Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

#cyberbezpieczenstwo

Gruba ryba

w Hydepark

17piorunów

Czy płatne alerty BIK mają jakiś sens kiedy PESEL jest zastrzeżony?

Czy płatne alerty BIK mają jakiś sens kiedy PESEL jest zastrzeżony?

  • Zdecydowanie tak6%
  • Raczej tak7%
  • Trudno określić13%
  • Raczej nie24%
  • Zdecydowanie nie14%
  • Wyniki36%

300 głosów

Statysta2piorunów

To nie są identyczne usługi i raczej się uzupełniają. Bo masz też opcje otrzymania powiadomienia gdy ktoś np. użyje danych twoich rodziców. No i działają 24/7.

Statysta1piorunów

pesel to jedno, ale alerty ostrzegają też jak nr dowodu osobistego czy nawet email trafią do darknetu

Pokaż więcej komentarzy (10)

Fanatyk

w LINUX

33piorunów

Kojarzycie raspberry pi? To dzisiaj będzie opowieść jak twórcy tego SBC zrobili własny system pod swój produkt i mają na niego wywalone. Jest on oznaczony na stronie jako zalecany, więc każdy nawet bez pojęcia o linux ma go zainstalowanego.

Rpi jako system bootowania jest oparny o gpu a nie cpu jak w większości komputerowego świata więc wymaga specjalne przygotowanej wersji dystrybucji linux. Architektura procesora nie jest problemem, tylko sam firmware.

Pierwszą styczność z tym sprzętem miałem w 2012 roku. Obecnie najstarszy działający egzemplarz mam z 2013 roku. Na początku system przygotowany przez twórców elektroniki bazował na debianie armel, który był pod armv4 a sbc miało procesor armv6.

W 2013 roku wydali własny zmodyfikowany debian armhf określony jako raspbian, z różnicą do debiana który był pod armv7. Systemy nie były ze sobą zgodne, ponieważ paczki skompilowane pod debiana armhf nie działały na raspbianie armhf z powodu braku instrukcji procesora.

Przy swoich projektach zauważyłem, że mają mocno wywalone na aktualizacje swojego systemu. Jedno czy 3 egzemplarze były do przeżycia przy ręcznej własnej kompilacji. Z debiana na którym system bazował nie dało się wziąć bo by nie działało.

Pracowałem w firmach które wykorzystywały to SBC do różnych rzeczy i tam przy efekcie skali już było odczuwalne. Trzeba było ogarniać samemu aktualizacje do softu i je utrzymywać.

Ten stan rzeczy trwał do 2020 roku aż wydali bety 64 bitowej wersji swojego systemu. Oczywiście dało się już wcześniej używać innej dystrybucji, bo te już 5 lat wcześniej ogarniały 64 bitowe procesory jak i samą kompatybilność ze sobą w 32 bitowych wydaniach dla tego SBC.

Od 2022 wydanie 64 bit stało się oficjalne. Jest to czysty debian arm64 ze zmodyfikowanym jądrem i firmware.

Zatem gdzie widzę problem? Minęło 12 lat odkąd pierwszy raz zauważyłem, że coś jest nie tak z aktualizacją oprogramowania, a tam nic się nie zmieniło. Od ponad tygodnia są dostępne w sieci exploity na 3 różne bugi w samym jądrze linux a oni podchodzą to tego tak: https://github.com/raspberrypi/linux/issues/7346

The next apt kernel will be 6.18 and is imminent, but we are just finalising testing.

Fajne podejście, nie? Cały świat się łata a oni podchodzą: robimy nowe rozwiązanie i testujemy, więc starego nie załatamy.

Jądro to nie jedyny problem np. ja kodowałem w php i wersji 8.2 obecnie nikt przez 3 lata nie zaktualizował w 32 bitowym wydaniu gdzie debian zrobił to już wielokrotnie.

W moim przypadku stare egzemplarze przerobiłem na alpine linux, gdzie dostarczają w miarę na bieżąco aktualizacje. Z częścią softu jest problem, ale można skompilować samemu. Lepsze to niż włam na urządzenie wystawione do internetu.

W przypadku komercyjnych rozwiązań, to duża część używało ubuntu już 10 lat temu ale tylko w przypadku nowszych płytek. Stare poszły w niepamięć. Kiedy był kryzys z dostępnością raspberry pi wybrali inne rozwiązania i obecnie te pewnie zastąpiły już SBC co do którego nie ma się pewności na poziomie bezpieczeństwa.

Fanatyk3piorunów

Od zawsze traktuję ten system jako Arduino do embedded linuxa albo quick start w tej dziedzinie, generalnie amatorskie użycie. Komercyjnie nikt tego nie używa i nie widzę ani powodu by używać, ani sensu.

Fanatyk3piorunów

Ile to zarobiłem na odsprzedaży "uszkodzonych" malin to moje :grinning:

Firma zmieniała płytę główną w wyciskarkach do lodu na nowsza wersje płyty wraz z budowanym wyświetlaczem. Więc stare wg nich uszkodzone leciały do kosza.

A uszkodzenie polegało na tym że , były sprawne w 100% tylko soft zapisany na karcie nie chciał się wczytywać, bo karta potrafiła się zapisać w innym formacie i przez to maszyna nie działała.

Więc zaproponowałem darmowe pozbycie się elektroniki (za utylizację trzeba płacić).

Karty po łączeniu partycji I formacie miały pełną sprawność i szły od razu na allegro

A maliny to co najwyżej wytarłem z kurzu.

I szły w cenie dumpingowej na portalach.

Kart sprzedałem prawie 600

I podobną ilość malin po 350 sztuka.

Pandemia to był piękny czas na zarabianie pieniędzy :grinning:

Fanatyk1piorunów

@RACO byliśmy konkurencją pewnie dla siebie rpi 2 i 3 u nas szły na kilogramy do "utylizacji". W pewnym momencie jak zmienili dostawce sbc

Fanatyk1piorunów

@30ohm raczej nie, bo u mnie szły 3 i 4.

A reszta aukcji stała. Opychalem gdzie się dało. Dobrze płacili w cex za nie.

Pokaż więcej komentarzy (15)

Lider

w Programowanie

13piorunów

. źródło

Osobistość5piorunów

wrap lines :white_check_mark:

Lider6piorunów

@cec o ironio najlepsze zabezpieczenie przed tym, to linter w pipeline który weryfikuje PR, by się wyłożył na tym potworku i pokazał go palcem

Lider3piorunów

@ostrynacienkim ktoś kto to pcha robi to celowo i będzie wypychał skippując

Osobistość3piorunów

@Deykun pre-receive ¯\\(ツ)

-git hook: max 100 chars/line or GTFO!!!

-user: line-too-long

Pokaż więcej komentarzy (7)

GURU

w Wiadomości Świat

27piorunów

Wydział, którego nie ma. Tak GRU szkoli hakerów do ataków na Polskę, USA i Ukrainę

Przy uniwersytecie technicznym w Moskwie utworzono tajny wydział na potrzeby wywiadu wojskowego Rosji. Tam GRU potajemnie szkoli szeregi nowych hakerów, sabotażystów oraz propagandystów. Uczy ich też metod szpiegostwa. GRU odpowiada za wiele cyberataków i aktów sabotażu, wymierzonych

Fanatyk

w LINUX

15piorunów

Znów krytyczna podatność w jądrze linux. Na błąd istniejący od 2017 roku. CVE jeszcze nie ma, a exploit został wydany

Opis: https://moje.cert.pl/komunikaty/2026/62/kolejna-podatnosc-lpe-w-systemach-linux-umozliwiajaca-lokalna-eskalacje-uprawnien-do-root/

Źródło: https://github.com/V4bel/dirtyfrag

Aktualizujcie systemy, o tym popołudniu dodam jeszcze jeden wpis.

Autorytet1piorunów

@30ohm Środki zaradcze wykonane. Teraz tylko jeszcze czekać na łatki.

Tytan5piorunów

Bardzo wygodna funkcja, odpaliłem na swoim Ubuntu i wskoczyło na roota bez pamiętania hasła, 10/10

Pokaż więcej komentarzy (3)

Sum

w Hydepark

33piorunów


Dzwoni wczoraj telefon, odbieram i automat mówi że dzwonią z Binance i mój numer telefonu do dyspozycji kontem zostaje zmieniony. Więc się od razu rozlaczam i zgłaszam numer na CERT z godzina połączenia. Po kilku minutach dostaję SMS-a z banku że moje konto, karta l, iko i dostęp do strony banku zostaje zablokowany. No, taktycznie nic nie działa. No to dzwonię na infolinię banku żeby się dowiedzieć o co chodzi, odblokowują mi dostep, profilaktycznie zmieniam hasło, ale nie dowiedziałem się dlaczego zostało zablokowane. Czyżby z powodu tego zgłoszenia? Na koncie żadnych dziwnych ruchów nie było. Więcej nic nie będę zgłaszał;)

Fanatyk9piorunów

Powiem tak: lepiej tak, niż w drugą stronę.

Autorytet1piorunów

@Kasjo jak trzymasz jakieś bitcoiny na binance, to lepiej je wypłać zanim cię nie zgoxxują, tak jak to było ostatnio z zondą

Sum0piorunów

@209po kiedyś coś tam trzymałem jak rosło, potem wypłaciłem z małym zyskiem co wsadziłem i teraz sobie reszta leży,nawet jak to uj strzeli to nie będzie mi tego strasznie żal

Pokaż więcej komentarzy (9)

GURU

w Wiadomości Świat

9piorunów

Huawei i ZTE pod presją. Komisja Europejska wydała nowe zalecenia

Komisja Europejska zaleca państwom UE wycofanie sprzętu firm Huawei i ZTE z infrastruktury telekomunikacyjnej. Nowe regulacje mogą zaostrzyć napięcia z Chinami, które już zapowiadają możliwe działania odwetowe. Komisja Europejska rekomenduje państwom członkowskim rezygnację z

Gruba ryba

w Hydepark

18piorunów

tl;dr

WhatsApp Oficjalnie stosuje szyfrowanie end-to-end, w praktyce jednak jednak nie.

Ziobro zdziwienia. Kto by się spodziewał że Meta jednak nie dba o prywatność użytkowników, szok i niedowierzanie.

Agent federalny stwierdził, że szyfrowanie w WhatsApp to fikcja. Następnie śledztwo zostało zamknięte. Trwające 10 miesięcy dochodzenie Departamentu Handlu wykazało, że firma Meta może przeglądać wszystkie wiadomości w WhatsApp w postaci niezaszyfrowanej.



Według dwóch osób zaznajomionych z tą sprawą, na początku tego roku nagle zamknięto federalne dochodzenie mające na celu ustalenie, czy serwis WhatsApp należący do firmy Meta ma dostęp do zaszyfrowanych wiadomości. Zamknięcie tego dochodzenia przerwało śledztwo, które wywołało pytania techniczne dotyczące tego, w jaki sposób serwis przetwarza dane użytkowników za kulisami.

źródło:

https://www.techspot.com/news/112232-federal-agent-whatsapp-encryption-lie-investigation-shut-down.html

Gruba ryba4piorunów

Ostatni raz byłem tak zaskoczony jak po czwartku był piątek xd

Pokaż więcej komentarzy (2)

GURU

w Wiadomości Świat

12piorunów

15-latek zhakował państwową agencję. Chciał sprzedać dane milionów osób

Francuska prokuratura prowadzi śledztwo w sprawie spektakularnego cyberataku, którego sprawcą miał być zaledwie 15-letni chłopak. Nastolatek podejrzewany jest o włamanie do państwowej agencji zarządzającej danymi osobowymi i próbę sprzedaży poufnych informacji milionów Francuzów na

Fanatyk

w LINUX

52piorunów

Potężny błąd w Linux. Znalazcy udostępniają też kod exploita. Uruchomienie go na podatnej maszynie daje atakującemu prawa roota.

https://copy.fail/

Występuje od 2017 roku w jądrze i wystarczy jeden prosty skrypt aby przejąć maszynę. Lokalnie, nie zdalnie. Druga opcja też jest możliwa jak się wie jak to zrobić. W ubuntu 24.04 czy też popularnym tutaj mincie wchodzi jak w masło.

Wyobraźcie sobie co się będzie działo na serwerach gdzie większość ma wywalone na aktualizacje.

Opis niebezpiecznika z szybką łatą: https://niebezpiecznik.pl/post/copyfail-linux-exploit/

Fanatyk3piorunów

@30ohm - jak jądro to nie tylko Ubuntu czy Mint ale jak źródło podane przez Ciebie podaje:

Praktycznie każdy Linuks wydany po 2017 roku jest podatny.
Fanatyk2piorunów

@koszotorobur owszem, tylko np. redhat już załatał z tydzień temu. Debian tylko stabilny z jądrem 6.12 podatny, z popularnych tylko ubuntu poniżej 26.04 i bazujące na nim nie mają poprawek.

Fanatyk0piorunów

@koszotorobur owszem, jak sprawdziłem na testowej vm czy działa exploit to zrobiłem takie zmiany globalnie

Gruba ryba1piorunów

Patch i opis są przecież na stronie z przykładem exploita, po co spamować niebezpiecznikiem?

Autorytet1piorunów

@jiim Dla upośledzonych admiunów, co nie potrafią po englisz? ( ͡° ͜ʖ ͡°)

Fanatyk1piorunów

@jiim nie wszyscy rozumieją angielski techniczny

Tytan2piorunów

@jiim nie no, może od razu po prostu curl z pipe do basha który to łata, po co spamować jakimiś wyjaśnieniami

GURU1piorunów

@30ohm Jak ktos nie rozumie technicznego angielskiego to nie wiem czy jest dobrym pomysłem by dotykał produkcyjne serwery :grinning:

Fanatyk1piorunów

@Ragnarokk tylko to dotyczy każdego linux, jak się udzielałem jeszcze dawno temu po forach, to duża część miała z tym problem że szukała informacji po polsku. Angielski był nie do przeskoczenia. Po prostu nie wiem po co ten system instalowali, gdzie używanie nawet tłumacza google ich przewyższało. Znam przypadki ludzi obecnie 80+ gdzie już 20 lat temu używali ten system i jakoś problemu z tłumaczeniem sobie rzeczy nie mieli. Teraz są zachwyceni że jest chatgpt czy gemini.

Pokaż więcej komentarzy (22)

GURU

w Wiadomości Polska

6piorunów

Oszustwo metodą "na zwrot podatku". Złodzieje wyłudzają numer karty płatniczej

W związku z nadchodzącym terminem rozliczenia z fiskusem, złodzieje próbują wyłudzać od Polaków dane kart płatniczych. "Ofiara, która uzupełni formularz, pieniądze straci, a nie odzyska" - alarmują fachowcy od bezpieczeństwa w sieci. Ostatni dzień przed terminem rozliczenia

GURU

w Cybersecurity

12piorunów

Jeżdżą po mieście i włamują się na telefony korzystając z SMS Blasterów ukrytych w bagażnikach

Wyobraź sobie, że stoisz w korku. Albo spacerujesz po chodniku z psem. Tymczasem w samochodzie na światłach siedzi typ, który uśmiecha się i w tym samym momencie zarabia tysiące złotych. Bo w bagażniku samochodu ma “SMS Blastera“. Tym sprzętem przejmuje łączność Twojego smartfona

GURU

w Wiadomości Świat

5piorunów

Lekkomyślność niemieckich polityków. Zaatakowali ich hakerzy

Przewodnicząca Bundestagu i dwie członkinie rządu Friedricha Merza wśród ofiar cyberataku na użytkowników komunikatora Signal. Służby Holandii, w której udokumentowano podobne działania, uważają, że za pozyskiwaniem danych stoją Rosjanie. Ministry budownictwa i rodziny Verena Hubertz

Gruba ryba

w Hydepark

8piorunów

Podstawowe obowiązki podmiotów kluczowych i ważnych wynikające z unijnej dyrektywy NIS2 / ustawy KSC 2.0.

Zarządzasz siecią komputerową, serwerami, danymi w firmie która wpadła na listę NIS2 / KSC? Coś dla Ciebie.

Zapraszam do lektury:

https://czasopismo.legeartis.org/2026/04/nis2-obowiazki-podmiotow-kluczowych-waznych-krajowy-system-cyberbezpieczenstwa/

Gruba ryba

w Cybersecurity

17piorunów

Bitwarden zhakowany!

Problem tyczy się TYLKO Bitwarden CLI (zarządzanie z konsoli).

Na chwilę obecną nie ma informacji aby inne wersje (okienkowe) były zainfekowane.

Złośliwa paczka była dostępna "tylko" przez 1,5 godziny.

GURU7piorunów

@Marchew nosz k⁎⁎wa, najpierw lastpass a teraz Bitwarden. Gdzie mam się przenieść teraz?

Gruba ryba7piorunów

@Endrevoir Nie jestem ekspertem.

Ale dla mnie keepass i keepass XC.

Offline daje mi pozorne bezpieczeństwo.

Ale tez managery offline to w większości target domowy. Cyberuchy pchają się tam gdzie korpo, a więc i rozwiązania online + synchronizacja pomiędzy urządzeniami.

Kosmonauta2piorunów

@serel przecież jest keepass2Android.

A synchronizacja to syncthing. European based.

Pokaż więcej komentarzy (5)

Gruba ryba

w Hydepark

15piorunów

Ciekawy podkast u Mateusz Chrobok,

Gościem jest Pani Amanda Krać-Batyra antropolog, biegły sądowy.

Amanda na co dzień identyfikuje sprawców przestępstw seksualnych wobec dzieci i opiniuje w sprawach karnych. W tej rozmowie mówi to, czego nie usłyszysz w głównych mediach. Rok rocznie pojawia się 300 milionów nowych pokrzywdzonych dzieci. Na jednego podejrzanego przypada 60 000(!) materiałów. Filmik z treściami samobójczymi wisi na TikToku 5 lat i ma 37 milionów wyświetleń. Na TikToku w Polsce jest ponad 700 tysięcy dzieci w wieku 7–13 lat. To nie jest Darknet, to telefon twojego dziecka.

Pani mówi treściwie.

Oprócz ogólnego "tła" tych spraw, można się dowiedzieć jak dzieci wpadają w sidła przestępców w internecie.

Uświadamiacz dla rodziców.

Twoje dziecko ma inny internet niż ty. feat. Amanda Krać-Batyra

Mateusz Chrobok

https://youtu.be/nXUfaf0pc1k

Fenomen2piorunów
Rok rocznie pojawia się 300 milionów nowych pokrzywdzonych dzieci.

Rocznie rodzi się 130 mln dzieci więc ktoś nie wie co mówi.

Jaki ma związek filmik z treściami samobójczymi z tym że na tiktoku jes 700 tys dzieci? Odpowiedź: żaden, ale nieźle brzmi

Pokaż więcej komentarzy (3)

Gruba ryba

w Hydepark

14piorunów

Paczki danych, wykradzionych z Uniwersytetu Warszawskiego pojawiły się w internecie.

Są wśród nich wrażliwe dane pracowników, kandydatów na studia jak i studentów.

* dane identyfikacyjne (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo),

* dane identyfikacyjne szczególnego rodzaju (np. numer PESEL, numer i serię dokumentu tożsamości, nr paszportu),

* dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika),

* dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych),

* dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia),

* dane dotyczące zdrowia (np. informacje zawarte w zwolnieniach lekarskich),

* dane związane z ubezpieczeniami społecznymi,

* dane zawarte w korespondencji elektronicznej,

* wizerunek.

Przykładowe doniesienia prasowe:

https://wiadomosci.onet.pl/kraj/cyberatak-na-uniwersytecie-warszawskim-pliki-mogly-zawierac-dane-osobowe/z1dt51q

https://tvn24.pl/tvnwarszawa/srodmiescie/hakerzy-zaatakowali-uniwersytet-warszawski-skopiowane-dane-trafily-do-darknetu-st9010410