LXQt, the desktop environment that is to KDE what Xfce is to GNOME, has released version 2.1.0, and while the version number change seems average, it’s got a big ace up its sleeve: you can now run LXQt in a Wayland session, and they claim it works quite well, too, and it supports a wide variety of compositors. Through its new component lxqt-wayland-session, LXQt 2.1.0 supports 7 Wayland sessions (with Labwc, KWin, Wayfire, Hyprland, Sway, River and Niri), has two Wayland back-ends in lxqt-panel (one for kwin_wayland and the other general), and will add more later. All LXQt components that are not limited to X11 — i.e., most components — work fine on Wayland. The sessions are available in the new section Wayland Settings inside LXQt Session Settings. At least one supported Wayland compositor should be installed in addition to lxqt-wayland-session for it to be used. There is still hard work to do, but all of the current LXQt Wayland sessions are quite usable; their differences are about what the supported Wayland compositors provide. ↫ LXQt 2.1.0 release announcement This is great news for LXQt, as it ensures the desktop environment is ready to keep up with what modern Linux distributions provide. Crucially and in line with what we’ve come to expect from LXQt, X11 support is a core part of the project, and they even go so far as to say “the X11 session will be supported indefinitely”, which should set people preferring to stay on X11 at ease. I personally may have gleefully left X11 in the dustbin of history, but many among us haven’t, and it’s welcome to see LXQt’s clear promise here. Many of the other improvements in this release are tied to Wayland, making sure the various components work and Wayland settings can be adjusted. On top of that, there’s the usual list of bug fixes and smaller changes, too.

More bad news from Mozilla. The Mozilla Foundation, the nonprofit arm of the Firefox browser maker Mozilla, has laid off 30% of its employees as the organization says it faces a “relentless onslaught of change.” Announcing the layoffs in an email to all employees on October 30, the Mozilla Foundation’s executive director Nabiha Syed confirmed that two of the foundation’s major divisions — advocacy and global programs — are “no longer a part of our structure.” ↫ Zack Whittaker at TechCrunch This means Mozilla will no longer be advocating for an open web, privacy, and related ideals, which fits right in with the organisation’s steady decline into an ad-driven effort that also happens to be making a web browser used by, I’m sorry to say, effectively nobody. I just don’t know how many more signs people need to see before realising that the future of Firefox is very much at stake, and that we’re probably only a few years away from losing the only non-big tech browser out there. This should be a much bigger concern than it seems to be to especially the Linux and BSD world, who rely heavily on Firefox, without a valid alternative to shift to once the browser’s no longer compatible with the various open source requirements enforced by Linux distributions and the BSDs. What this could also signal is that the sword of Damocles dangling above Mozilla’s head is about to come down, and that the people involved know more than we do. Google is effectively bankrolling Mozilla – for about 80% of its revenue – but that deal has come under increasing scrutiny from regulars, and Google itself, too, must be wondering why they’re wasting money supporting a browser nobody’s using. We’re very close to a web ruled by Google and Apple. If that prospect doesn’t utterly terrify you, I honestly wonder what you’re doing here, reading this.

Steam has finally stopped working on several older Windows operating systems, following a warning from Valve that it planned to drop support earlier this year. With little fanfare, Windows 7 and Windows 8 gaming on Steam is no longer possible following the most recent Steam client update on November 5. ↫ Ben Stockton at PCGamesN It’s honestly wild that Valve supported Windows 7 and 8 for this long for Steam in the first place. They’ve been out of support for a long time, and at this point in time, less than 0.3% of Steam users were using Windows 7 or 8. Investing any resources in continuing to support them would be financially irresponsible, while also aiding a tiny bit in allowing people to use such unsupported, insecure systems to this day. I’m sure at least one of you is still rocking Windows 7 or 8 as your daily driver operating system, so I’m sorry if you don’t want to hear this, but it’s really, really time to move on. Buying a Windows 10 or 11 license on eBay or whatever costs a few euros at most – if you’re not eligible for one the free upgrade programs Microsoft ran – and especially Windows 10 should run just fine on pretty much anything Windows 7 or 8 runs on. Do note that with Windows 10, though, you’ll be back in the same boat next year.

Korzystając z zainfekowanych telefonów, przestępcy rozsyłają wiadomości SMS z informacją o konieczności podjęcia działań wraz z linkiem do złośliwej strony. Jeśli użytkownik zgodzi sie na pobranie i zainstalowanie aplikacji to po uzyskaniu odpowiednich uprawnień przejmuje ona kontrolę nad urządzeniem i wykradać dane z telefonu.

Reklamy opisują platformy inwestycyjne za pomocą których można rzekomo inwestować w kryptowaluty lub akcje firm. Po podaniu wymaganych danych kontaktowych, przedstawiciel firmy oferującej te fałszywe inwestycje kontaktuje się telefonicznie z zainteresowanym i nakłania do zainwestowania przez wykonanie przelewu.

Przestępcy wykorzystują kilka metod propagowania oszustwa oraz zachęcania potencjalnej ofiary do podania poufnych danych związanych z portalem Facebook. Konta te też są wykorzystywane do wyłudzania środków finansowych od osób będących w kręgu znajomych przejętego konta.

Przestępcy przeszukują portale z ogłoszeniami, aby znaleźć potencjalne ofiary oszustwa. Oszust informuje, że jest chętny na zakup przedmiotu i że już za niego zapłacił, a sprzedający musi tylko odebrać środki na własne konto poprzez specjalną stronę. Oszut wysyła link do fałszywej bramki płatności. Podając na niej dane ofiara daje dostęp do konta przestępcom.

Głównym celem tego oszustwa jest zachęcenie potencjalnej ofiary do podania danych logowania do swojego konta bankowości internetowej, aby następnie wyłudzić przechowywane pieniądze.

Sukcesywnie każdego roku CERT Polska rejestruje coraz większą liczbę zgłoszeń oraz incydentów cyberbezpieczeństwa. W 2021 r. CERT Polska zarejestrował 116 071 zgłoszeń. Spośród wszystkich zgłoszeń nasi specjaliści wytypowali 65 586, na podstawie których zarejestrowano łącznie 29 483 unikalnych incydentów cyberbezpieczeństwa.

Rok 2021 był wypełniony poważnymi podatnościami, które bardzo szybko były adaptowane i wykorzystywane przez cyberprzestępców, w szczególności przez grupy ransomware. Zaobserwowaliśmy wyraźny trend wzrostu wykorzystania podatności w oprogramowaniu używanym przez firmy np. Microsoft Exchange czy VMware vCenter, względem tych w oprogramowaniu wykorzystywanym przez użytkownika końcowego, takich jak pakiet Office czy przeglądarka.

Rynek urządzeń mobilnych z roku na rok powiększa się, a w raz z nim liczba ataków na urządzenia mobilne. W 2021 r. do zespołu zespołu CERT Polska trafiło ponad 17,5 tys. zgłoszeń dotyczących szkodliwych aplikacji na systemy operacyjne Android.

Nowy raport, stare techniki – tak w skrócie można ująć kluczowe obserwacje z 2021 r. Przestępcy udoskonalili znane sposoby oszustw i częściej zaczęli sięgać po metody wcześniej rzadko używane. Zapraszamy do lektury.

W ostatnim czasie obserwujemy ataki grupy UNC1151/Ghostwriter z wykorzystaniem techniki Browser in the Browser. Grupa ta od ponad roku atakuje skrzynki pocztowe polskich obywateli. Wykorzystywane techniki z biegiem czasu ulegają zmianie, ale motyw przewodni używanych wiadomości, jak i cel pozostaje ten sam.

Celem tego oszustwa jest nakłonienie ofiary do sparowania aplikacji obsługującej wiadomości SMS z urządzeniem sprawcy poprzez zeskanowanie kodu QR. Następnie dochodzi do obciążenia rachunku ofiary, a w niektórych przypadkach również do próby szantażu.

Fortinet opublikował informację o krytycznej podatności CVE-2022-42475 pozwalającej na zdalne wykonanie kodu bez uwierzytelniania w module SSL-VPN (sslvpnd) dla FortiOS. Podatność była aktywnie wykorzystywana w atakach jeszcze zanim jej istnienie zostało ujawnione.

Ostrzegamy – nastąpił wyciek zaszyfrowanych haseł użytkowników menadżera LastPass. Podczas ataku zostały pobrane pliki z infrastruktury LastPass, zatem atakujący może mieć dostęp do: adresów email, nazwisk, zaszyfrowanych haseł czy niezaszyfrowanych pól.

Przestępcy coraz częściej personalizują swoje kampanie, tworzą je pod potencjalne ofiary. Chcą tak wzbudzić większy niepokój, ale także urealistycznić atak. Osiągają to m.in. zwracając się do adresata bezpośrednio po jego imieniu.

Zespół CERT Polska zaobserwował nowy wariant oszustwa, w którym przestępcy wykorzystują wizerunek Ministerstwa Finansów. Celem tego oszustwa jest zachęcenie potencjalnej ofiary do udostępnienia swoich danych uwierzytelniających do bankowości internetowej.

Ostrzegamy - szkodliwe oprogramowanie z rodziny Hydra ponownie aktywne. Jako cel obiera dane logowania do aplikacji bankowych na systemach Android.

Nowy Rok przyniósł kolejne rozwiązania poprawiające bezpieczeństwo polskiego internetu. Jednym z nich jest Artemis – narzędzie rozwijane przez zespół CERT Polska, które pomaga sprawdzać poziom zabezpieczeń stron internetowych. Weryfikacji podlegają podmioty, w przypadku których, zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, obsługa incydentów koordynowana jest przez CSIRT NASK.

Ostrzegamy - fałszywe reklamy w serwisie Google Search wykorzystywane do propagacji szkodliwego oprogramowania.

Przestępcy próbują doprowadzić do infekcji komputera ofiary wszelkimi możliwymi sposobami. Bardzo częstym wektorem ataku są masowo wysyłane emaile zawierające złośliwe załączniki, które mają zostać otworzone i uruchomione przez ofiarę.

Ostrzegamy przed kampanią phishingową ukierunkowaną na klientów serwisu Netflix. Celem przestępców jest wyłudzenie danych dostępowych do konta oraz poufnych informacji związanych z kartą płatniczą.

W ostatnich latach temat cyberbezpieczeństwa zyskuje coraz większą popularność. Przy okazji pojawiają się różne rekomendacje związane z tym zagadnieniem. W tym artykule skupimy się na wytłumaczeniu dlaczego „kliknięcie w link" nie musi być niebezpieczne oraz przedstawimy argumenty za tym dlaczego porada przestrzegająca przed „podejrzanymi" linkami nie jest klarowna i wymaga więcej wyjaśnienia.

Microsoft opublikował informację o krytycznej podatności CVE-2023-23397 w aplikacji Outlook na systemie Windows. Może ona prowadzić do zdalnego przejęcia hasła domenowego, bez interakcji użytkownika. Podatność była aktywnie używana w atakach przez jedną z rosyjskich grup APT od kwietnia 2022 roku, w tym w Polsce. Rekomendujemy podjęcie natychmiastowych działań we wszystkich organizacjach, których użytkownicy korzystają z poczty poprzez klienta Microsoft Outlook.

Spear phishing jest oszustwem o charakterze socjotechnicznym, wykorzystującym presję autorytetu i czasu, aby skłonić atakowanego do podjęcia niekorzystnego dla niego działania. Fakt, że zazwyczaj informacje potrzebne do przeprowadzenia ataku są publicznie dostępne lub łatwe do uzyskania, czyni to oszustwo popularnym wśród cyberprzestępców.

Jednym z najczęstszych zagrożeń dla internautów, obserwowanych przez nasz zespół, pozostaje phishing. Pozornie nieszkodliwe maile, często wzywające do pilnego działania, mogą prowadzić do fałszywych witryn wyłudzających dane.

Zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego zaobserwowały kampanię szpiegowską łączoną z działaniami rosyjskich służb specjalnych. Celem kampanii było nielegalne pozyskiwanie informacji z ministerstw spraw zagranicznych oraz placówek dyplomatycznych, w większości znajdujących się w państwach należących do NATO i Unii Europejskiej.

Dwudziesta szósta edycja Secure za nami. „Bezpieczeństwo w dobie zmian” – to hasło przewodnie zakończonej właśnie konferencji.

Ubiegły rok w polskiej cyberprzestrzeni możemy podsumować hasłami: znane techniki, nowe okoliczności i wzrost świadomości. Dodatkowo, nie da się ukryć, że na cyberbezpieczeństwo wpływ miała także wojna w Ukrainie. Jak duży był to wpływ? Czego możemy spodziewać się w kolejnych miesiącach w polskiej cyberprzestrzeni i jakie wnioski należy wyciągnąć z ostatnich 12 miesięcy? Odpowiedzi znajdziecie w raporcie rocznym z działalności naszego zespołu.

W tym tygodniu doszło do publikacji dużego zbioru danych wykorzystywanych do logowania przez polskich użytkowników. W ramach tego wycieku udostępniono ponad milion unikalnych rekordów z loginem oraz hasłem do różnych stron. W związku z tym jednostki odpowiedzialne za cyberbezpieczeństwo w Polsce, w tym CERT Polska, podjęły odpowiednie działania w celu ograniczenia skutków tej sytuacji.

Od początku sierpnia CERT Polska jako jedyna instytucja w kraju i jeden z 7 CERT-ów w Europie może nadawać numery CVE, które służą identyfikacji i katalogowaniu publicznie ujawnionych podatności.

Nasza Lista Ostrzeżeń obchodziła w tym roku swoje trzecie urodziny. W tym czasie udało nam się ograniczyć skutki wielu różnych kampanii phishingowych celujących w polskich użytkowników Internetu. W odpowiedzi na zmieniający się krajobraz zagrożeń postanowiliśmy wprowadzić parę zmian w działaniu naszej listy, które pozwolą nam lepiej chronić użytkowników. Zapraszamy do zapoznania się z proponowanymi zmianami oraz podzielenia się swoją opinią.

W module WebInteraface oprogramowania Telwin SCADA CERT Polska wykrył podatność typu Path Traversal (CVE-2023-0956).

Wakacje to czas wyjazdów przede wszystkim dzieci i młodzieży. Poza domem nietrudno o pechowe przygody z telefonem, takie jak zagubienie czy zniszczenie smartfona. Jeśli dziecko znajdzie się w takiej sytuacji, dość prawdopodobne jest, że będzie się kontaktować z rodzicami z innego numeru i na tym właśnie opiera się schemat opisywanego przez nas oszustwa. Bądźcie ostrożni i sprawdźcie zamieszczone przykładowe wiadomości wysyłane masowo przez cyberprzestępców!

CERT Polska otrzymał zgłoszenie o podatności w bibliotece lua-http i nadał jej numer CVE-2023-4540.

25 sierpnia została ogłoszona ustawa z dnia 28 lipca 2023r. o zwalczaniu nadużyć w komunikacji elektronicznej (Dz. U. poz. 1703)

W CERT Polska stale pracujemy nad narzędziami które poprawiają bezpieczeństwo użytkowników internetu w Polsce. Właśnie dlatego stworzyliśmy serwis bezpiecznapoczta.cert.pl, którego celem jest ochrona użytkowników poczty elektronicznej i ułatwienie instytucjom sprawdzenia poprawności konfiguracji mechanizmów podnoszących jej bezpieczeństwo.

W oprogramowaniu UptimeDC firmy ProIntegra S.A wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-4997).

W oprogramowaniu SmodBIP wykryto podatność CSRF (CVE-2023-4837).

Firma Cisco opublikowała informację o krytycznej podatności CVE-2023-20198 w funkcjonalności Web User Interface oprogramowania Cisco IOS XE. Luka umożliwia nieautoryzowanemu złośliwemu użytkownikowi utworzenie konta administratora z poziomu interfejsu użytkownika i przejęcie kontroli nad urządzeniem docelowym.

W oprogramowaniu Apereo Central Authentication Service wykryto podatność pozwalającą na ominięcie wieloskładnikowego uwierzytelnienia (CVE-2023-4612).

W oprogramowaniu SAS 9.4 wykryto podatność typu Reflected XSS (CVE-2023-4932).

Rok 2023 to kolejne działania CERT Polska poprawiające bezpieczeństwo polskiego internetu. Jednym z zainicjowanych w tym czasie projektów był Artemis. Dwanaście miesięcy działania dało imponujące efekty - przeskanowaliśmy ponad 50 tys. domen i adresów IP, odkrywając blisko 180 tys. podatności lub błędnych konfiguracji.

Zespół CERT Polska oraz Służba Kontrwywiadu Wojskowego wraz z zagranicznymi partnerami wykryły, że Rosyjska Służba Wywiadu Zagranicznego (SVR) wykorzystuje podatność CVE-2023-42793 (w JetBrains TeamCity) do szeroko zakrojonych działań, skierowanych przeciwko podmiotom wytwarzającym oprogramowanie.

W oprogramowaniu MegaBIP oraz SmodBIP wykryto podatność Stored XSS (CVE-2023-5378).

W aplikacji eWeLink firmy CoolKit Technology wykryto podatność pozwalającą na ominięcie ekranu blokady (CVE-2023-6998).

W otwartoźródłowej bibliotece class.upload.php wykryto podatność typu Stored XSS (CVE-2023-6551).

Okres świąteczny powoli dobiega końca, zatem najwyższy czas ostatecznie rozprawić się z cyberbombkami. W grudniu przygotowaliśmy dla Was cykl „Rozbrajamy cyberbombki”, w którym obalaliśmy najpopularniejsze mity dotyczące cyberbezpieczeństwa.

W oprogramowaniu PrestaShop Google Integrator firmy PrestaShow wykryto podatność typu SQL injection (CVE-2023-6921).