u0119 zawieraj\u0105c\u0105 \u201c*.epicgames.com\u201d. To naturalnie nie pierwsze wykryte luki i ataki (tym razem jedynie potencjalne) na aplikacj\u0119, kt\u00f3ra przynios\u0142a ju\u017c ponad 1 mld dolar\u00f3w przychodu z samych mikrop\u0142atno\u015bci. Producent standardowo doradza graczom zmian\u0119 hase\u0142 na silniejsze.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>7. Wirus Fake Movie: kolejny pow\u00f3d, by omija\u0107 pliki z torrent\u00f3w<\/strong><\/p>\n Mimo prawnych batalii w\u0142a\u015bcicieli praw autorskich z serwisami bezp\u0142atnie udost\u0119pniaj\u0105cymi torrenty, te ostatnie wci\u0105\u017c nie\u017ale funkcjonuj\u0105. Tak przynajmniej uwa\u017caj\u0105 cyberprzest\u0119pcy, kt\u00f3rzy wci\u0105\u017c wykorzystuj\u0105 apetyt internaut\u00f3w na gry, programy i multimedia dost\u0119pne bez op\u0142at. W serwisie The Pirate Bay pojawi\u0142 si\u0119 z\u0142o\u015bliwy program udaj\u0105cy plik wideo z zesz\u0142orocznym filmem \u201cDziewczyna w sieci paj\u0105ka\u201d. Jego pobranie i uruchomienie aktywowa\u0142y rzeczywiste rozszerzenie pliku (.lnk) wykonuj\u0105c komend\u0119 PowerShell. W efekcie wirus modyfikowa\u0142 wyniki wyszukiwania has\u0142a m.in. w Google, Wikipedii czy popularnym rosyjskim Yandex.<\/span><\/p>\n Przyk\u0142adowo w Google wskazane przez cyberprzest\u0119pc\u00f3w tre\u015bci mog\u0142y ukazywa\u0107 si\u0119 w topowych wynikach wyszukiwania mimo, \u017ce nie by\u0142y zwi\u0105zane ze sprawdzanym has\u0142em. Aby uchroni\u0107 si\u0119 przed wykryciem, wirus wy\u0142\u0105cza\u0142 domy\u015bln\u0105 us\u0142ug\u0119 Windows Defender modyfikuj\u0105c odpowiednie wpisy rejestru systemu. Dodatkowo w przypadku wykrycia Firefoxa zagro\u017cenie samo instalowa\u0142o dodatek \u201cFirefox protection\u201d, z kolei Chrome\u2019a hakowa\u0142o modyfikuj\u0105c jego wewn\u0119trzn\u0105 us\u0142ug\u0119 Media Router. Po co to wszystko? Wydaje si\u0119, \u017ce celem przest\u0119pc\u00f3w jest wy\u0142udzanie kryptowalut maskowanych jako datki wspieraj\u0105ce dzia\u0142anie wybranych stron – to z takich darowizn utrzymuje si\u0119 m.in. Wikipedia, na kt\u00f3r\u0105 zagro\u017cenie wstawia\u0142o fa\u0142szywy baner informuj\u0105cy, \u017ce teraz mo\u017cna wspiera\u0107 serwis r\u00f3wnie\u017c wp\u0142atami w kryptowalutach.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>8. 22 mln cudzych hase\u0142 poczty do wzi\u0119cia w serwisie MEGA<\/strong><\/p>\n Haveibeenpwned.com to popularna witryna pozwalaj\u0105ca sprawdzi\u0107, czy dost\u0119p do naszej skrzynki mailowej nie zosta\u0142 przez kogo\u015b bezprawnie zaw\u0142aszczony. Po lekturze koniecznie sprawd\u017acie w niej swoje najcz\u0119\u015bciej u\u017cywane adresy – zw\u0142aszcza firmowe\u2026 bo kilka dni temu w bazie serwisu pojawi\u0142a si\u0119 najwi\u0119ksza jak dot\u0105d paczka wykradzionych danych. W przesz\u0142o 87 gigabajtach informacji zawarto 773 miliony unikalnych adres\u00f3w mailowych i 22 mln pocztowych hase\u0142, z kt\u00f3rych cz\u0119\u015b\u0107 zosta\u0142a \u201czdehashowana\u201d, czyli skonwertowana do zwyczajnego tekstu. W pakiecie zauwa\u017conym i ca\u0142y czas dost\u0119pnym na r\u00f3\u017cnych hakerskich formach zebrano dane wykradzione z ponad 2000 r\u00f3\u017cnych baz. Je\u017celi na zapytanie o swoje adresy we wspomnianej us\u0142udze zobaczycie komunikat \u201cOh no \u2014 pwned!\u201d mo\u017ce to oznacza\u0107, \u017ce Wasze dane r\u00f3wnie\u017c trafi\u0142y do wspomnianej paczki wci\u0105\u017c hostowanej w serwisie wymiany plik\u00f3w MEGA. Tak czy inaczej – warto zmieni\u0107 has\u0142o od razu.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n <\/a>9. B\u0142\u0105d systemu rezerwacji bilet\u00f3w lotniczych problemem 141 przewo\u017anik\u00f3w<\/strong><\/p>\n Blisko po\u0142owa \u015bwiatowych przewo\u017anik\u00f3w (m.in. Lufthansa) mog\u0142a zosta\u0107 dotkni\u0119ta krytyczn\u0105 podatno\u015bci\u0105 system\u00f3w bezpiecze\u0144stwa w systemie Amadeus s\u0142u\u017c\u0105cym do rezerwacji bilet\u00f3w online. Pozwala\u0142a ona zdanie modyfikowa\u0107 m.in. dane dotycz\u0105ce podr\u00f3\u017cy i punkt\u00f3w w programie lojalno\u015bciowym przewo\u017anika, w efekcie przyznaj\u0105c przest\u0119pcom znaczne benefity. Po zam\u00f3wieniu lotu w niechronionym szyfrowaniem mailu pasa\u017cer otrzymywa\u0142 unikalny numer PNR (Passenger Name Record) oraz link do sprawdzania statusu rezerwacji. Wystarczy\u0142o jednak zmieni\u0107 warto\u015b\u0107 parametru „RULE_SOURCE_1_ID” zawartego w linku, a system wy\u015bwietla\u0142 dane osobowe i szczeg\u00f3\u0142y podr\u00f3\u017cy innych pasa\u017cer\u00f3w. Wykorzystuj\u0105c te informacje (np. numer lotu i nazwisko pasa\u017cera), przest\u0119pca mo\u017ce uzyska\u0107 dost\u0119p do konta ofiary w systemie obs\u0142ugi klienta i wprowadzi\u0107 na nim praktycznie dowolne zmiany – od zmiany miejsca w samolocie i preferencji dotycz\u0105cych posi\u0142k\u00f3w, przez odbi\u00f3r punkt\u00f3w z programu lojalno\u015bciowego po zmian\u0119 adresu email i nr telefonu, a\u017c po odwo\u0142anie lub zmian\u0119 lotu. Izraelski przewo\u017anik ELAL, na kt\u00f3rego systemie sprawdzono i dowiedziono skuteczno\u015bci ataku ju\u017c podj\u0105\u0142 kroki w celu zwi\u0119kszenia poziomu ochrony, podobnie jak dostawca systemu Amadeus, kt\u00f3remu zg\u0142oszono podatno\u015b\u0107.<\/span><\/p>\n \u0179r\u00f3d\u0142o newsa [<\/span>EN<\/span><\/a>]<\/span><\/span><\/p>\n