Społeczność
Cybersecurity
W tej społeczności opisuje z czego składają się systemy cyberbezpieczeństwa
https://youtu.be/kvHQ7A3TM3w
#cyberbezpieczenstwo #cybersecurity #mateuszchrobok
Zaloguj się aby komentować
W roku 2023 CERT Polska inaugurował kolejne działania poprawiające bezpieczeństwo polskiego internetu. Jednym z zainicjowanych w tym czasie projektów był Artemis.
W 2023 roku łącznie przeskanowano ok .50.6 tys. domen i adresów IP i ok. 251.7 tys. subdomen, odkrywając ponad 180 tys. podatności lub błędnych konfiguracji.
Skanowano strony i domeny:
szkół i placówek oświatowych, młodzieżowych, domów kultury, przedszkoli czy poradni psychologiczno-pedagogicznych, jednostek samorządu terytorialnego, wywozu śmieci, systemy obsługujące pocztę, domeny gov.pl, badanie na zlecenie Organu Właściwego ds. cyber bezpieczeństwa w sektorze zdrowia, uczelni - były to np. strony wydziałów, ale też domeny związane z konferencjami czy projektami naukowymi, banków, posłów, senatorów, prezydentów miast i partii politycznych w kontekście wyborów parlamentarnych w 2023 i samorządowych
w 2024, badanie na zlecenie Ministerstwa Infrastruktury, gazet i portali lokalnych, operatorów usług kluczowych, producentów automatyki przemysłowej.
Łącznie zgłoszono ok. 184.8 tys. podatności lub błędnych konfiguracji,
w tym ok. 11.6 tys. wiążących się z wysokim, ok. 106.8 tys. - średnim i ok. 66.3 tys. - niskim zagrożeniem.
Błędną konfigurację wykryto w ok. 65.8 tys. przeskanowanych domenach/subdomenach.
Znaleziono:
• ok. 78.7 tys. przypadków korzystania z nieaktualnego oprogramowania - stwarza to ryzyko ataku
przy użyciu znanych podatności - niektóre z nich mogą skutkować tym, że ze strony można pobrać
dane, inne pozwalają zmieniać treść strony lub np. uzyskać uprawnienia administratora,
• ok. 44.2 tys. przypadków problemów z konfiguracją SSL/TLS - stwarza to ryzyko przechwycenia ko-
munikacji użytkownika ze stroną - jeżeli dane zostaną przechwycone i pojawił się tam login i hasło,
to przestępca może je poznać i zalogować się do serwisu jako uprawniony użytkownik,
• ok. 27 tys. przypadków błędnie skonfigurowanych mechanizmów weryfikacji nadawcy poczty e-mail
- stwarza to ryzyko wysyłania fałszywych e-maili z danej domeny,
• ok. 16 tys. przypadków, gdy zasób taki, jak np. panel administracyjny czy panel logowania (np. do
bazy danych czy usługi zdalnego pulpitu) był dostępny publicznie - atak jest możliwy np. jeśli jedno
z kont ma słabe hasło albo jeśli w usłudze występują podatności,
• ok. 11.2 tys. przypadków, gdy informacje o konfiguracji serwer a, lista subdomen lub listy plików
w folderach na serwerze były dostępne publicznie - może to atakującemu ułatwić rekonesans, po-
znanie używanego oprogramowania lub nazw plików, które nie powinny być dostępne publicznie,
a w konsekwencji także umożliwić ich pobranie,
• ok. 4.5 tys. przypadków konkretnych krytycznych lub poważnych podatności umożliwiających np.
przejęcie strony lub pobranie danych z bazy danych,
• ok. 3.4 tys. przypadków, gdy wrażliwe dane, takie jak: kopie zapasowe, kod źródłowy, zrzuty bazy
danych czy dziennik zdarzeń serwera były dostępne publicznie,
• 20 przypadków, gdy domena zbliżała się do wygaśnięcia - odpowiednio wczesne powiadomienie
instytucji zmniejsza ryzyko niedostępności usługi lub przejęcia domeny przez atakującego.
Administratorzy systemów otrzymują na bieżąco informacje o wykrytych podatnościach.
Skanowanie jest automatycznie, dlatego też powyższe liczby mogą zawierać duplikaty lub odnosić się
do sytuacji, w których w rzeczywistości podatność nie występuje, ponieważ np. wykryto niepoprawnie
skonfigurowane SSL/TLS w domenie, która w praktyce nie jest używana.
https://cert.pl/uploads/docs/Raport_CP_2023.pdf
#cyberbezpieczenstwo #cybersecurity #cert
Zaloguj się aby komentować
https://youtu.be/44HSTVBvAO4
#cyberbezpieczenstwo #cybersecurity #mateuszchrobok
Świetny materiał świetny gościu.
@Half_NEET_Half_Amazing a o ilu my nie wiemy i nie dowiemy się ( ͡° ͜ʖ ͡°)
Ważny materiał a pewnie mało komu będzie chciało się oglądać mimo że warto więc mały skrót
Oprogramowanie do łaczenia się do linuxów korzysta z małych zapomnianych przez wszystkich bibliotek do robienia prostych rzeczy. Jeden z hakerów przez dwa lata pozorował aktywność i wspierał jedną z nich, pózniej puste konta pisały komentarze zachęcające opiekuna tej biblioteki do przekazania władzy nad tą biblioteka. Po uzyskaniu władzy nad tą biblioteką haker w sprytny sposób umiescił tam swój skrypt. Wykrył to ktoś bo logowanie zajmowało o pół sekundy dłuzej ratując tym samym miliony urządzeń przed potencjalnym włamaniem.
Nie to jest jednak najciekawsze Haker w profesjonalny sposób zacierał i maskował swoją aktywność majac wskazywać że jest z Chin, tymczasem godziny aktywności wskazują że może być to ktoś z Europy wschodniej, Iranu, Izraela. Stopień zaangażowania wskazuje że była to najprawdopodobniej robota jakiegoś wywiadu
Zaloguj się aby komentować
Potwierdziliście już na swoich kontach??
No jasne ( ͡° ͜ʖ ͡°)
@KLH2 dopiero teraz to robisz? Konto Ci usuno (╯°□°)╯︵ ┻━┻
@KLH2 ciekawy ten prima aprilis
Zaloguj się aby komentować
#kolej #dragonsector #pociagi #pkp #newag
@Marchew dej linka
@Marchew w ktorej minucie takie smieszne?
Czy tam był wybitny specjalista cieszyński ?
@ulsterboy W komisji Pan ten zasiada.
@Marchew ktory to moment w filmiku?
@Foofy_Shmoofer Nie wiem, ale bardzo ciekawa jest "prezentacja" prezesa
https://www.youtube.com/live/CDv_tLnpwVo?feature=shared&t=4109
@Marchew a nie chcesz zrobić streszczenia co było ważne lub ciekawe lub śmieszne, bo nie dam rady obejrzeć a chce uchodzić za kogoś kto się zna xD
Zaloguj się aby komentować
Niejasności wokół problemów z pojazdami Impuls: kontynuacja rozmów
https://www.youtube.com/watch?v=CDv_tLnpwVo
tl;dw
- - - - -
Q:
Czy macie wykaz zmian/dokumentacje zmian które w oprogramowaniu u was zostały wprowadzone?
Newag:
Tutaj chciałbym zakończyć te dyskusje
Nie jesteśmy w stanie odpowiedzieć z uwagi na prowadzone postępowanie.
- - - - -
Q:
Czyli nie macie wiedzy co były modyfikacje w oprogramowaniu?
Newag:
Pojazd do nas przyjechał, nastąpiła diagnostyka, weryfikacja, walidacja.
- - - - -
Q:
Czyli nic nie było modyfikowane?
Newag:
Powtórzę: nastąpiła diagnostyka, weryfikacja, walidacja.
- - - - -
Newag:
Zmiany w oprogramowaniu są jedynie na życzenia oraz w zakresie żądań przewoźnika
Przedstawiciel kolei mazowieckich i inny jakiś (nie pamiętam)
Zmiany w oprogramowaniu się pojawiały, newag nam je wgrywał nawet zdalnie jeśli odmówiliśmy w sposób bezpośredni, nie wiemy co było zmianą w sofcie, soft nawet nie ma żadnego numeru wersji, nie ma wykazu zmian, nie ma dokumentacji ani udostępnionych kodów źródłowych.
Radca pwarny newag:
jeśli ma pan jakies dowody a nie pomówienia, że zmienilo sie cos w oprogramowaniu newag, to proszę powiadomić odpowiednie organy, prosze nie wymawiac takich zarzutow.
Panowie z newag pokazują prezentację na kartkach A2 na temat tego jak ich inne pojazdy (nie impuls, a gruffin, dragon i inne) mają dostępność na poziomie 99-100%.
Następnie nawag pokazuje pojazdy konkurencji które stwoją 2, 3 a nawet 4 lata nieczynne!
Pokazane pojazdy są w większości uszkodzone mechanicznie np. w wyniku zderzenia z przeszkodą na przejeździe kolejowym
Newag pokazuje jak to ich pociągi wiżą kobiety i dzieci z granicy ukraińskiej na wiosnę 2022 (początek inwazji ruskich na ukrainę). Następnie pokazali zdjęcie pociągu newag wykolejonego, który został CELOWO przez kogoś wykolejony!
- - - - -
Kolejne dolnośląskie:
nasze pociagi newag zaczęły się często wyłączać bez znanej mam przyczyny.
Newag złożył nam ofertę na przeprowadzenie diagnostyki majacej na celu stwierdzenie przyczyny tych wyłączeń. Zgodziliśmy się. Zapłaciliśmy. Newag uzdrowił pociągi.
Do dziś mimo ponagleń, nie dostaliśmy wyników diagnostyki, przyczyn usterek ani listy wykonanych prac naprawczych. Chociaż w ofercie było zdiagnozowanie przyczyn usterek! Zapłaciliśmy kilkaset tysięcy złotych.
Newag:
To nie było kilkaset tysięcy!
Kolejne dolnośląskie:
200 000 zł
Newag:
Ale na 4 pociągi!
Newag:
Pociągu jeżdżą?
Kolejne dolnośląskie:
Tak.
Newag:
No to o co chodzi? Zrobiliśmy robotę!
- - - - -
Q:
Czy możecie sprawdzić czy ktoś modyfikował oprogramowanie w waszych pociągach?
Newag: nie mogę odpowiedzieć z uwagi na toczące się postepowanie.
- - - - -
Q:
Czy są w oprogramowaniu pociągów newag funkcje uzależnione od ich fizycznej lokalizacji?
Newag:
Nie wiem (xD)
Prosze się zwrócić na piśmie, na pewno odpowiemy.
Q:
Nie wiem pan co jest w waszych pociągach?
Newag:
Nie wiem co pani do mnie mówi.
- - - - -
Pani w Radzie nadzorczej Newag jest jednocześnie radcą prawnym która oferuje swoje płatne usługi dla newag. Reprezentuje na komisji sejmowej firmę newag.
- - - - -
Prezes Newag, Pan Zbigniew Konieczek to jednak straszny buc, bardzo nerwowy człowiek. Wiele rzazy puściły mu nerwy, zaczął się wykłócać, uszczypliwie kąsać i bezczelnie łapać za słówka.
- - - - -
I tutaj Newag ładnie prawnie chwyta prowadzących za krocze:
Newag:
Pan mówi że to są podejrzenia, jednak w pana (były minister cyfryzacji Cieszyński) wpisach w mediach społecznościowych wydźwięk jest jednoznaczny z stanem dokonanym, takie działania mają odbicie w notowaniach giełdowych spółki Newag, czy ma pan wiedzę na temat prób przejęcia firmy newag przez podmioty zależne od skarbu państwa w okresie rządów PiS kiedy był pan ministrem? (Pan cieszyński szczęka do stołu i nie wie co powiedzieć).
Pan cieszyński zaczyna lawirować w przestworzach próbami odpowiedzi,
Pani prowadząca zatrzymała tę sytuację "STOP!, przechodzimy do kolejnego punktu".
- - - - -
Koleje dolnośląskie:
Też dostaliśmy ofertę diagnostyki pojazdów newag które się wyłączały, dostaliśmy odpowiedź
- - - - -
Na temat, czy macie podpisy
Q:
Czy macie dział, osoby odpowiedzialne za bezpieczeństwo w oprogramowaniu?
Newag:
Działamy zgodnie z procedurami, auduty nie wykazały nieprawidłowości.
Q:
Ale wcześniej mówiliście że nie robicie?!
Newag:
Proszę o uściślenie, co pani rozumie mówiąc "podpis elektroniczny"?
Przepisy nie wymagają abyśmy musieli rozróżnić czy soft aktualnie w pociągu to ten który my wgraliśmy w fabryce.
Dragons Sector:
Newag sam wybral taki sterownik który takiej funkcji nie posiada.
Newag:
Taki sterownik jeździ u nas, w pesa i w innych pociągach.
Taki sterownik ma prawie 20 lat, rocznik 2005 (Marchew - i tutaj obronię Newag, bo w przemyśle pracują znacznie starsze osobniki, a zmiany to często OGROMNY problem, nie zawsze jest sens zmieniać skoro działa. Przemysł to nie internet gdzie wersja softu z przed pół roku to podatność i proszenie się o kłopoty. W przemyśle liczy się stabilność i trwałość.)
Dragons Sector:
Sterownik nawet jeśli nie ma weryfikacji podpisów cyfrowych.
Jednak wystarczy zrobić sumę kontrolną, MD5 czy cokolwiek gotowego kodu w archiwum, podstawowa rzecz, prosta, dziwne tego nie robić.
Dragons Sector:
Tutaj się toczą dwa wątki,
Czy sterownik ma funkcje podpisów cyfrowych (chyba im o MD5 czy coś chodzi?)
Czy newag prowadzi archiwum z wersjami softu wraz z funkcją?
Newag:
Niech pan sprecyzuje?
Dragons Sector:
Podpis cyfrowy używając funkcji kryptograficznej (no to już na pewno jakieś MD5)
Newag:
Tak, prowadzimy. (!)
- - - - -
Koleje wilkopolskie:
Może nie kod źródłowy bo prawa autorskie, ale dlaczego nie przekazujecie klientom kodu już skompilowanego w formie gotowego pliku który klient może sobie wgrać do sterownika? Siemens tak robi, inni duzi tak robią, a wy nie? Bo jeśli zepsuje się sterownik, to jeśli sobie kupimy sterownik, to dlaczego nie mamy możliwości wgrania softu, a musimy po raz drugi zapłacić za soft?!
Newag:
???
Koleje wilkopolskie:
W umowie mamy że trzeba przekazać wszystkie pliki, a ich nam nie przekazaliście.
- - - - -
Dragons Sector:
W dniach xxx oraz yyy na 3 dni przed przyjazdem na serwis w zewnętrznej (nie newag) firmie zostały wgrane nowe wersje oprogramowania do pociągów. Czy wiecie kto je wgrał?
Newag:
Na to pytanie odpowie prokurator.
- - - - -
Przewoznik (nie wiem ktory):
Nie wiemy co bylo wgrywane w naszych pojazdow, nie dostaliśmy żadnej dokumentacji ani żadnych danych.
Newag:
Nic nie wiemy o takich aktualizacjach oprogramowania o których wspominacie.
- - - - -
Newag:
Nie, nie mamy dostępu zdalnego do naszych pociągów.
- - - - -
#kolej #dragonsector #pociagi #pkp #newag
Przeczytałem…
Tu sprawa jest jednocześnie bardzo skomplikowana, bo nie wyobrażam sobie jak miałaby wyglądać rozprawa, gdzie sędziom trzeba wytłumaczyć w jaki sposób ten soft był trefny, a jednocześnie bardzo prosta, bo jeśli w kodzie był Geo-fencing na warsztaty konkurencji, to o czym my tu dyskutujemy?
@mordaJakZiemniaczek Z (pobieżnego) zorientowania się w temacie, to Newag przyjął linię obrony wg. której to nie oni wgrali Geo-fencing, a jacyś źli hackerzy zmodyfikowali oprogramowanie: wszystko co odkrył Dragons Sector nie jest winą Newag.
Z tego też powodu wypytują o wersjonowanie i podpisy elektroniczne. Podpisy elektroniczne dowodziłoby wprost, że dane oprogramowanie było autorstwa Newag.
@matips oni przyznali w ogóle, że jest możliwość, że soft był zmieniany?
Przesłuchałem tylko fragmenty i oni stawali na tym, że możliwość pobrania zrzutu z PLC jest "podatnością" którą DS wykorzystali. Na pytanie czemu sprzedają pociągi z taką "podatnością", odpowiadaja, że nie była podatnością jak pociąg był oddawany. Na tym opierają swoją obronę, że nikt nie powinien móc legalnie zobaczyć co zrobili więc oskarżenie nie ma znaczenia.
To tak jakby ktoś nagrał Cię przez szybę jak kogoś mordujesz, zaniósł to na policję a Ty byś się bronił tym, że nie życzysz sobie, żeby ktoś Cię podglądał przez tę szybę i całe to morderstwo to spisek nagrywającego, bo jego tam w ogóle nie powinno być. Tylko trup jest prawdziwy i śmierdzi, ale to ignorujesz i grozisz nagrywającemu pozwem.
Zaloguj się aby komentować
Zatrzymani, przejmowali konta profili społecznościowych należących do innych osób. A następnie pod wyłudzali kody BLIK. Pieniądze wypłacali w różnych bankomatów.
Dodatkowo wystawiali na sprzedaż podrabiane towary w postaci ubrań znanych marek oraz sprzętu RTV, wprowadzając w błąd kupujących co do faktu ich autentyczności.
W trakcie czynności zabezpieczono sprzęt w postaci telefonów komórkowych, komputerów i innych cyfrowych nośników danych, a także środki psychoaktywne w postaci marihuany oraz materiały o charakterze pedofilskim. Funkcjonariusze zabezpieczyli również kryptowalutę, którą podejrzani kupowali za środki pochodzące z czynów zabronionych.
Wstępnie, ustalono ponad 50 pokrzywdzonych, zaś straty szacowane są na kilkadziesiąt tysięcy złotych. Zasadne jest jednak podkreślenie, iż postępowanie znajduje się na wstępnym etapie i wysoce prawdopodobne jest ustalenie kolejnych osób, które utraciły pieniądze w przestępczym procederze.
źródło:
https://cbzc.policja.gov.pl/bzc/aktualnosci/269,Oszusci-na-tzw-BLIKA-w-rekach-funkcjonariuszy-CBZC.html
#cbzc #policja #cyberbezpieczenstwo #przestepczosc
Zaloguj się aby komentować
Dotyczy problemów automatycznego psucia się pociągów jeśli te będą stały dłużej niż 10/21 dni w serwisie zewnętrznym (nie producenta) itp.
Niejasności wokół problemów z pojazdami Impuls - Zespół ds. Walki z Wykluczeniem Transportowym - Paulina Matysiak
https://www.youtube.com/live/KoGpr_LhAKc
Plan:
0
0
0
1
W 1
https://www.youtube.com/live/KoGpr_LhAKc?feature=shared&t=5450
Jeden z członków komisji:
Komisja dotyczy oprogramowania w pociągach, a Pan pokazuje niedokręcona śrubę.
Newag:
Prezentacja w naszej ocenie kompleksowo obrazuje całą tą sytuację.
1
https://www.youtube.com/live/KoGpr_LhAKc?feature=shared&t=5764
Newag zarzuca przewoźnikowi, że ten zbyt opieszale zajmował się usuwaniem grafiti z pociągów.
Newag zwraca też uwagę na temat problemu serwisu wentylacji, klimatyzacji i toalet w pociągach.
A z bardziej poważnych:
Newag twierdzi że odpowiedzialność za przeglądy taborów odpowiada przewoźnik. Przewoźnik kupił tabory w pakiecie "licencji i dokumentacji" pozwalające na serwisowanie w trybie P1 i P2, natomiast te dokumentacje nie są wystarczające na przeprowadzenie serwisów P3, P4 oraz P5. A taka opcja dokumentacji była dostępna do zakupu, za dopłatą.
Jednak zgodnie z ogólnymi warunkami zamówienia (przetarg), miała być dostarczona dokumentacja pozwalająca na wszelkie przeglądy. Newag bezczelnie betonuje rynek. Grał na to, aby jakikolwiek inny serwis nie był w stanie przeprowadzić serwisu (bo brak dokumentacji i kodu źródłowego), aby zawsze musiał z podwiniętym ogonem gonić do Newagu.
Już po wybuchu afery, newag nalegał o aktualizację softu u przewoźnika polregio i innych. Przewoźnik nie wyraził zgody na aktualizację, newag wgrał zdalnie : )
Ciekawe jest też pytanie przedstawiciela kolei dolnośląskich do Newag
2
https://www.youtube.com/live/KoGpr_LhAKc?feature=shared&t=7957
Na które newag oczywiście nie odpowiedział.
Nie odpowiedział na wszystkie niewygodne pytania, zasłaniając się paragrafami, czasem z czapki np. paragraf o zakazie rozpowszechniania/piracenia softu xD
Kilka razy też wspomniał że o zarzutach zdecyduje sąd... Tak, armia prawników już na pewno gotowa, będzie się to toczyć latami, a najcięższe działa zostaną wytoczone przez Newag przeciwko chłopakom z Dragon Sector.
Dziękuję @Unknow za zamieszczenie nagrania z komisji w jego newsletterze:
https://www.hejto.pl/wpis/nowe-wydanie-newslettera-unknownews-un-newag-powraca-tajemnice-gpt-5-style-do-mi
#kolej #dragonsector #pociagi #pkp #newag
Kolejne złoto dla ludzi z dobrym słuchem:
1
xDˣᴰ
@spawaczatomowy a co tam jest w 1
@quagmire_rod ja tam słyszę "trochę mniej emocji // dobrze"
@Marchew dźwięk zrąbany?
@prosto_w_srodek_dupy
Jest słabo, niestety tak się nagrało na samej komisji. To nie wina YT.
Podobno na słuchawkach lepiej.
Tak to jest kiedy nie ma kto walczyć z dźwiękiem podczas posiedzenia, mikrofony kierunkowe też nie pomagają.
Kolejne posiedzenie. Popcorn wskazany, płyny sugeruję odstawić na czas oglądania poza zasięg
@tylko_grzanki Dzięki, zapomniałem dać Suba pani Poseł, przegapiłbym!
Zaloguj się aby komentować
