Wtorek z UltraSamoukiem – Bezpieczeństwo

Scroll down for English

Uwaga! Notka dostępna jako film na mojej stronie Facebook!

Benchmark informuje, że 2. grudnia nastąpił atak DDoS (Distributed Denial of Service) na T-Mobile. Użytkownicy skarżyli się na problemy z zasięgiem sieci komórkowej oraz połączeniem internetowym. Firma, w specjalnym oświadczeniu przyznała, że atak nastąpił, przeprosiła klientów oraz poinformowała, że systemy kluczowe dla funkcjonowania sieci oraz dane klientów nie były zagrożone. Trwa wewnętrzna analiza.

Telepolis podaje informację o projekcie organizacji STOP (Surveillance Technology Oversight Project): o nazwie Think Quick Don’t Click. Na plakatach, reklamujących wydarzenie kulturalne, umieszczono kody QR, kierujące do strony, gdzie ostrzegano przed skanowaniem takich kodów. Organizacja zauważyła lawinowy przyrost wejść na stronę. Chcąc nie dać się zaskoczyć, zdaniem Kamila Sadkowskiego z  ESET warto używać specjalnej aplikacji, która pozwala podejrzeć link przed jego kliknięciem.

Sekurak poinformował, że giełda Bitmart została okradziona na kwotę około 150 mln dolarów (ok. 600 mln PLN). Jako że powodem było wykradzenie klucza prywatnego, CEO Bitmart Sheldon Xia poinformował w serii tweetów, że firma pokryje straty.

Nie zmieściły się:

Odcisk palca wcale nie jest bezpieczną metodą autentykacji (Kraken.com) –  również filmik na Youtube. Link znalazłem dzięki subskrypcji Unknown News.

Branża finansowa na froncie cyberwalki (ComputerWorld.pl)

Członkowie grupy hakerskiej Phoenix aresztowani na Ukrainie – (In4.pl)

O awarii poinformowały telewizje, radia, portale, nie tylko polskie, ale i zagraniczne. Znaczy, atak był duży. Oczywiście firma nabrała wody w usta i nie ma się co dziwić, zabezpieczenia, a szczególnie dziury w nich to nie jest temat, którym warto chwalić się mediom. Mimo to wciąż czekam na jakiś konkretny opis tego ataku i gdy taki znajdę, dowiecie się o tym.

Bardzo uczciwie zachował się szef Bitmarta. Co pokazuje, jak można wyjść z twarzą z bardzo nietwarzowych sytuacji. Z drugiej strony jest zaskakujące, że firmę założoną w 2017 roku stać na takie odszkodowanie. Istnieje szansa, że nie ma innego wyjścia, jako że zaufanie w tej branży to towar, który nie ma ceny.

A skoro już jesteśmy przy pokazywaniu. Kiedyś, przeglądałem polskie wystąpienia TED i trafiłem na występ Piotra Koniecznego, który użył tego samego mechanizmu co opisywany w wiadomości od Telepolis, pokazując jak łatwo zhakować telefon i jak bardzo ludzie wierzą w potęgę kodów QR. Co ciekawe, problem sygnalizowała firma Kaspersky już w 2015 r. (tam też zresztą kilka przydatnych porad, wciąż aktualnych). I tak brałem udział w grze miejskiej i:

Pani z Obsługi: Proszę zeskanować ten kod QR.

Ja: nie mam aplikacji zainstalowanej.

PzO: przecież wystarczy aparat w telefonie…

No właśnie – chyba nie.

A zainteresowanym tematem QR – zapraszam na bloga Informatyka Zakładowego .

 

English version (please use the links from above)

Attention! Note available as a movie on my Facebook page!
Benchmark reports that on December 2, there was a DDoS (Distributed Denial of Service) attack on T-Mobile. Users complained about problems with mobile network coverage and internet connection. The company, in a special statement, admitted that the attack had taken place, apologized to customers and announced that the key systems for the operation of the network and customer data were not at risk. Internal analysis is ongoing.
Telepolis informs about the STOP (Surveillance Technology Oversight Project) project: called Think Quick Don’t Click. On posters advertising a cultural event, QR codes were placed, pointing to a page where such codes were warned against scanning. The organization noticed an avalanche of visits to the site. In order not to be surprised, according to Kamil Sadkowski from ESET, it is worth using a special application that allows you to preview the link before clicking it.
Sekurak informed that the Bitmart exchange was robbed for the amount of approximately USD 150 million (approximately PLN 600 million). As the reason was the theft of the private key, Bitmart CEO Sheldon Xia announced in a series of tweets that the company would cover the losses.
Additionally:
The fingerprint is not a secure authentication method at all (Kraken.com) – also a YouTube video. I found the link thanks to a subscription to Unknown News.
The financial industry on the frontline of the cyber struggle (ComputerWorld.pl)
Members of the Phoenix hacker group arrested in Ukraine – (In4.pl)
Commentary: Televisions, radios, portals, not only Polish, but also foreign, informed about the failure. I mean, the attack was big. Of course, the company took water in its mouth and there is no wonder, security, and especially holes in them, is not a topic worth bragging about to the media. Nevertheless, I am still waiting for a specific description of this attack, and when I find one, you will find out about it. The head of Bitmart behaved very honestly. Which shows how you can get out of very unpronounced situations. On the other hand, it is surprising that a company founded in 2017 can afford such compensation. Chances are there is no other option as trust in this industry is a commodity that has no price. Speaking of which we are showing. Once, I was browsing Polish TED speeches and I came across a performance by Piotr Konieczny, who used the same mechanism as described in the message from Telepolis, showing how easy it is to hack a phone and how much people believe in the power of QR codes. Interestingly, the problem was already signaled by Kaspersky in 2015 (there are also some useful tips that are still valid there). And this is how I participated in the city game and: Service lady: Please scan this QR code. Me: I don’t have the app installed. PzO: after all, a phone camera is enough … Exactly – probably not. And those interested in the subject of QR – please visit the Informatyk Zakładowy blog.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.