Titkosítás, biztonság

OnePlus vásárlás utáni bankkártya visszaéléseket vizsgál ki a OnePlus Inc.

 ( trey | 2018. január 16., kedd - 8:25 )

Több ügyfél is arra panaszkodik a OnePlus fórumában, hogy miután nemrég hitelkártyával vásárolt a OnePlus.net oldalon, kapcsolódó számláján csalásra utaló tranzakciók bukkantak fel. A cég minden egyes bejelentést kivizsgál. Közben egy FAQ-t hozott létre, ahol nyomon követhetők a fejlemények.

A FAQ megtalálható itt.

Videón a Clear ID, a "kijelzőbe" épített ujjlenyomatolvasó

 ( trey | 2018. január 14., vasárnap - 19:48 )

Nemrég volt szó arról, hogy a Synaptics-nek sikerült megvalósítania a megbízhatóan működő, kijelzőbe épített ujjlenyomat-olvasót. A Clear ID működés közben a fenti videón ...

Részletek itt.

A nap (költői) kérdése: melyik bank lehetett ez?

 ( trey | 2018. január 12., péntek - 12:08 )

Frissítettem J5ET58WW-ről J5ET59WW-re (avagy UEFI BIOS update Spectre és egyéb biztonsági javítások miatt)

 ( trey | 2018. január 9., kedd - 12:55 )

Lassan egy hete már annak, hogy először hallottunk a Meltdown és Spectre sebezhetőségekről. A gyártók elvileg mára tervezték az összehangolt közlést és a patchek kiadását. A Lenovo is tartotta magát a menetrendhez és ma frissített UEFI BIOS image-et adott ki a laptopomhoz. A frissítés leírásában szerepel, hogy javítást hoz egyéb biztonsági problémák mellett a CVE-2017-5715-re (Spectre), úgyhogy "ezen ne múljon!" felkiáltással nekiálltam beleírni a gépem erre a célra fenntartott részébe.

Lenovo Thinkpad - Spectre javítás

Gyógyszerek nevét cseréli fel az autocorrect az Apple operációs rendszerében

 ( trey | 2017. december 27., szerda - 10:02 )

Felhasználók próbálják felhívni az Apple figyelmét arra, hogy operációs rendszerének autocorrect funkciója gyógyszerek nevét cseréli fel. A hibát felfedező arra hivatkozik, hogy orvosi rendelőben is használnak (megmagyarázhatatlan okból) MacBook-ot, így ez akár veszélyes is lehet.

Haven - csinálj "őrszemet" egy tartalék okostelefonból!

 ( trey | 2017. december 25., hétfő - 14:00 )

Edward Snowden és csapata egy Haven nevű Android alkalmazáson dolgozik. Az alkalmazás egy felesleges androidos okostelefonból (és annak szenzoraiból) egy olyan őrszemet csinál, amely folyamatosan figyeli a környeztet és ügyel a fontos dolgaink vagy akár személyek biztonságára. Az alkalmazás folyamatos fejlesztés alatt áll és megtalálható a Play Store-ban.

Részletek itt.

Az Európai Bizottság bejelentette első Bug Bounty programját

 ( trey | 2017. december 4., hétfő - 16:09 )

Beépített kamerával rendelkező eszközeimen ...

 ( Hiena | 2017. december 4., hétfő - 9:05 )
extra hardveres védelmet alkalmazok leskelődés ellen.
23% (89 szavazat)
extra szoftveres védelmet alkalmazok leskelődés ellen.
3% (12 szavazat)
extra szoftveres és hardveres védelmet alkalmazok leskelődés ellen.
1% (3 szavazat)
Nem alkalmazok semmilyen védelmet.
69% (262 szavazat)
Nincs beépített kamerával rendelkező eszközöm.
3% (13 szavazat)
Összes szavazat: 379

“Huge Dirty COW”, avagy a hiányos "Dirty Cow" patch

 ( trey | 2017. december 4., hétfő - 8:01 )

A Dirty Cow sebezhetőség egyike a legfelkapottabb és legnagyobb publicitást kapott publikált sebezhetőségeknek. Ennek ellenére a javítására elkészített patchet nem elemezték elég alaposan. A Bindecy megtette és arra jutott, hogy az eredeti patch hiányos, nem teljes.

Részletek itt. PoC itt.

Bkav Security - ne használd a Face ID-t üzleti tranzakciókhoz

 ( trey | 2017. november 28., kedd - 10:12 )

"In field of cyber security, this is not secured and we have to raise the security severity level of Face ID. Which means it is not secured for all of us to use Face ID in business transactions, [...] About 2 weeks ago, we recommended that only very important people such as national leaders, large corporation leaders, billionaires, etc. should be cautious when using Face ID," said Ngo Tuan Anh, VP of cyber security at Bkav. "However, with this research result, we have to raise the severity level to every casual users: Face ID is not secure enough to be used in business transactions."

További részletek itt.

Immár 60 millió domaint szolgál ki a Let's Encrypt

 ( trey | 2017. november 28., kedd - 7:51 )

Kernel Exploit Demo - Windows 10 privesc via WARBIRD

 ( trey | 2017. november 27., hétfő - 15:46 )

This vulnerability is pretty nice and easy to understand due to the effort mjurczyk put into the writeup, and is also marked as a "Wont-Fix" from Microsoft which means that 32-bit versions of Windows 10 Creators Edition are still vulnerable.

Részletek itt.

Az Imgur megerősítette, hogy 2013-ban meghackelték

 ( trey | 2017. november 27., hétfő - 11:54 )

Most, 4 évvel később 1,7 millió e-mail cím és feltört jelszó került elő. A 60% már benne volt a "Have I Been Pwned?" adatbázisában. További részletek itt.

Kali Linux 2017.03

 ( trey | 2017. november 23., csütörtök - 9:36 )

Eszközt adott ki az Intel a sebezhető Intel Management Engine-es gépek felismeréséhez

 ( trey | 2017. november 21., kedd - 12:13 )

"Kétezer csapatból második lett a magyar hekkercsapat"

 ( trey | 2017. november 11., szombat - 11:19 )

Gratulálunk!

Zajlik a Mobile Pwn2Own 2017, hullanak a mobil OS-ek

 ( trey | 2017. november 1., szerda - 9:39 )

Tokióban zajlik ma és holnap a Mobile Pwn2Own 2017 konferencia és biztonsági "vetélkedő", amelynek keretében a biztonsági szakemberek napjaink mobil operációs rendszereink, böngészőinek biztonságát teszik próbára. A rendezvény összdíjazása több mint 500 ezer dollár, a legnagyobb spíler pedig elnyerheti a Master of Pwn címet és vele a MoP dzsekit.

Az első nap történései és legnagyobb elesései itt találhatók. További azonnali hírek: @thezdi

Az engedéllyel rendelkező, futó alkalmazás bármikor képet csinálhat rólad és tölthet fel a tudtodon kívül iPhone-on

 ( trey | 2017. október 26., csütörtök - 13:26 )

Felix Krause egy PSA (közérdekű bejelentés) keretében arra a működésre kívánja felhívni a széles nyilvánosság figyelmét, hogy az engedéllyel rendelkező, előtérben (foreground) futó iOS alkalmazás bármikor képet csinálhat (és tölthet fel), arcfelismerést indíthat a felhasználó tudtán kívül, azaz különösebb figyelmeztetés nélkül. Ebből kifolyólag mindenki kétszer gondolja meg, hogy milyen alkalmazásoknak ad kamera jogot. Ez a működés széles körben ismert a hardcore fejlesztők, de kevésbé ismert a laikusok körében. Ezért gondolta a szerző, hogy érdemes erre rávilágítania. A működést demonstrálandó, példaprogramot is készített. Krause-nak javaslatai is vannak arra nézve, hogy ezt a privacy kiskaput hogyan lehetne kezelni, illetve tippeket ad arra nézve, hogy a felhasználó hogyan védheti magát. Részletek itt.

DNS over TLS támogatás érkezhet az Android felhasználókhoz

 ( trey | 2017. október 26., csütörtök - 7:54 )

Az XDA Developers kiszúrta, hogy DNS over TLS támogatással kapcsolatos kódokat commitoltak az AOSP-ba, ami arra utalhat, hogy a következő Android verziókban a felhasználók számára is elérhető funkció lehet a DNS kérések titkosítottan küldése. Természetesen, a funkció megléte önmagában még nem garantálja, hogy teljesen eloszlanak a DNS kérésekkel kapcsolatos privát szféra aggályok ...

Részletek itt.

Hasznalsz otthon VPN-t privacy miatt?

 ( csupka91 | 2017. október 26., csütörtök - 7:39 )
Igen
22% (87 szavazat)
Nem
78% (303 szavazat)
Összes szavazat: 390

A Purism Librem laptopok letiltott Intel Management Engine-nel érkeznek

 ( trey | 2017. október 25., szerda - 12:05 )

A Purism nemrég bejelentette, hogy az általa szállított laptopok letiltott Intel Management Engine-nel érkeznek. Ugyan léteznek leírások az Intel ME letiltására, de a folyamat technikailag kevésbé képzett személyek számára rendkívül bonyolult. Nekik lehet segítség az, hogy a Purism elvégzi helyettük a munkát:

Todd Weaver, a Purism alapítója, vezérigazgatója írta:
Disabling the Management Engine, long believed to be impossible, is now possible and available in all current Librem laptops, it is also available as a software update for previously shipped recent Librem laptops.

Részletek a bejelentésben.

Sikerrel zárt a Librem 5 kampánya

 ( trey | 2017. október 24., kedd - 12:28 )

Útiterv:

Januárban jönnek a wildcard tanúsítványok a Let's Encrypt-től

 ( trey | 2017. október 19., csütörtök - 18:34 )

Majdnem 2 millió dollárnál a Librem5 kampánya

 ( trey | 2017. október 19., csütörtök - 8:44 )

Kernel ASLR NetBSD/amd64-en

 ( trey | 2017. október 12., csütörtök - 13:38 )

Idézet:
Recently, I completed a Kernel ASLR implementation for NetBSD-amd64, making NetBSD the first BSD system to support such a feature. Simply said, KASLR is a feature that randomizes the location of the kernel in memory, making it harder to exploit several classes of vulnerabilities, both locally (privilege escalations) and remotely (remote code executions).

Részletek itt.