ICD News #5

internet-czas-dzialac.pl 5 miesięcy temu

Przygotowaliśmy dla Was kolejne zestawienie ciekawych informacji i odnośników, wzbogacone o krótkie komentarze naszego zespołu. Zapraszamy do czytania i dzielenia się swoimi opiniami.

Spis treści

Dział technologiczny

  1. Wells Fargo zwalnia za używanie symulatorów myszy
  2. Francuski sąd każe zepsuć DNS
  3. Błąd w 55-letniej grze naprawiony
  4. Microsoft ma wątpliwości co do Recall?
  5. Apple ogranicza dostęp do książek adresowych

Sekcja bezpieczeństwo

  1. AI przeprowadza cyberataki taniej niż człowiek
  2. Można złamać TPM bez ingerencji sprzętowej
  3. Sygnalista opowiada o nagannych praktykach Microsoftu

Aspekty prawne

  1. Technologia Intelligent Speed Assistance już przymusowa w Unii Europejskiej
  2. Jak zatrzymano Chat Control — europoseł Patrick Breyer zachęca obywateli do dalszego wyrażania sprzeciwu

Dział technologiczny

Wells Fargo zwalnia za używanie symulatorów myszy

Mouse jiggler - Wikipedia
Wikimedia Foundation, Inc.Contributors to Wikimedia projects

Zdalni pracownicy, monitorowani przez automatyczne systemy, czasem uciekają się do stosowania symulatorów myszy (mouse jiggler), żeby udawać, iż aktywnie pracują. Niedawno bank Wells Fargo zwolnił za to grupę pracowników. Ciekawą kwestią pozostaje jak zostało to wykryte…

Francuski sąd każe zepsuć DNS

Google, Cloudflare & Cisco Will Poison DNS to Stop Piracy Block Circumvention * TorrentFreak
Google, Cloudflare, and Cisco must poison their DNS resolvers to prevent access to around 117 domains used by pirate sport streaming sites.
TF PublishingAndy Maxwell

Francuski sąd nakazał firmom Google, Cloudflare i Cisco usunięcie ze swoich DNSów domen usług, które nielegalnie transmitowały wydarzenia sportowe, do których prawa miał Canal+.

Błąd w 55-letniej grze naprawiony

How I Found A 55 Year Old Bug In The First Lunar Lander Game
Update: This kinda blew up! Featured in Hacker News, Ars Technica and PC Gamer, among others. Just months after Neil Armstrong’s historic moonwalk, Jim Storer, a Lexington High School student…
Martin C. MartinMartin C. Martin

Gra Lunar Lander powstała w 1969 roku i zawierała poważny błąd w obliczeniach fizycznych, który został zauważony i poprawiony dopiero w tym tygodniu.

Microsoft ma wątpliwości co do Recall?

Update on the Recall preview feature for Copilot+ PCs
Update: June 13, 2024: Today, we are communicating an additional update on the Recall (preview) feature for Copilot+ PCs. Recall will now shift from a preview experience broadly available for Copilot+ PCs on June 18, 2024, to a preview ava
Windows Experience BlogWindows Experience Blog

Jak wspomnieliśmy w poprzednim odcinku ICD News, Microsoft, po negatywnych komentarzach od użytkowników, postanowił wprowadzić kilka zmian poprawiających prywatność do swojego narzędzia Recall, które miało robić cykliczne zrzuty ekranu, by mogła je analizować sztuczna inteligencja. Teraz poszedł jeszcze dalej i oznajmił, iż Recall nie będzie uruchomiony na wszystkich Copilot+ PC, tylko najpierw zostanie przetestowany w programie Windows Insider.

Apple ogranicza dostęp do książek adresowych

iOS 18 cracks down on apps asking for full address book access | TechCrunch
To give users more control over the contacts an app can and cannot access, the permissions screen has two stages.
TechCrunchSarah Perez

Apple wprowadzi do iOS 18 funkcjonalność utrudniającą aplikacjom dostęp do całej książki adresowej, co ma zapobiegać tworzeniu aplikacji wykorzystujących dostęp do kontaktów w celu pozyskania nowych użytkowników. jeżeli aplikacja poprosi o dostęp do książki adresowej, użytkownik będzie miał możliwość wskazania, które kontakty będzie chciał udostępnić.

Sekcja bezpieczeństwo

AI przeprowadza cyberataki taniej niż człowiek

LLM Agents can Autonomously Hack Websites
In recent years, large language models (LLMs) have become increasingly capable and can now interact with tools (i.e., call functions), read documents, and recursively call themselves. As a result, these LLMs can now function autonomously as agents. With the rise in capabilities of these agents, rece…
arXiv.orgRichard Fang

W ICD Weekend #14 wspominaliśmy o pracy w której badacze wykorzystywali AI oparte na LLM do włamywania się na strony WWW dając im tylko ogólne opisy podatności. Ci sami badacze opublikowali kolejną pracę w której używali wielu instancji GPT-4 Turbo do wykonywania zadań wyznaczanych im przez inną instancję GPT-4 Turbo, których sumarycznym rezultatem było włamanie się na strony WWW dzięki błędom zero-day nieznanym w chwili trenowania tego modelu AI. Udawało się to aż w 54% przypadków - znacznie lepiej niż poprzednio. Badacze jednak nie precyzują jak dokładne były opisy podatności które wykorzystywali.

Apple kontra PWA, ataki na bezprzewodowe ładowarki – ICD Weekend #14
Michał i Kuba omawiają najnowsze kontrowersje dotyczące sposobu, w jakim Apple próbuje się uchronić przed obowiązkami wynikającymi z DMA; o nowych, kreatywnych atakach na bezprzewodowe ładowarki - i wiele więcej
Fundacja Internet. Czas działać!Kuba Orlik

Można złamać TPM bez ingerencji sprzętowej

TPM GPIO fail: How bad OEM firmware ruins TPM security
In this article I demonstrate a software only attack that allows an operating system to set the PCRs of a discrete TPM device to arbitrary values and unseal any secret that uses a PCR based sealing policy (such as disk encryption keys used by unattended unlock TPM FDE schemes).
Mate Kukri

Trusted Platform Module (TPM) to element zabezpieczający współczesne komputery dzięki zintegrowanych kluczy kryptograficznych, niezdradzanych innym elementom systemu. TPM może być zintegrowany z procesorem, ale może też być osobnym układem scalonym. W tym drugim przypadku, autorom tego ciekawego, relatywnie prostego ataku programowego udało się złamać jego zabezpieczenia. Ponieważ TPM wykorzystuje się m.in. do weryfikowania integralności sprzętu, szyfrowania dysków, a także do implementacji DRM, może to umożliwić np. wykradzenie kluczy BitLockera, czy uruchomienie komputera z nieautoryzowanym firmware.

Sygnalista opowiada o nagannych praktykach Microsoftu

Whistleblower Says Microsoft Dismissed Warnings About a Security Flaw That Russians Later Used to Hack U.S. Government
Former employee says software giant dismissed his warnings about a critical flaw because it feared losing government business. Russian hackers later used the weakness to breach the National Nuclear Security Administration, among others.
ProPublicaRenee Dudley,Doris Burke

Były pracownik Microsoftu Andrew Harris opowiada jak jego ostrzeżenia dotyczące luki bezpieczeństwa były przez lata lekceważone przez Microsoft, co miało doprowadzić do udanego, niezwykle poważnego cyberataku SolarWinds. Kongres przesłuchiwał w tej sprawie przedstawicieli Microsoftu w zeszłym tygodniu.

Aspekty prawne

Technologia Intelligent Speed Assistance już przymusowa w Unii Europejskiej

Intelligent speed assistance (ISA) set to become mandatory across Europe | European Road Safety Charter
With the General Vehicle Safety Regulation (EU) 2019/2144, the Commission has taken unprecedented action to help the transport sector and public authorities prepare for the mobility of tomorrow. The objective is to protect Europeans against traffic accidents, poor air quality and climate change, emp…
European Commission logo

Intelligent Speed Assistance to unijny system ostrzegający kierowcę przed nadmierną szybkością, który został wprowadzony dwa lata temu do nowych modeli samochodów, ale od lipca będzie obowiązkowy już dla wszystkich nowych samochodów w ogóle. Regulacja jasno określa, iż system musi pozostawić kierowcy autonomię, jednak samo istnienie systemu, w zależności od jego implementacji, może mieć konsekwencje dla prywatności - np. jeżeli samochód pobiera dane o położeniu z GPS, a dane o ograniczeniach z sieci komórkowej, to bardzo łatwo określić, gdzie się znajduje.

Jak zatrzymano Chat Control — europoseł Patrick Breyer zachęca obywateli do dalszego wyrażania sprzeciwu

Council to greenlight Chat Control - Take action now!
[Update: Vote has been postponed to Thursday, keep up the pressure!] The Belgian EU Council presidency seems set to have bulk Chat Control searches of our private communications greenlighted by EU governments on Wednesday 19 Thursday 20 June. This confirms concerns that the proponents of Chat Con
Patrick Breyeron 15. June 2024

Patrick Breyer — europoseł, nazywany „bojownikiem o wolność cyfrową”, na swojej stronie internetowej zachęcał obywateli UE do wyrażenia sprzeciwu wobec wprowadzenia Chat Control. Póki co głosowanie Rady UE w sprawie zostało odroczone bez wyznaczenia nowego terminu. O tym, jakie jest stanowisko poszczególnych państw unijnych wobec Chat Control, a także działania można podjąć, można dowiedzieć się z materiałów Patricka Breyera:

Chat control vote postponed: Huge success in defense of digital privacy of correspondence!
Today EU governments will not adopt their position on the EU regulation on “combating child sexual abuse”, the so-called chat control regulation, as planned, which would have heralded the end of private messages and secure encryption. The Belgian Council presidency postponed the vote at short notice
Patrick Breyeron 20. June 2024
Idź do oryginalnego materiału