Pomagamy Zrozumieć i Wdrażać Bezpieczeństwo
Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials”, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.
Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.
Czytaj dalej „LPI Security Essentials (Moduł 022.3) – OpenPGP czy S/MIME”
Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials”, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.
Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.
Czytaj dalej „LPI Security Essentials (Moduł 022.1) – Hash Vs Szyfrowanie”
Microsoft opisał nowy atak boczny na zdalne modele językowe (LLM), nazwany Whisper Leak. Pozwala on pasywnemu podsłuchującemu — np. operatorowi sieci, atakującemu w tej samej sieci Wi-Fi lub obserwatorowi na łączu — wnioskować o temacie rozmowy z chatbotem, mimo że ruch jest szyfrowany (HTTPS/TLS). Skuteczność ataku wynika z analizy metadanych ruchu: rozmiarów i czasów nadejścia pakietów podczas strumieniowania odpowiedzi modelu. To nie jest błąd kryptograficzny TLS, tylko nadużycie informacji ujawnianej przez samą naturę strumieniowania tokenów.
Whisper Leak wpisuje się w rosnące portfolio ataków kanałami pobocznymi na LLM:
Microsoft buduje na tych pracach, łącząc rozmiary i timingi pakietów w jeden wektor cech i pokazując, że to wystarcza do trafnego klasyfikowania tematów w ruchu szyfrowanym.
Założenie ataku: napastnik passive network observer ma podgląd do ruchu TLS między klientem a usługą LLM, ale go nie deszyfruje.
Powierzchnia ataku: większość klientów LLM strumieniuje odpowiedź — tokeny (lub małe grupy tokenów) są wysyłane na bieżąco. Dla TLS oznacza to ciąg pakietów o pewnych rozmiarach i przerwach. Ponieważ rozmiar szyfrogramu ~ rozmiarowi plaintextu + stałe narzuty, wzorce długości i czasu stają się „odciskiem palca” danego tematu i sposobu generacji.
Pipeline Whisper Leak (upraszczając):
tcpdump) dla różnych dostawców/modeli. (size_i, Δt_i) z ruchu TLS podczas strumieniowania.Dlaczego to działa?
Minimalny PoC zbierania cech (edukacyjnie):
# przechwyć sesję HTTPS do dostawcy LLM (np. domena api.*)
sudo tcpdump -i eth0 -w llm.pcap 'tcp port 443 and host api.example-llm.com'
# wyodrębnij rozmiary i interwały z PCAP (pyshark)
import pyshark, numpy as np
cap = pyshark.FileCapture('llm.pcap', display_filter='tcp && tls')
sessions = {}
for p in cap:
key = (p.ip.src, p.tcp.stream) if 'TLS' in p else None
if not key: continue
ts = float(p.sniff_timestamp)
size = int(p.length) # długość ramki
sessions.setdefault(key, []).append((ts, size))
features = []
for k, seq in sessions.items():
seq.sort()
dts = np.diff([t for t,_ in seq], prepend=seq[0][0])
feats = list(zip([s for _,s in seq], dts))
features.append(feats)
print("sesji:", len(features))(Powyższe służy naukowym ćwiczeniom nad detekcją wewnętrzną — nie do nadużycia).
stream=False / brak streamu w większości SDK). Segmentuj ruch (oddzielny endpoint/trasowanie dla zapytań wrażliwych).Przykładowe „kontrole” w praktyce (demo):
Mechanizmy blokady konta chronią przed atakami brute force i credential stuffing – czyli przed masowym zgadywaniem haseł lub testowaniem przejętych poświadczeń. W tym artykule omówimy różne rodzaje blokad (tymczasowe, stałe, z opóźnieniem), przytoczymy zalecenia standardów bezpieczeństwa (OWASP, NIST), a także pokażemy przykłady implementacji przy użyciu popularnych narzędzi (m.in. Keycloak, Spring Security, Redis, NGINX). Całość uzupełnimy o najczęstsze błędy, OWASP ASVS, kontekst API Security oraz techniczną checklistę i CTA dla inżynierów, abyś mógł od razu zastosować zdobytą wiedzę w praktyce. Bez zbędnej teorii – skupiamy się na konkretach, tak jak na SecurityBezTabu.pl przystało.
Czytaj dalej „Mechanizmy Blokady Konta Po Błędnych Logowaniach”Zespół Palo Alto Networks Unit 42 opisał nową rodzinę komercyjnego spyware’u dla Androida o nazwie LANDFALL, którą atakujący dostarczali na wybrane smartfony Samsung Galaxy przez zero-day w bibliotece przetwarzania obrazów (libimagecodec.quram.so). Luka otrzymała identyfikator CVE-2025-21042 i umożliwia zdalne wykonanie kodu po przetworzeniu celowo złośliwego pliku DNG (Digital Negative). Samsung załatał błąd w SMR-APR-2025 (Security Maintenance Release), ale ataki trwały przed wydaniem poprawek.
libimagecodec.quram.so, umożliwiający zdalne wykonanie kodu; NVD klasyfikuje wektor jako AV:N/AC:L/PR:N/UI:N (CRITICAL).libimagecodec.quram.so → RCE w kontekście procesu parsera.b.so (loader, „Bridge Head”).l.so — manipulacja polityką SELinux in-memory./data/data/com.samsung.ipservice/files/b.so (loader) i l.so (manipulator polityk SELinux; XZ-kompresja)b.so (JSON + klucz X.509), stałe „Bridge Head v2.1”, parametry czasu pracy (suicide_time), tryb I/P runner.brightvideodesigns[.]com, healthyeatingontherun[.]com, IP m.in. 45.155.250[.]158, 91.132.92[.]35. (pełna lista w raporcie Unit 42). ADB: przegląd artefaktów w podejrzanym urządzeniu testowym
# Połącz urządzenie (tryb debugowania w kontrolowanym labie)
adb shell 'ls -l /data/data/com.samsung.ipservice/files/'
adb shell 'sha256sum /data/data/com.samsung.ipservice/files/* 2>/dev/null'
adb shell 'logcat -d | grep -iE "Bridge Head|b\.so|l\.so"'(szukamy obecności b.so, l.so, plików XZ/ZIP i wzmianki „Bridge Head”).
Suricata (SNI/domains) – minimalny szkic reguł IOC
# Uwaga: dopasowania oparte o SNI/DNS tylko pomocniczo; użyj listy pełnych IoC Unit 42
- action: alert
signature: 'LANDFALL C2 SNI brightvideodesigns'
tls.sni:
- 'brightvideodesigns.com'
- action: alert
signature: 'LANDFALL C2 SNI healthyeatingontherun'
tls.sni:
- 'healthyeatingontherun.com'Sigma (Windows proxy/syslog z MDM) – detekcja nietypowych transferów z urządzeń mobilnych
title: Suspicious Mobile Egress to LANDFALL IoC
status: experimental
logsource:
product: proxy
detection:
sel1:
cs-host|contains:
- brightvideodesigns.com
- healthyeatingontherun.com
- hotelsitereview.com
- projectmanagerskills.com
condition: sel1
level: highlibimagecodec.quram.so), obie umożliwiają RCE przez malformowane DNG; 21042 wykorzystywana w kampanii LANDFALL (załatana kwiecień 2025), 21043 – zgłoszona przez Meta/WhatsApp, potwierdzona eksploatacja w środowisku (wrzesień 2025). QNAP opublikował aktualizacje usuwające 7 podatności typu zero-day wykorzystanych na żywo podczas konkursu Pwn2Own Ireland 2025. Błędy dotyczyły zarówno systemów operacyjnych QTS/QuTS hero, jak i aplikacji: HBS 3 (Hybrid Backup Sync), Malware Remover, Hyper Data Protector oraz – dodatkowo tego samego dnia – QuMagie (krytyczny SQLi). Producent potwierdził dostępność poprawek i podał minimalne wersje, do których należy zaktualizować systemy i aplikacje.
Pwn2Own to konkurs ZDI (Trend Micro), w którym badacze demonstrują exploity 0-day na realnym sprzęcie. Tegoroczna edycja w Cork (21–23 października 2025) zaowocowała dziesiątkami nowych błędów w NAS-ach, urządzeniach IoT i oprogramowaniu. QNAP po wydarzeniu podkreślił „przyspieszoną obronę” – szybkie publikacje łatek i dystrybucję przez App Center (m.in. poprzez Malware Remover).
Zakres i komponenty
Uwaga: w momencie publikacji części CVE dotyczących QTS/QuTS/HBS 3 pozostają w stanie RESERVED w publicznych bazach (brak pełnych opisów), jednak QNAP i biuletyny prasowe podają konkretne wersje naprawcze – to one są obecnie jedynym wiarygodnym punktem odniesienia dla zarządzania ryzykiem.
# Sprawdź wersję systemu (QTS/QuTS hero)
getcfg system version -f /etc/config/uLinux.conf
getcfg system "Build Number" -f /etc/config/uLinux.conf
# Sprawdź wersje zainstalowanych aplikacji (App Center)
getcfg "HBS 3 Hybrid Backup Sync" QPKG_Ver -f /etc/config/qpkg.conf
getcfg "Malware Remover" QPKG_Ver -f /etc/config/qpkg.conf
getcfg "Hyper Data Protector" QPKG_Ver -f /etc/config/qpkg.conf
getcfg "QuMagie" QPKG_Ver -f /etc/config/qpkg.confLogi systemowe i aplikacyjne kieruj do SIEM (syslog/TLS).
Ścieżki istotne w triage:
/var/log/auth.log, /var/log/kern.log, /var/log/apache/ (jeśli aktywne)/etc/config/crontab.Sigma (przykład – zdalne uruchomienie nieznanego binarium przez www):
title: QNAP Suspicious Web Exec
logsource:
product: linux
service: apache
detection:
sel:
cs-method: POST
cs-uri-stem|contains:
- /cgi-bin/
- /phpMyAdmin/
keywords:
- "wget http"
- "curl http"
- "bash -c"
condition: sel and keywords
level: highRok wcześniej QNAP łatał 0-daye z Pwn2Own 2024 (m.in. OS command injection w HBS 3 i SQLi w usłudze SMB). W 2025 r. ponownie trzonem problemu są moduły backupowe i systemy bazowe, ale zakres jest szerszy (7 zero-dayów) i obejmuje nawet Malware Remover. Z punktu widzenia zarządzania ryzykiem to potwierdza, że backup i narzędzia bezpieczeństwa na NAS-ach wymagają takiego samego rygoru testów i segmentacji jak serwery aplikacyjne.
Cisco opublikowało poprawki dla krytycznej podatności w Unified Contact Center Express (UCCX), oznaczonej jako CVE-2025-20354. Błąd wynika z nieprawidłowego mechanizmu uwierzytelniania w procesie Java RMI, co umożliwia zdalne, nieuwierzytelnione wgranie plików i wykonanie dowolnych komend z uprawnieniami root na dotkniętym systemie. Luka ma ocenę CVSS 9.8.
Aktualizacja Cisco adresuje nie jedną, a kilka luk w UCCX – obok CVE-2025-20354 załatano m.in. CVE-2025-20358 (bypass uwierzytelniania w CCX Editor, pozwalający tworzyć i uruchamiać skrypty jako użytkownik wewnętrzny). Media branżowe i dostawcy skanerów podatności podkreślają pilność aktualizacji.
CVE-2025-20354 to krytyczna podatność w UCCX – prosta do wykorzystania, bez logowania i bez interakcji użytkownika, o najwyższych skutkach wpływu. Kluczowe działania to szybkie wdrożenie poprawek, uszczelnienie RMI oraz monitoring pod kątem nadużyć i trwałości atakujących.