Nie znam się na tym, więc i ciężko mi to opisać własnymi słowami, ale jest #afera z cyklu #cyberbezpieczenstwo
Są ludzie, którzy zajmują się znajdowaniem podatności pozwalających na zdalny dostęp do urządzeń codziennego użytku. Klasyką gatunku jest włamywanie się na niezabezpieczone hasłem kamerki IP, swego czasu było głośno o milionach paneli fotowoltaicznych w Niemczech. Teraz swoimi odkryciami dzieli się publicznie człowiek, który był w stanie oglądać obraz z kamer w odkurzaczach DJI i jakichś wideoniańkach na całym świecie.
Pod tym linkiem autor opisuje swoje przygody z tymi odkryciami związane:
Jako laik jedyne co z tego wynoszę to: ustawiać wszędzie własne hasła i uważać jakie urządzenia z kamerami kupuje się, a jeśli już to czy na pewno są mi one potrzebne do życia. Czy urządzenie potrzebuje dostępu do internetu i czy mogę to wypiąć. Choć i to nie zawsze wystarczy, bo dużo producentów ma wywalone w ponoszenie kosztów na coś więcej niż zupełne minimum aby ich produkt działał.
@Szuuz_Ekleer Zmiana hasła nic nie da jak 'serwisowe' jest zahardkodowane ¯\_(ツ)_/¯
Aczkolwiek to podstawowa sprawa przy wpinaniu czegokolwiek do internetu..
Jeżeli ktoś kupując odkurzacz, potrzebuje takiego z kamerką i dostępem do internetu, to sam jest sobie winien. To samo z TV z kamerami, lodówki, itd. No i auta - auta też! Jeśli coś gromadzi dane o waszym życiu, to na 200% znajdą się chętni, żeby te dane przejąć.
Ludzie to gadżeciarze i jarają się takimi "nowoczesnymi" funkcjami, ale... To ma realnie negatywny wymiar, to nie jest żadna abstrakcja. UE jeszcze się broni, ale w Stanach jest wolna amerykanka. Producenci aut sprzedają dane o jeździe swych klientów (nie pytają o zgodę, bo licence agreement kliknięty) firmom ubezpieczeniowym. Producenci TV, lodówek, i innych urządzeń z kamerkami wysyłają życie swych klientów LLMom i też nikogo o zgodę nie pytają. Są tak bezczelni, że zgoda na wysyłanie danych jest domyślnie włączona w ustawieniach, albo w ogóle nie jest tam dostępna i też była zawarta w license agreememnt. Potrafią takie rzeczy dołączać razem ze upgrejdem softu i nawet jeśli ich n ie było, to pojawiają się w nowej wersji. Albo zmieniają produkt w usługę abonamentową, bez pytania o zgodę. Nie ma na nich bata, bo klimat polityczny jest taki, że agencje, które powinny to gnoić, zwyczajnie mają to w d⁎⁎ie.
Tego pojawia się już masa, czekam kiedy lobbyści zaczną się przebijać do europejskiego prawa. Polecam chętnym - jest już specjalne wiki, które gromadzi takie przypadki z całego świata:
@Evivalarte @TyGrySSek @Thomash80 ani nie AI, ani ustawka tylko oczywiście tik tok. To głupi trend, który ma niby umożliwiać chillerkę w wodzie z drinkiem w ręku...
@zuchtomek To jest ten moment, gdy z racji na użycie wizerunku prezydenta państwo Polskie powinno zrobić facebookowi wjazd na pełnej k⁎⁎⁎ie i zagrozić, że jeśli to się powtórzy jeszcze raz, to zablokują całego facebooka wpizdu jako miejsce gdzie prowadzona jest nielegalna działalność.
Według opisu brzmi jak backdoor dla różnych agencji niż bug, zapewne nie pierwszy taki i nie ostatni, "security" by obscurity.
Tak samo teraz chcą przepchnąć w UE kontrolę czatów i inne inicjatywy, nie tylko rząd będzie mieć do tego dostęp.
@Roark to jest tak naprawdę skandal, nie siedzę w świecie MS, ale po to jest szyfrowanie żeby tylko znający klucz mógł coś odszyfrować. Myślałem że BitLocker jest jednak odpowiednikiem takiego LUKSa itp, okazuje się że bliżej mu do Denuvo : >
@baklazan W produktach Microsoft zaszyte są luki i proste backdoory przeznaczone do łatwego dostępu dla służb takich jak NSA/CIA/FBI i inne. To nic nowego. Szyfrowanie BitLockerem to pic na wodę. Przy odpowiednim sprzęcie/programach można w łatwy sposób uzyskać dostęp do dysku/usunąć zabezpieczenie.
@dradrian_zwierachs już sobie zablokowali sami nie tylko GPS, ale też telefony i Internet. Najlepsze co możemy robić to wysyłać zabawki i finansowanie Ukrainie :)
Warszawskie OKE potwierdza wystąpienie luki bezpieczeństwa w systemie dla kandydatów na egzaminatorów
„Kontrabanda” dowiedziała się od Krzysztofa Lodzińskiego, dyrektora warszawskiego OKE, że luka bezpieczeństwa w systemie przeznaczonym dla kandydatów na egzaminatorów – o której mowa było w filmie dostępnym w serwisie YouTube na kanale „Jak zostać programistą” z 2 maja 2026 roku – rzeczywiście występowała.
To nie są identyczne usługi i raczej się uzupełniają. Bo masz też opcje otrzymania powiadomienia gdy ktoś np. użyje danych twoich rodziców. No i działają 24/7.
Kojarzycie raspberry pi? To dzisiaj będzie opowieść jak twórcy tego SBC zrobili własny system pod swój produkt i mają na niego wywalone. Jest on oznaczony na stronie jako zalecany, więc każdy nawet bez pojęcia o linux ma go zainstalowanego.
Rpi jako system bootowania jest oparny o gpu a nie cpu jak w większości komputerowego świata więc wymaga specjalne przygotowanej wersji dystrybucji linux. Architektura procesora nie jest problemem, tylko sam firmware.
Pierwszą styczność z tym sprzętem miałem w 2012 roku. Obecnie najstarszy działający egzemplarz mam z 2013 roku. Na początku system przygotowany przez twórców elektroniki bazował na debianie armel, który był pod armv4 a sbc miało procesor armv6.
W 2013 roku wydali własny zmodyfikowany debian armhf określony jako raspbian, z różnicą do debiana który był pod armv7. Systemy nie były ze sobą zgodne, ponieważ paczki skompilowane pod debiana armhf nie działały na raspbianie armhf z powodu braku instrukcji procesora.
Przy swoich projektach zauważyłem, że mają mocno wywalone na aktualizacje swojego systemu. Jedno czy 3 egzemplarze były do przeżycia przy ręcznej własnej kompilacji. Z debiana na którym system bazował nie dało się wziąć bo by nie działało.
Pracowałem w firmach które wykorzystywały to SBC do różnych rzeczy i tam przy efekcie skali już było odczuwalne. Trzeba było ogarniać samemu aktualizacje do softu i je utrzymywać.
Ten stan rzeczy trwał do 2020 roku aż wydali bety 64 bitowej wersji swojego systemu. Oczywiście dało się już wcześniej używać innej dystrybucji, bo te już 5 lat wcześniej ogarniały 64 bitowe procesory jak i samą kompatybilność ze sobą w 32 bitowych wydaniach dla tego SBC.
Od 2022 wydanie 64 bit stało się oficjalne. Jest to czysty debian arm64 ze zmodyfikowanym jądrem i firmware.
Zatem gdzie widzę problem? Minęło 12 lat odkąd pierwszy raz zauważyłem, że coś jest nie tak z aktualizacją oprogramowania, a tam nic się nie zmieniło. Od ponad tygodnia są dostępne w sieci exploity na 3 różne bugi w samym jądrze linux a oni podchodzą to tego tak: https://github.com/raspberrypi/linux/issues/7346
The next apt kernel will be 6.18 and is imminent, but we are just finalising testing.
Fajne podejście, nie? Cały świat się łata a oni podchodzą: robimy nowe rozwiązanie i testujemy, więc starego nie załatamy.
Jądro to nie jedyny problem np. ja kodowałem w php i wersji 8.2 obecnie nikt przez 3 lata nie zaktualizował w 32 bitowym wydaniu gdzie debian zrobił to już wielokrotnie.
W moim przypadku stare egzemplarze przerobiłem na alpine linux, gdzie dostarczają w miarę na bieżąco aktualizacje. Z częścią softu jest problem, ale można skompilować samemu. Lepsze to niż włam na urządzenie wystawione do internetu.
W przypadku komercyjnych rozwiązań, to duża część używało ubuntu już 10 lat temu ale tylko w przypadku nowszych płytek. Stare poszły w niepamięć. Kiedy był kryzys z dostępnością raspberry pi wybrali inne rozwiązania i obecnie te pewnie zastąpiły już SBC co do którego nie ma się pewności na poziomie bezpieczeństwa.
Od zawsze traktuję ten system jako Arduino do embedded linuxa albo quick start w tej dziedzinie, generalnie amatorskie użycie. Komercyjnie nikt tego nie używa i nie widzę ani powodu by używać, ani sensu.
Ile to zarobiłem na odsprzedaży "uszkodzonych" malin to moje
Firma zmieniała płytę główną w wyciskarkach do lodu na nowsza wersje płyty wraz z budowanym wyświetlaczem. Więc stare wg nich uszkodzone leciały do kosza.
A uszkodzenie polegało na tym że , były sprawne w 100% tylko soft zapisany na karcie nie chciał się wczytywać, bo karta potrafiła się zapisać w innym formacie i przez to maszyna nie działała.
Więc zaproponowałem darmowe pozbycie się elektroniki (za utylizację trzeba płacić).
Karty po łączeniu partycji I formacie miały pełną sprawność i szły od razu na allegro
A maliny to co najwyżej wytarłem z kurzu.
I szły w cenie dumpingowej na portalach.
Kart sprzedałem prawie 600
I podobną ilość malin po 350 sztuka.
Pandemia to był piękny czas na zarabianie pieniędzy
@30ohm przeanalizowałem to sobie. To nie jest mała luka. To jest wyrwa w systemie. Tutaj wykorzystywany jest mechanizm cache w ramie. Nie ma kolejkowania ani flag, po prostu co się dobije to pisze po buforze. Mechanizm działa tak że jeśli user jest w czasie odczytu pliku z bufora to można mu ten plik nadpisać w locie i wrzucić tam cokolwiek. To że w przykładzie użyli akurat crypto i podmienili uprawnienia na sudo to przykład. Cache nie jest synchronizowany. To jest haos w systemie. Co prawda statystycznie ryzyko że coś się wywali jest niewielkie, a tym bardziej że będzie tam bytecode do podnoszenia uprawnień przypadkowo - nie możliwe. Ale intencjonalnie wykorzystanie tego mechanizmu ściąga z systemu wszystkie zabezpieczenia na ten moment. I wiecie co... Ja gdybym to projektował to bym się domyślił że tak może być. I to nie wygląda na przypadkowe działanie. Ktoś specjalnie tak to zostawił. Coś takiego łatwo przejdzie review bo rewiewer nie analizuje architektóry, oni za zwyczaj sprawdzają czy kod jest czytelny i ładnie opisany.... Więc rozumiejąc te mechanizmy można przejąć pełną kontrolę nad systemem... I mało tego na ten kod będą patrzeć programiści i raczej nie zauważą problemu. AI też będzie pisał taki kod...
#cyberbezpieczenstwo
Dzwoni wczoraj telefon, odbieram i automat mówi że dzwonią z Binance i mój numer telefonu do dyspozycji kontem zostaje zmieniony. Więc się od razu rozlaczam i zgłaszam numer na CERT z godzina połączenia. Po kilku minutach dostaję SMS-a z banku że moje konto, karta l, iko i dostęp do strony banku zostaje zablokowany. No, taktycznie nic nie działa. No to dzwonię na infolinię banku żeby się dowiedzieć o co chodzi, odblokowują mi dostep, profilaktycznie zmieniam hasło, ale nie dowiedziałem się dlaczego zostało zablokowane. Czyżby z powodu tego zgłoszenia? Na koncie żadnych dziwnych ruchów nie było. Więcej nic nie będę zgłaszał;)
@209po kiedyś coś tam trzymałem jak rosło, potem wypłaciłem z małym zyskiem co wsadziłem i teraz sobie reszta leży,nawet jak to uj strzeli to nie będzie mi tego strasznie żal
WhatsApp Oficjalnie stosuje szyfrowanie end-to-end, w praktyce jednak jednak nie.
Ziobro zdziwienia. Kto by się spodziewał że Meta jednak nie dba o prywatność użytkowników, szok i niedowierzanie.
Agent federalny stwierdził, że szyfrowanie w WhatsApp to fikcja. Następnie śledztwo zostało zamknięte. Trwające 10 miesięcy dochodzenie Departamentu Handlu wykazało, że firma Meta może przeglądać wszystkie wiadomości w WhatsApp w postaci niezaszyfrowanej.
Według dwóch osób zaznajomionych z tą sprawą, na początku tego roku nagle zamknięto federalne dochodzenie mające na celu ustalenie, czy serwis WhatsApp należący do firmy Meta ma dostęp do zaszyfrowanych wiadomości. Zamknięcie tego dochodzenia przerwało śledztwo, które wywołało pytania techniczne dotyczące tego, w jaki sposób serwis przetwarza dane użytkowników za kulisami.
