Miesiąc: listopad 2020

Aplikacja Microsoft App Store nie działa? Sklep Microsoft Windows 10 nie otwiera się?

Można spróbować rejestrować aplikację od nowa i czyścić jej cache:

Fix: Error 0x80070005 on Windows 10 Store – Appuals.com

Jednak to co zadziałało nam najszybciej:

1. Zainstalować poprawkę:  Download Media Feature Pack for N and KN versions of Windows 10 from Official Microsoft Download Center
2. Wpisać w pole wyszukiwania na pasku zadań polecenie WSRESET.exe i uruchomić ten plik jako Administrator.

Ł.W.

Sytuacja z pandemią i obostrzeniami COVID-19 w Polsce wpłynęła znacząco na rynek najmu lokali użytkowych w stolicy. W Warszawie z powodu braku chętnych do najmu powierzchni biurowych spadły ceny za metr kwadratowy od oferentów. Nie bez znaczenia ne tę sytuację oprócz spadku przychodów niektórych firm jest zmiana polityki zatrudnienia a co za tm idzie wykonywania obowiązków pracowniczych. Chodzi o trend przejścia z modelu pracy stacjonarnej na mobilną (w domu). Zmianowy grafik pracy także przyczynił się do zwiększenia ograniczeń powierzchni biur i delegowania do pracy zdalnej. Stąd część lokali świeci pustkami i łatwiej jest upolować dobrą lokalizację, która była poza zasięgiem finansowym przed okresem pandemii.

Od początku listopada 2020 do 24.11.2020 zespół IT Outsourcing Henwar Informatyka dokonał już trzech migracji serwerowni wśród naszych Klientów, którzy zmienili lokalizację swoich siedzib. Wynajęto powierzenie biurowe w okazyjnych aktualnie cenach. Taka przeprowadzka to odpowiedzialne wyzwanie informatyczne i logistyczne:

1. zajmujemy się migracją łącza Internet u operatora Klienta lub organizujemy nowego usługodawcę;
2. pilnujemy adresacji IP aby ciągłość usług IT w nowym biurze była zachowana (poczta e-mail, FTP, aplikacje dziedzinowe, itp.);
3. przygotowujemy okablowanie strukturalne LAN i zasilające 230V dla nowego biura;
4. projektujemy, sprzedajemy i instalujemy infrastrukturę IT tj. punkty dostępowe WiFi, gniazda RJr5 LAN, gniazda 230V, oświetlenie sufitowe, szafy serwerowe, patchpanele (krosownice), ekrany i projektory, TV i prezentery naścienne, serwery i komputery (laptopy i stacje robocze), przewody/kable LAN (patchcordy UTP), światłowody, okablowanie biurek, video rejestratory i kamery itp.;
5. projektujemy okablowanie sygnałowe do kontroli dostępu i video monitoringu na nowej powierzchni;
6. przewozimy sprzęt serwerowy IT pomiędzy lokalizacjami;
7. uruchamiamy nowe biuro pod kątem IT „pod klucz”.

Zapraszamy!

Windows 10 otrzymuje nowe aktualizacje poza standardowym terminarzem. Normalnie Microsoft wypuściłby te łatki w najbliższy Patch Tuesday, który wypada 8 grudnia. Jednak zdecydowano się nie czekać do tego dnia. Zobaczmy, jaki problem rozwiązują nowe uaktualnienia.

Z jednej strony wirtualizacja serwerów jest dobra (również ze względu na bezpieczeństwo) – z drugiej strony – co jeśli ktoś przejmie kontrolę nad hypervisorem?

Taki właśnie scenariusz wg doniesień stosuje już jedna z ekip ransomware:

Szczegóły samych wspomnianych wyżej luk znajdują się tutaj (i tutaj) a dotyczą nie tylko komponentu ESXi. VMWare wylicza takie podatne produkty:

• VMware ESXi
• VMware Workstation Pro / Player (Workstation)
• VMware Fusion Pro / Fusion (Fusion)
• NSX-T
• VMware Cloud Foundation
• VMware vCenter Server

Producent opisuje sam problem w ten sposób:

OpenSLP as used in ESXi has a use-after-free issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.

A malicious actor residing in the management network who has access to port 427 on an ESXi machine may be able to trigger a use-after-free in the OpenSLP service resulting in remote code execution.

A sprawa jest na tyle gorąca, że na chwilę pisania tego newsa część produktów w polu ‚Fixed version’ ma status ‚Patch Pending’.

SOCIAL MEDIA COLLECTS MORE DATA THAN ANYBODY ELSE

Top of the list for data collectors is, perhaps unsurprisingly, Facebook. As a social network, they depend on you giving them access to all your details so they can recommend friends to you, let people know it’s your birthday, suggest groups for you to join and, most importantly, advertise to you.

Ads are how Facebook makes the most of their money – around $16.6 billion to be precise, based on their 2018 reports – so the more they know about you, the more they can sell on. As well as the usual, such as your name, location, email address and date of birth, they also collect a whole load of things you might not be aware you gave away.

In fact, out of all the data a business can legally collect about you, Facebook collects 70.59%.

Instagram comes next in the list. The Facebook-owned app collects 58.82% of all available data, such as your hobbies, height, weight and sexual orientation. Like their owners, they use most of this information for advertising and recommending accounts you should follow.

TINDER USES YOUR HEIGHT, WEIGHT AND PETS TO GET YOU DATES

Dating app Tinder collects 55.88% of available data to help match you with your perfect partner. As well as knowing about your age, sexual orientation, height, interests and if you own a pet! It also stores your bank details, making it easier to upsell you its premium option. Tinder Plus gives you unlimited likes, and the chance to swipe back just in case you’ve missed the love of your life.

However, beyond trying to get you coupled up, Tinder also tracks how you use different social media platforms if you link your accounts. It also stores all the messages you send to matches, meaning all your flirty chats can be used to target you with advertisements and products.

If you see an ad for a very niche kind of toy pop up, now you know why.

GRINDR COLLECTS ALMOST AS MUCH INFORMATION, WITH 52.94% BEING STORED AS YOU LOOK FOR LOVE.

Retailers like Amazon use the LEAST amount of data to target you

Despite being the biggest online retailer in the world, (and spending around $11 billion on advertising in 2019,) Amazon only collects a fraction of datacompared to other businesses, 23.53%.

Beyond the obvious things, like your name, email address,  home address and bank details, it collects little else other than what it needs to run its business.

What it does do is track how you use its site. It monitors the products you look at, the things you buy and the reviews you leave, helping it promote new products to you that match your interests.

General retail came lowest on our list of data-loving companies. IKEA (23.53%), Nike (26.47%) and Depop (26.47) all store your name, email address and home address, along with your bank details to make online purchases easier, but only Nike and Depop store your height and weight to help them target you with more appropriate clothes.

SPOTIFY USES YOUR SOCIAL MEDIA, INTERESTS & PLAYLISTS TO DECIDE WHAT YOU SHOULD LISTEN TO

Music streaming site, Spotify, collects 35.29% of your data, tapping into your social media profiles to understand your interests and hobbies. If you’ve ever been to a gig and shared a photo of it on Instagram, just to find that band in your Spotify recommendations, now you know why.

They also track the music you listen to, enabling them to create playlists based on the kind of thing you like. The end of year roundups they do include all the songs you’ve been listening to, and let you look back on the last 12 months of hits (and occasional misses).

Likewise, Netflix tracks the kind of shows you watch so it can recommend similar titles. It gives programmes a match rating, letting you see how likely you are to enjoy them depending on what you’ve seen before. The data it gathers is designed to give you a better user experience, meaning you’ll keep coming back again and again to see more of the shows it’s found for you.

Spotify and Netflix are good examples of data collection that people don’t mind. As with most sites, they use the information they learn about you to make your experience better, tailoring the platform to suit your needs.

93% OF COMPANIES WILL STORE YOUR EMAIL ADDRESS

Of the companies we asked, 93.75% of them will request and store your email address to be used to stay in touch or for future marketing. An email address is the basic data a company will request from you – any brand you’ve signed up for, any social media you’re connected to, or any shop you’ve bought from will have it on file.

They might never use it, or they might use it to send you weekly emails that you’ll either find really interesting or send straight to your junk mail.

18% OF COMPANIES KNOW HOW MUCH YOU WEIGH

A question you should never ask on a date is one 18.75% of businesses will ask when you first sign up. Brands such as Slimming World, Strava and Nike all want to know it for obvious reasons, but why Credit Karma and Instagram ask for it is anyone’s guess.

CAN OUR DATA COME BACK TO HAUNT US?

Given the wealth of data we share with businesses, it’d be no surprise to see some things revealed about us that we’d rather were kept private. However, thanks to GDPR (and some very secure cyber security software) what companies can actually do with your data is quite limited. Beyond marketing to you and using your data to manage their website, business can’t do a lot more. You shouldn’t get cold calls from businesses you’ve never spoken to, for example, or find your details are being sold. Your data is protected by the policies companies are forced to sign up for, and if they break these policies they could face big fines.

WANT TO MAKE YOUR PRIVACY EXTRA PROTECTED?

Sharing any data comes with a risk. If you want to make sure yours is extra secured, our cyber security software is designed to help protect against viruses, identity theft and more.

Methodology

We analysed 48 apps across various sectors to see which permissions they asked consumers for in their terms and conditions and privacy agreements. Each piece of information requested by any app was turned into a characteristic, totalling 34 data points which allowed us to rank what companies have the most data on their customers across sectors, and attribute a percentage of data used by the app.

Autor: Mary Atamaniuk

CELE ATAKÓW

Uczestnikom konkursu udało się zaatakować najbardziej popularne programy, których używamy na co dzień w pracy, lub poza nią. Oto pełna lista oprogramowania, na które przeprowadzono udane ataki:

• iOS 14 działający na iPhone 11 Pro
• Samsung Galaxy S20
• Windows 10 v2004 (z kwietnia 2020)
• Ubuntu
• Chrome
• Safari
• Firefox
• Adobe PDF Reader
• Docker (Community Edition)
• VMWare ESXi (hipernadzorca)
• QEMU (emulator i virtualizer)
• Firmware routerów TP-Link i ASUS

PODSUMOWANIE

Konkursy hakerskie, takie jak Tianfu Cup, pokazują dużym firmom technologicznym, że nie powinny one spoczywać na laurach i ciągle dbać o bezpieczeństwo swoich produktów. Skoro cały czas istnieją nowe sposoby na skuteczne zaatakowanie danego programu, to należałoby ciągle szukać luk, aby skutecznie uchronić się przez potencjalnymi złośliwymi atakami.

Autor:
Mateusz Lewandowski

Content Specialist / Bulldogjob

Zdalna nauka w szkołach poprzez Microsoft Teams dla jednostek edukacyjnych jest możliwa bez opłat!

Służymy pomocą w nabyciu profesjonalnych kamer internetowych do zdalnego prowadzenia lekcji w wirtualnej klasie i laptopów dla szkół.

Jeśli chcecie Państwo zorganizować pracę zdalną w swojej firmie bądź instytucji, Henwar jako partner Microsoft poleca oprogramowanie Office 365 z Microsoft Teams. Służymy doradztwem, sprzedażą licencji i pomocą przy wdrożeniu. Zapraszamy.

W grupach uczestnicy mogą prowadzić własne, prywatne rozmowy, a później wracać na większe spotkanie. Aby uzupełnić funkcję Breakout rooms, Microsoft wprowadza również obsługę układu siatki 7 × 7, w której nauczyciele mogą wyświetlać do 49 uczestników jednocześnie.

Organizatorzy mogą również zarządzać uprawnieniami dla grup. Na przykład mogą wyłączyć możliwość edytowania i usuwania wiadomości w grupie. Gdy funkcja będzie dostępna w systemie Windows 10 lub macOS, organizatorzy spotkania zobaczą ikonę Breakout Rooms po kliknięciu menu z trzema kropkami.

Zobacz także: Nowe funkcje Microsoft Edge – konkurencja ich nie ma

LEPSZY STATUS

Microsoft Teams jest również wyposażony w funkcję obecności online, która jest ważna, gdy inni chcą sprawdzić Twoją obecność na spotkaniu. Aplikacja oferuje wskaźniki w sieci, na Androidzie, iOS i Windows 10, aby ostrzegać uczestników lub organizatorów o Twojej obecności w Internecie.

Ich stan można sprawdzić, klikając ikonę profilu. Zielony oznacza Dostępny, czerwone kółka oznaczają Zajęty lub Nie przeszkadzać, a żółty wskaźnik sugeruje, że jesteś z dala od swoich zespołów. Stan obecności w trybie online jest ustawiany automatycznie przez aplikację na podstawie Twojej aktywności. Na przykład, jeśli przeglądasz inne aplikacje, Teams pokaże stan „nieobecny”, a stan zmieni się ponownie, gdy użytkownik przejdzie do trybu online.

Jeszcze w tym roku funkcja statusu Microsoft Teams stanie się nieco inteligentniejsza. Microsoft potwierdziła, że pracuje nad dwiema nowymi opcjami funkcji obecności w usłudze Teams. Pojawi się opcja o nazwie „Czas trwania stanu obecności”, która umożliwia wybranie określonego przedziału czasu.

Przykładowo będzie można ustawić swój status „Zajęty” na 30 minut, jedną godzinę, dwie godziny lub cały dzień. W rzeczywistości pojawi się możliwość ustawienia statusu na cały tydzień. Zobaczymy też jeszcze jedną opcję o nazwie „Niestandardowe”, która umożliwia ustawienie własnego czasu dla każdego statusu w aplikacji.

Jeszcze w tym roku użytkownicy będą mogli również ustawić swoją obecność na „Offline”, co poinformuje współpracowników i uczestników, że nie można się z Tobą komunikować. Nowe ulepszenia funkcji obecności zaczną być wdrażane w Microsoft Teams w grudniu 2020 r.

INNE ULEPSZENIA

Microsoft Teams umożliwi też organizatorom i nauczycielom pobranie listy uczestników po zakończeniu spotkania. Wcześniej można było pobrać raport obecności tylko w trakcie spotkania lub gdy uczestnicy byli obecni na sesji.

Ta funkcja jest szczególnie przydatna dla nauczycieli, którzy chcą pobierać raporty obecności pod koniec dnia.

Microsoft wprowadza również nową aktualizację dla użytkowników Androida i iOS z obsługą ulepszonej optymalizacji przepustowości. Poprawi to niezawodność, a nawet logikę wykrywania jakości sieci, aby pomóc użytkownikom szybko przesyłać i uzyskiwać dostęp do plików.

We wrześniu pisaliśmy o tym, że osoby okradzione w internecie nie muszą być nieświadomymi staruszkami. Ofiary mają często poniżej 40 lat, a dają się nabierać na oszustwa wymagające od nich niemałego zaangażowania. Te oszustwa policja jakiś czas temu nazwała “internetowymi wnuczkami” choć naszym zdaniem bardziej właściwy byłby termin “przekręt na zdalny pulpit” (remote access scam).

W tego rodzaju przekrętach z grubsza chodzi o to, aby namówić ofiarę na zainstalowanie w pełni legalnego i uczciwego programu do zdalnej obsługi komputera. Potem oszust może wymagać od ofiary zalogowania się do banku. Zwykle jest tak, że ofiara najpierw namawiana jest do skorzystania z jakiejś usługi finansowej, ale potem występuję “problem techniczny” i do akcji wkracza “konsultant”. Konsultant “wspiera” ofiarę przez zdalny pulpit i ofiary dosłownie patrzą jak czyszczone są ich konta. Nie reagują bo wierzą, że to warunek skorzystania z atrakcyjnej oferty lub pozbycia się jakiegoś problemu.

32-latka straciła 47 tysięcy

Ofiarą takiego własnie oszustwa padła niedawno 32-letnia mieszkanka Gorzowa Wielkopolskiego. Kobieta straciła 47 tys. zł i tym razem policja w komunikacie podała pewne szczegóły. Wiadomo, że kobieta dostała e-mailem propozycje skorzystania z atrakcyjnej oferty handlu kryptowalutami (w komunikacie jest mowa o „programie kryptogenum”). Zaciekawiona ofiara weszła na stronę z dobrymi opiniami, a potem skontaktowała się z konsultantką, która miała mówić z obcym akcentem.

Konsultantka zaproponowała na początek wpłatę do depozytu kwoty 250 dolarów. Następnie skontaktował się z nią mężczyzna, który polecił wykonanie pewnych instrukcji oraz zainstalowanie programu Anydesk (to dobrze znane, legalne narzędzie do zdalnego pulpitu).

Kobieta zainstalowała program. Na polecenie oszusta zalogowała się do banku i dosłownie patrzyła, jak oszust bierze na nią kredyt. Cóż… “konsultant” obiecał, że ostatecznie żadnego kredytu nie weźmie. Po jakimś czasie bank poinformował kobietę o przyznaniu kredytu, a oszust ponownie się z nią skontaktował by “zweryfikować konto portfela kryptowalut”. Przy tej okazji wyłudził od kobiety dane z dowodu osobistego i nakłonił ją do wykonania przelewów. Cóż… ofiara ciągle sądziła, że ma jakieś duże pieniądze do zarobienia (komunikat policji wspomina, że była “zachęcona rezultatami szybkiego zarobku”). Niestety po pewnym czasie, gdy skontaktowała się ze swoim bankiem, dowiedziała się iż została po prostu oszukana.

Policja podkreśla, że to nie jedyny taki przypadek.

Są różne pomysły na wykorzystanie zdalnego pulpitu

Warianty przekrętu

Oszustwa na zdalny pulpit są problemem nie od dziś. Ostrzegali przed nimi m.in. twórcy TeamViewera. Wspomniany Anydesk publikował ostrzeżenia na blogu już rok temu. Model oszustwa opisany przez Anydeska jest bardzo podobny do tego co znamy z Polski tzn.:

• Pierwszy kontakt z ofiarą następuje zwykle przez e-mail, telefon lub komunikator. Szczególnie niebezpieczny jest kontakt telefoniczny bo wielu ludzi ma tendencję do ufania bardziej żywemu człowiekowi po drugiej stronie niż tylko komunikatowi tekstowemu.
• Prędzej czy później następuje prośba o zainstalowanie programu do zdalnego pulpitu i zalogowanie na konto bankowe. Czasami jest ona poprzedzona groźbą (np. “twoje konto może zostać zablokowane”), ale nierzadko wystarczy obietnica szybkich zysków.
• Potrzeba zalogowania się i wykonania nietypowych czynności często jest uzasadniana wystąpieniem problemu technicznego.

Przed przekrętami na zdalny pulpit ostrzegał australijski rządowy serwis Scamwatch. Co ciekawe, w tym kraju obserwowane były warianty polegające na podszywaniu się oszustów pod duże firmy np. Telstrę albo Microsoft. Ofiara była informowana, że jej komputer “wysyła dziwne sygnały”, albo “łącze zostało zhackowane” i prawdopodobnie rozprzestrzenia jakiegoś wirusa. Przy “naprawianiu problemu” ofiary były proszone o logowanie się do różnych usług oraz podawanie danych np. karty płatniczej. Oszuści zwykle byli spokojni i profesjonalni, chyba że ofiara opierała się przed wykonywaniem poleceń. Wówczas stawali się napastliwi (to dość typowe u oszustów).

Z kolei na Węgrzech obserwowany był jeszcze inny wariant scamu. Tam ofierze oferowano kupno nieruchomości po bardzo atrakcyjnej cenie. Rzekomy krewny właściciela miał przesłać ofierze zdjęcia i nawet filmy z nieruchomości, ale właśnie w celu ich przesłania poprosił o instalację Anydeska. Uzyskany w ten sposób dostęp do komputera ofiary został wykorzystany do pozyskania z komputera danych umożliwiających zalogowanie się na konto bankowe. Ponieważ przestępcy musieli jeszcze ominąć 2FA, wykorzystali dane osobowe pozyskane z komputera do wyłudzenia duplikatu karty SIM od operatora. To chyba jedyny znany nam przypadek, gdzie ktoś połączył SIM swaping, socjotechnikę i przekręt na zdalny pulpit.

Co robić? Jak żyć?

Uświadamiaj wszystkim i sam pamiętaj, że:

• tylko posiadacz danego konta może na nim wykonywać czynności. Pracownicy banków, operatorów i innych instytucji finansowych nie mogą prosić o zalogowanie się na konto w celu dokonania na nim zmian zdalnie. Nigdy. Tak nie wolno i już.
• Jeśli “konsultant” proponuje Ci zainstalowanie programu do zdalnego pulpitu (Anydesk, Ammyy Admin, TeamViewer, Mikogo, ThinVNC, UltraVNC i in.) możesz spokojnie założyć, że to przekręt.
• Jeśli pracownik banku, operatora czy nawet prokuratury żąda zweryfikowania danych to najlepiej zaproponuj, że się rozłączysz i sam skontaktujesz się z bankiem (wyjątek może dotyczyć sytuacji, gdy np. wcześniej zleciłeś jakiś przelew, chcesz coś odblokować etc., jednak takie weryfikacje nie powinny być elementem komunikacji, która wyszła ze strony instytucji – por. Jak wygląda rozmowa z oszustem przez telefon?).
• Pracownicy banków, instytucji finansowych i wszelkich innych firm nie powinni wymagać instalowania na komputerze użytkownika jakiegokolwiek oprogramowania od firm trzecich (owszem, mogą wam proponować instalowanie np. oficjalnej aplikacji, ale to powinna być propozycja a nie wymóg).

Poza tym warto warto kierować się w życiu jedną zasadą.

Jeśli ktoś proponuje Ci atrakcyjną transakcję i wydaje się ona zbyt piękna by była prawdziwa to najprawdopodobniej nie jest prawdziwa.

Nie wygrasz też jednocześnie dużej forsy  i dziewczyny. Niestety.

Aktualizacja 5.11.2020 11:01

Również Rzecznik Finansowy postanowił wydać ostrzeżenie przed przekrętami “na zdalny pulpit”. W komunikacie rzecznika znalazł się opis oszustwa przytaczanego przez osobę, która zwróciła się do niego o pomoc.

„Doradca” zaczął od wytłumaczenia, że inwestycja będzie polegała na zakupie akcji Boeinga, które miałby być w danym momencie „przecenione” ze względu na pandemię. Jednocześnie przy pomocy zainstalowanego programu, zaczął wykonywać różne działania na komputerze klienta.

– Nie byłem zorientowany, że przy pomocy tego programu można bez mojej zgody wykonywać operacje, czyli tak działać jakobym to ja działał. Sam wykonywał operacje związane z przelewem, a mnie nieświadomemu pozostało podać mu dane z SMS, które otrzymałem z mojego banku. Po naszym roboczym spotkaniu zajrzałem do mego banku i zobaczyłem, w jak sprytny sposób zostałem okradziony – pisze klient. Oprócz 250 euro klient stracił w ten sposób pieniądze zgromadzone na koncie.

Niestety obawiamy się, że w tym przypadku bank będzie mógł mówić o rażącym niedbalstwie klienta, a to może mieć wpływ na ewentualny zwrot pieniędzy. Zwłaszcza podanie danych z SMS-a należy uznać za przekroczenie pewnej granicy. Pamiętajcie – wasze hasła i kody jednorazowe są tylko dla was.