Cyberbezpieczeństwo w Polsce ma znaleźć się na zupełnie nowym, wyższym poziomie. Ma w tym pomóc wykaz Krajowego Systemu Cyberbezpieczeństwa, do którego wielu przedsiębiorców w naszym kraju musi zgłosić się samodzielnie. Brak “wpisania się na listę” może oznaczać konsekwencje, w tym także...
Czy płatne alerty BIK mają jakiś sens kiedy PESEL jest zastrzeżony?
#cyberbezpieczenstwo #bezpieczenstwo #cybersecurity #scam #bankowosc #bik
To nie są identyczne usługi i raczej się uzupełniają. Bo masz też opcje otrzymania powiadomienia gdy ktoś np. użyje danych twoich rodziców. No i działają 24/7.
pesel to jedno, ale alerty ostrzegają też jak nr dowodu osobistego czy nawet email trafią do darknetu
Ale alerty bik to nie tylko pesel. Jak brałem kredyt to mega wygodne było na bieżaco dostawać powiadomienia o statusie
Zaloguj się aby komentować
Kojarzycie raspberry pi? To dzisiaj będzie opowieść jak twórcy tego SBC zrobili własny system pod swój produkt i mają na niego wywalone. Jest on oznaczony na stronie jako zalecany, więc każdy nawet bez pojęcia o linux ma go zainstalowanego.
Rpi jako system bootowania jest oparny o gpu a nie cpu jak w większości komputerowego świata więc wymaga specjalne przygotowanej wersji dystrybucji linux. Architektura procesora nie jest problemem, tylko sam firmware.
Pierwszą styczność z tym sprzętem miałem w 2012 roku. Obecnie najstarszy działający egzemplarz mam z 2013 roku. Na początku system przygotowany przez twórców elektroniki bazował na debianie armel, który był pod armv4 a sbc miało procesor armv6.
W 2013 roku wydali własny zmodyfikowany debian armhf określony jako raspbian, z różnicą do debiana który był pod armv7. Systemy nie były ze sobą zgodne, ponieważ paczki skompilowane pod debiana armhf nie działały na raspbianie armhf z powodu braku instrukcji procesora.
Przy swoich projektach zauważyłem, że mają mocno wywalone na aktualizacje swojego systemu. Jedno czy 3 egzemplarze były do przeżycia przy ręcznej własnej kompilacji. Z debiana na którym system bazował nie dało się wziąć bo by nie działało.
Pracowałem w firmach które wykorzystywały to SBC do różnych rzeczy i tam przy efekcie skali już było odczuwalne. Trzeba było ogarniać samemu aktualizacje do softu i je utrzymywać.
Ten stan rzeczy trwał do 2020 roku aż wydali bety 64 bitowej wersji swojego systemu. Oczywiście dało się już wcześniej używać innej dystrybucji, bo te już 5 lat wcześniej ogarniały 64 bitowe procesory jak i samą kompatybilność ze sobą w 32 bitowych wydaniach dla tego SBC.
Od 2022 wydanie 64 bit stało się oficjalne. Jest to czysty debian arm64 ze zmodyfikowanym jądrem i firmware.
Zatem gdzie widzę problem? Minęło 12 lat odkąd pierwszy raz zauważyłem, że coś jest nie tak z aktualizacją oprogramowania, a tam nic się nie zmieniło. Od ponad tygodnia są dostępne w sieci exploity na 3 różne bugi w samym jądrze linux a oni podchodzą to tego tak: https://github.com/raspberrypi/linux/issues/7346
The next apt kernel will be 6.18 and is imminent, but we are just finalising testing.
Fajne podejście, nie? Cały świat się łata a oni podchodzą: robimy nowe rozwiązanie i testujemy, więc starego nie załatamy.
Jądro to nie jedyny problem np. ja kodowałem w php i wersji 8.2 obecnie nikt przez 3 lata nie zaktualizował w 32 bitowym wydaniu gdzie debian zrobił to już wielokrotnie.
W moim przypadku stare egzemplarze przerobiłem na alpine linux, gdzie dostarczają w miarę na bieżąco aktualizacje. Z częścią softu jest problem, ale można skompilować samemu. Lepsze to niż włam na urządzenie wystawione do internetu.
W przypadku komercyjnych rozwiązań, to duża część używało ubuntu już 10 lat temu ale tylko w przypadku nowszych płytek. Stare poszły w niepamięć. Kiedy był kryzys z dostępnością raspberry pi wybrali inne rozwiązania i obecnie te pewnie zastąpiły już SBC co do którego nie ma się pewności na poziomie bezpieczeństwa.
#elektronika #linux #cyberbezpieczenstwo #raspberrypi
Od zawsze traktuję ten system jako Arduino do embedded linuxa albo quick start w tej dziedzinie, generalnie amatorskie użycie. Komercyjnie nikt tego nie używa i nie widzę ani powodu by używać, ani sensu.
Ile to zarobiłem na odsprzedaży "uszkodzonych" malin to moje
Firma zmieniała płytę główną w wyciskarkach do lodu na nowsza wersje płyty wraz z budowanym wyświetlaczem. Więc stare wg nich uszkodzone leciały do kosza.
A uszkodzenie polegało na tym że , były sprawne w 100% tylko soft zapisany na karcie nie chciał się wczytywać, bo karta potrafiła się zapisać w innym formacie i przez to maszyna nie działała.
Więc zaproponowałem darmowe pozbycie się elektroniki (za utylizację trzeba płacić).
Karty po łączeniu partycji I formacie miały pełną sprawność i szły od razu na allegro
A maliny to co najwyżej wytarłem z kurzu.
I szły w cenie dumpingowej na portalach.
Kart sprzedałem prawie 600
I podobną ilość malin po 350 sztuka.
Pandemia to był piękny czas na zarabianie pieniędzy
@RACO byliśmy konkurencją pewnie dla siebie rpi 2 i 3 u nas szły na kilogramy do "utylizacji". W pewnym momencie jak zmienili dostawce sbc
@30ohm raczej nie, bo u mnie szły 3 i 4.
A reszta aukcji stała. Opychalem gdzie się dało. Dobrze płacili w cex za nie.
Za kazdym razem jak czytam o raspberry to w negatywnym kontekście.
Dlaczego firmy ciagle je wykupują?
@Zuorion bo są głupie, są lepsze rozwiązania i często wychodzi taniej
@30ohm Banana?
Zaloguj się aby komentować
wrap lines
@cec o ironio najlepsze zabezpieczenie przed tym, to linter w pipeline który weryfikuje PR, by się wyłożył na tym potworku i pokazał go palcem
@Deykun pre-commit
Zaloguj się aby komentować
Przy uniwersytecie technicznym w Moskwie utworzono tajny wydział na potrzeby wywiadu wojskowego Rosji. Tam GRU potajemnie szkoli szeregi nowych hakerów, sabotażystów oraz propagandystów. Uczy ich też metod szpiegostwa. GRU odpowiada za wiele cyberataków i aktów sabotażu, wymierzonych również w...
Znów krytyczna podatność w jądrze linux. Na błąd istniejący od 2017 roku. CVE jeszcze nie ma, a exploit został wydany
Źródło: https://github.com/V4bel/dirtyfrag
Aktualizujcie systemy, o tym popołudniu dodam jeszcze jeden wpis.
#linux #cyberbezpieczenstwo
@30ohm Środki zaradcze wykonane. Teraz tylko jeszcze czekać na łatki.
Bardzo wygodna funkcja, odpaliłem na swoim Ubuntu i wskoczyło na roota bez pamiętania hasła, 10/10
@30ohm przeanalizowałem to sobie. To nie jest mała luka. To jest wyrwa w systemie. Tutaj wykorzystywany jest mechanizm cache w ramie. Nie ma kolejkowania ani flag, po prostu co się dobije to pisze po buforze. Mechanizm działa tak że jeśli user jest w czasie odczytu pliku z bufora to można mu ten plik nadpisać w locie i wrzucić tam cokolwiek. To że w przykładzie użyli akurat crypto i podmienili uprawnienia na sudo to przykład. Cache nie jest synchronizowany. To jest haos w systemie. Co prawda statystycznie ryzyko że coś się wywali jest niewielkie, a tym bardziej że będzie tam bytecode do podnoszenia uprawnień przypadkowo - nie możliwe. Ale intencjonalnie wykorzystanie tego mechanizmu ściąga z systemu wszystkie zabezpieczenia na ten moment. I wiecie co... Ja gdybym to projektował to bym się domyślił że tak może być. I to nie wygląda na przypadkowe działanie. Ktoś specjalnie tak to zostawił. Coś takiego łatwo przejdzie review bo rewiewer nie analizuje architektóry, oni za zwyczaj sprawdzają czy kod jest czytelny i ładnie opisany.... Więc rozumiejąc te mechanizmy można przejąć pełną kontrolę nad systemem... I mało tego na ten kod będą patrzeć programiści i raczej nie zauważą problemu. AI też będzie pisał taki kod...
Zaloguj się aby komentować
7 maja uruchomiona zostanie rządowa aplikacja, za pośrednictwem której przedsiębiorcy będą musieli dokonać wpisu do wykazu Krajowego Systemu Cyberbezpieczeństwa (KSC). To efekt wdrożenia unijnej dyrektywy NIS2 do polskiego porządku prawnego. Nowe przepisy znacząco rozszerzają katalog podmiotów...
@Deykun raporty z pentestów są pełne znanych podatności z niskim severity
@wielbuont to słaby jesteś moje apki zawsze mają z wysokim ( ͡° ͜ʖ ͡°)
Zaloguj się aby komentować
#cyberbezpieczenstwo Dzwoni wczoraj telefon, odbieram i automat mówi że dzwonią z Binance i mój numer telefonu do dyspozycji kontem zostaje zmieniony. Więc się od razu rozlaczam i zgłaszam numer na CERT z godzina połączenia. Po kilku minutach dostaję SMS-a z banku że moje konto, karta l, iko i dostęp do strony banku zostaje zablokowany. No, taktycznie nic nie działa. No to dzwonię na infolinię banku żeby się dowiedzieć o co chodzi, odblokowują mi dostep, profilaktycznie zmieniam hasło, ale nie dowiedziałem się dlaczego zostało zablokowane. Czyżby z powodu tego zgłoszenia? Na koncie żadnych dziwnych ruchów nie było. Więcej nic nie będę zgłaszał;)
Powiem tak: lepiej tak, niż w drugą stronę.
@Kasjo jak trzymasz jakieś bitcoiny na binance, to lepiej je wypłać zanim cię nie zgoxxują, tak jak to było ostatnio z zondą
@209po kiedyś coś tam trzymałem jak rosło, potem wypłaciłem z małym zyskiem co wsadziłem i teraz sobie reszta leży,nawet jak to uj strzeli to nie będzie mi tego strasznie żal
@Kasjo bank tak sam z siebie nie blokuje, więc może gdzieś twoje dane wyciekły
@30ohm możliwe, tylko straszny zbieg okoliczności z czasem zgłoszenia numeru do CERTu i blokadą
Zaloguj się aby komentować
Komisja Europejska zaleca państwom UE wycofanie sprzętu firm Huawei i ZTE z infrastruktury telekomunikacyjnej. Nowe regulacje mogą zaostrzyć napięcia z Chinami, które już zapowiadają możliwe działania odwetowe. Komisja Europejska rekomenduje państwom członkowskim rezygnację z wykorzystywania...
tl;dr
WhatsApp Oficjalnie stosuje szyfrowanie end-to-end, w praktyce jednak jednak nie.
Ziobro zdziwienia. Kto by się spodziewał że Meta jednak nie dba o prywatność użytkowników, szok i niedowierzanie.
Agent federalny stwierdził, że szyfrowanie w WhatsApp to fikcja. Następnie śledztwo zostało zamknięte. Trwające 10 miesięcy dochodzenie Departamentu Handlu wykazało, że firma Meta może przeglądać wszystkie wiadomości w WhatsApp w postaci niezaszyfrowanej.
Według dwóch osób zaznajomionych z tą sprawą, na początku tego roku nagle zamknięto federalne dochodzenie mające na celu ustalenie, czy serwis WhatsApp należący do firmy Meta ma dostęp do zaszyfrowanych wiadomości. Zamknięcie tego dochodzenia przerwało śledztwo, które wywołało pytania techniczne dotyczące tego, w jaki sposób serwis przetwarza dane użytkowników za kulisami.
źródło:
#cybersecurity #cyberbezpieczenstwo #komputery #bezpieczenstwo #smartfony
Ostatni raz byłem tak zaskoczony jak po czwartku był piątek xd
Zaloguj się aby komentować
Francuska prokuratura prowadzi śledztwo w sprawie spektakularnego cyberataku, którego sprawcą miał być zaledwie 15-letni chłopak. Nastolatek podejrzewany jest o włamanie do państwowej agencji zarządzającej danymi osobowymi i próbę sprzedaży poufnych informacji milionów Francuzów na dark webie....
150% więcej incydentów w rok. Brzmi jak clickbait? To twarde dane z raportu CERT Polska za 2025. W tym odcinku pokazuję, co naprawdę się zmieniło: tylko 10% więcej zgłoszeń, ale dużo bardziej precyzyjne ataki – spear phishing, zaawansowana socjotechnika i komunikatory zamiast SMS-ów. Rozkładam na...
Potężny błąd w Linux. Znalazcy udostępniają też kod exploita. Uruchomienie go na podatnej maszynie daje atakującemu prawa roota.
Występuje od 2017 roku w jądrze i wystarczy jeden prosty skrypt aby przejąć maszynę. Lokalnie, nie zdalnie. Druga opcja też jest możliwa jak się wie jak to zrobić. W ubuntu 24.04 czy też popularnym tutaj mincie wchodzi jak w masło.
Wyobraźcie sobie co się będzie działo na serwerach #hosting gdzie większość ma wywalone na aktualizacje.
Opis niebezpiecznika z szybką łatą: https://niebezpiecznik.pl/post/copyfail-linux-exploit/
#linux #cyberbezpieczenstwo
@30ohm - jak jądro to nie tylko Ubuntu czy Mint ale jak źródło podane przez Ciebie podaje:
Praktycznie każdy Linuks wydany po 2017 roku jest podatny.
@koszotorobur owszem, tylko np. redhat już załatał z tydzień temu. Debian tylko stabilny z jądrem 6.12 podatny, z popularnych tylko ubuntu poniżej 26.04 i bazujące na nim nie mają poprawek.
@30ohm - na szczęście w prosty sposób można sobie samemu ten problem zmitygować: https://copy.fail/#mitigation
Patch i opis są przecież na stronie z przykładem exploita, po co spamować niebezpiecznikiem?
@jiim Dla upośledzonych admiunów, co nie potrafią po englisz? ( ͡° ͜ʖ ͡°)
@jiim nie wszyscy rozumieją angielski techniczny
Zaloguj się aby komentować
W związku z nadchodzącym terminem rozliczenia z fiskusem, złodzieje próbują wyłudzać od Polaków dane kart płatniczych. "Ofiara, która uzupełni formularz, pieniądze straci, a nie odzyska" - alarmują fachowcy od bezpieczeństwa w sieci. Ostatni dzień przed terminem rozliczenia z fiskusem...
Wyobraź sobie, że stoisz w korku. Albo spacerujesz po chodniku z psem. Tymczasem w samochodzie na światłach siedzi typ, który uśmiecha się i w tym samym momencie zarabia tysiące złotych. Bo w bagażniku samochodu ma “SMS Blastera“. Tym sprzętem przejmuje łączność Twojego smartfona i wstrzuje Ci...
Przewodnicząca Bundestagu i dwie członkinie rządu Friedricha Merza wśród ofiar cyberataku na użytkowników komunikatora Signal. Służby Holandii, w której udokumentowano podobne działania, uważają, że za pozyskiwaniem danych stoją Rosjanie. Ministry budownictwa i rodziny Verena Hubertz i Karin Prien...
Podstawowe obowiązki podmiotów kluczowych i ważnych wynikające z unijnej dyrektywy NIS2 / ustawy KSC 2.0.
Zarządzasz siecią komputerową, serwerami, danymi w firmie która wpadła na listę NIS2 / KSC? Coś dla Ciebie.
Zapraszam do lektury:
#sysadmin #informatyka #siecikomputerowe #cyberbezpieczenstwo #cybersecurity #prawo #nis2 #ksc
Zaloguj się aby komentować
Bitwarden zhakowany!
Problem tyczy się TYLKO Bitwarden CLI (zarządzanie z konsoli).
Na chwilę obecną nie ma informacji aby inne wersje (okienkowe) były zainfekowane.
Złośliwa paczka była dostępna "tylko" przez 1,5 godziny.
#cyberbezpieczenstwo #cybersecurity #komputery #informatyka
@Marchew nosz k⁎⁎wa, najpierw lastpass a teraz Bitwarden. Gdzie mam się przenieść teraz?
@Endrevoir Nie jestem ekspertem.
Ale dla mnie keepass i keepass XC.
Offline daje mi pozorne bezpieczeństwo.
Ale tez managery offline to w większości target domowy. Cyberuchy pchają się tam gdzie korpo, a więc i rozwiązania online + synchronizacja pomiędzy urządzeniami.
@Marchew no dobra, keepass na PC zadziała. A telefon?, synchronizacja bazy? To już trochę trudniej
@Endrevoir jeśli gdzieś uciekać, to tu: https://european-alternatives.eu/category/password-managers
Zaloguj się aby komentować
Ciekawy podkast u Mateusz Chrobok,
Gościem jest Pani Amanda Krać-Batyra antropolog, biegły sądowy.
Amanda na co dzień identyfikuje sprawców przestępstw seksualnych wobec dzieci i opiniuje w sprawach karnych. W tej rozmowie mówi to, czego nie usłyszysz w głównych mediach. Rok rocznie pojawia się 300 milionów nowych pokrzywdzonych dzieci. Na jednego podejrzanego przypada 60 000(!) materiałów. Filmik z treściami samobójczymi wisi na TikToku 5 lat i ma 37 milionów wyświetleń. Na TikToku w Polsce jest ponad 700 tysięcy dzieci w wieku 7–13 lat. To nie jest Darknet, to telefon twojego dziecka.
Pani mówi treściwie.
Oprócz ogólnego "tła" tych spraw, można się dowiedzieć jak dzieci wpadają w sidła przestępców w internecie.
Uświadamiacz dla rodziców.
Twoje dziecko ma inny internet niż ty. feat. Amanda Krać-Batyra
Mateusz Chrobok
#cyberbezpieczenstwo #rodzicielstwo #psychologia
Rok rocznie pojawia się 300 milionów nowych pokrzywdzonych dzieci.
Rocznie rodzi się 130 mln dzieci więc ktoś nie wie co mówi.
Jaki ma związek filmik z treściami samobójczymi z tym że na tiktoku jes 700 tys dzieci? Odpowiedź: żaden, ale nieźle brzmi
Zaloguj się aby komentować
