Cyberbezpieczeństwo & Globalna Inwigilacja

Mirror: https://archive.is/2024.10.04-055752/https://www.rp.pl/polityka/art41239891-nowe-przepisy-o-cyberbezpieczenstwie-eksperci-to-bedzie-sad-kapturowy

cross-postowane z: https://fedia.io/m/technology@lemmy.world/t/1262558

Międzynarodowy koncern usunął dziesiątki aplikacji, mimo że kremlowski organ cenzury nie nakazał takiego działania. Usługi te, operujące w szarej strefie, umożliwiają mieszkańcom Rosji dostęp do sieci społecznościowych i niezależnych mediów.

Czy ktoś ma sprawdzone miejsce w sieci, gdzie można kupić zarejestrowane karty SIM?

Używam niezarejestrowanych na siebie z zasady - taki osobisty protest przeciw inwigilacji, a miejsce gdzie kupowałam wcześniej już nie istnieje.

Całkiem niedawno opisywaliśmy ciekawą podatność pozwalającą na przejęcie konta w WordPressie przez popularną wtyczkę LiteSpeed Cache. Niestety nie był to najlepszy czas dla developerów tego rozszerzenia, ponieważ bardziej szczegółowa analiza poprzedniej podatności doprowadziła do odkrycia nowej luki pozwalającej na przejęcie konta przez nieuwierzytelnionego atakującego. Podatność została szczegółowo opisana w serwisie...

Cześć, ostatnio postanowiłem polepszyć jakość swojej biblioteki muzycznej, poprzez zastąpienie kawałków pobranych z yt ripami z oficjalnych płyt. Planowałem też pożyczyć parę płyt z biblioteki, ale mam obawy dotyczące bezpieczeństwa przyłączania nieznanego pochodzenia dysków do komputera. Jaki jest faktyczny poziom zagrożenia i jak można go zminimalizować?

Wszystko. To jedno słowo najlepiej opisuje skalę tego, co włamywacze ukradli z komputerów i serwerów Polskiej Agencji Antydopingowej. Nie tylko ukradli, ale także opublikowali w sieci. A znaleźć w tych danych można dosłownie wszystko – od informacji „firmowych”, takich jak dane osobowe sportowców, dane medyczne, raporty z badań antydopingowych, kartoteki śledztw czy dokumentacja współpracy z organami ścigania, po dane prywatne z komputerów użytkowników – gry, w które grają ich dzieci, zdjęcia z wakacji czy dokumenty rozwodowe.

20 czerwca Rada Europejska miała poddać pod głosowanie projekt rozporządzenia. W ostatniej chwili wycofano się z procedowania tego aktu prawnego.

Cokolwiek co poleca NSA może brzmieć podejrzanie, ale jako rada na "bezkliknięciowe" exploity - to może być całkiem rozsądna rada.

cross-postowane z: https://szmer.info/post/2994855

Odwiedzasz strony internetowe prowadzone przez instytucje publiczne? Wiele z nich przekazuje twoje dane do zewnętrznych firm, w tym amerykańskich big techów takich jak Google. Nie godzimy się na to.

cross-postowane z: https://szmer.info/post/2768789

Aby rozstrzygnąć wieloletni proces sądowy, Google zgodził się usunąć "miliardy rekordów danych" zebranych od użytkowników "trybu incognito", pokazując jaką pułapką jest polegania na Chrome w celu ochrony prywatności.

W ramach ugody firma zapłaci zero dolarów, groziła jej kara w wysokości 5 miliardów dolarów.

Backdoor pojawił się w wersjach 5.6.0 and 5.6.1 (xz-utils) i występuje w oficjalnych archiwach .tgz narzędzia (nie ma go w kodzie w repozytorium GitHub). Obecnie wersja 5.6.1 jest najnowsza, a 5.6.0 została wypuszczona nieco ponad miesiąc temu.

Trwa cały czas analiza backdoora, a w tym raporcie jest mowa o tym, że prawdopodobnie umożliwia on przejęcie dostępu do serwera z wykorzystaniem ssh

Problem (prawdopodobnie, trwa analiza) dotyczy dystrybucji (i pochodnych) Debian i Red Hat, backdoor nie wszedł do wersji stabilnych (np. w przypadku Debiana dotyczy unstable i testing).

Dodatkowe źródła:

• artykuł w Ars Technica [EN]
• dyskusja na Hacker News
• dyskusja na fedi
• dość porządny opis przedstawiający okoliczności i przebieg zdarzeń, wciąż aktualizowany
• blog lcamtuf-a (Michała Zalewskiego)

EDIT: Dodanie info o dotkniętych distrach i dodatkowych źródeł.

cross-postowane z: https://szmer.info/post/2679218

Dane udostępnione przez YouTube budzą obawy o wolności obywatelskie.

Jeśli kiedykolwiek żartobliwie zastanawialiście się, czy wasza historia wyszukiwania lub oglądania nie "spowoduje umieszczenie na liście", takie obawy mogą być bardziej niż uzasadnione.

W ujawnionych przez Forbes dokumentach sądowych, Google zostało zobowiązane do przekazania nazwisk, adresów, numerów telefonów i aktywności użytkowników kont Youtube oraz adresów IP, którzy oglądali wybrane filmy na YouTube, w ramach dużego śledztwa prowadzonego przez federalnych śledczych.

Filmy zostały wysłane przez tajniaków do podejrzanego o pranie kryptowalut użytkownika używającego pseudonimu "elonmuskwhm". W rozmowach z handlarzem bitcoinami śledczy wysyłali linki do publicznych samouczków YouTube na temat mapowania za pomocą dronów i oprogramowania do rzeczywistości rozszerzonej, podaje Forbes. Filmy zostały obejrzane ponad 30 000 razy, prawdopodobnie przez tysiące użytkowników niezwiązanych ze sprawą.

Firma macierzysta YouTube, Google, otrzymała od federalnych śledczych nakaz cichego przekazanie wszystkich takich danych widzów za okres od 1 stycznia do 8 stycznia 2023 r., Ale Forbes nie mógł potwierdzić, czy Google zastosował się do tego nakazu.

Według ekspertów ds. prywatności nakazane pobieranie danych jest niepokojące samo w sobie. Federalni śledczy argumentowali, że wniosek był prawnie uzasadniony, ponieważ dane "byłyby istotne i kluczowe dla toczącego się dochodzenia karnego, w tym poprzez dostarczenie informacji identyfikacyjnych o sprawcach", powołując się na uzasadnienie stosowane przez inne siły policyjne w całym kraju. W [innej] sprawie z New Hampshire policja zażądała podobnych danych podczas dochodzenia w sprawie pogróżek bombowych, które były transmitowane na żywo na YouTube - w nakazie wyraźnie zażądano informacji o oglądalności w wybranych znacznikach czasu podczas transmisji na żywo. (...)