Titkosítás, biztonság

"Kétezer csapatból második lett a magyar hekkercsapat"

 ( trey | 2017. november 11., szombat - 11:19 )

Gratulálunk!

Zajlik a Mobile Pwn2Own 2017, hullanak a mobil OS-ek

 ( trey | 2017. november 1., szerda - 9:39 )

Tokióban zajlik ma és holnap a Mobile Pwn2Own 2017 konferencia és biztonsági "vetélkedő", amelynek keretében a biztonsági szakemberek napjaink mobil operációs rendszereink, böngészőinek biztonságát teszik próbára. A rendezvény összdíjazása több mint 500 ezer dollár, a legnagyobb spíler pedig elnyerheti a Master of Pwn címet és vele a MoP dzsekit.

Az első nap történései és legnagyobb elesései itt találhatók. További azonnali hírek: @thezdi

Az engedéllyel rendelkező, futó alkalmazás bármikor képet csinálhat rólad és tölthet fel a tudtodon kívül iPhone-on

 ( trey | 2017. október 26., csütörtök - 13:26 )

Felix Krause egy PSA (közérdekű bejelentés) keretében arra a működésre kívánja felhívni a széles nyilvánosság figyelmét, hogy az engedéllyel rendelkező, előtérben (foreground) futó iOS alkalmazás bármikor képet csinálhat (és tölthet fel), arcfelismerést indíthat a felhasználó tudtán kívül, azaz különösebb figyelmeztetés nélkül. Ebből kifolyólag mindenki kétszer gondolja meg, hogy milyen alkalmazásoknak ad kamera jogot. Ez a működés széles körben ismert a hardcore fejlesztők, de kevésbé ismert a laikusok körében. Ezért gondolta a szerző, hogy érdemes erre rávilágítania. A működést demonstrálandó, példaprogramot is készített. Krause-nak javaslatai is vannak arra nézve, hogy ezt a privacy kiskaput hogyan lehetne kezelni, illetve tippeket ad arra nézve, hogy a felhasználó hogyan védheti magát. Részletek itt.

DNS over TLS támogatás érkezhet az Android felhasználókhoz

 ( trey | 2017. október 26., csütörtök - 7:54 )

Az XDA Developers kiszúrta, hogy DNS over TLS támogatással kapcsolatos kódokat commitoltak az AOSP-ba, ami arra utalhat, hogy a következő Android verziókban a felhasználók számára is elérhető funkció lehet a DNS kérések titkosítottan küldése. Természetesen, a funkció megléte önmagában még nem garantálja, hogy teljesen eloszlanak a DNS kérésekkel kapcsolatos privát szféra aggályok ...

Részletek itt.

Hasznalsz otthon VPN-t privacy miatt?

 ( csupka91 | 2017. október 26., csütörtök - 7:39 )
Igen
22% (87 szavazat)
Nem
78% (303 szavazat)
Összes szavazat: 390

A Purism Librem laptopok letiltott Intel Management Engine-nel érkeznek

 ( trey | 2017. október 25., szerda - 12:05 )

A Purism nemrég bejelentette, hogy az általa szállított laptopok letiltott Intel Management Engine-nel érkeznek. Ugyan léteznek leírások az Intel ME letiltására, de a folyamat technikailag kevésbé képzett személyek számára rendkívül bonyolult. Nekik lehet segítség az, hogy a Purism elvégzi helyettük a munkát:

Todd Weaver, a Purism alapítója, vezérigazgatója írta:
Disabling the Management Engine, long believed to be impossible, is now possible and available in all current Librem laptops, it is also available as a software update for previously shipped recent Librem laptops.

Részletek a bejelentésben.

Sikerrel zárt a Librem 5 kampánya

 ( trey | 2017. október 24., kedd - 12:28 )

Útiterv:

Januárban jönnek a wildcard tanúsítványok a Let's Encrypt-től

 ( trey | 2017. október 19., csütörtök - 18:34 )

Majdnem 2 millió dollárnál a Librem5 kampánya

 ( trey | 2017. október 19., csütörtök - 8:44 )

Kernel ASLR NetBSD/amd64-en

 ( trey | 2017. október 12., csütörtök - 13:38 )

Idézet:
Recently, I completed a Kernel ASLR implementation for NetBSD-amd64, making NetBSD the first BSD system to support such a feature. Simply said, KASLR is a feature that randomizes the location of the kernel in memory, making it harder to exploit several classes of vulnerabilities, both locally (privilege escalations) and remotely (remote code executions).

Részletek itt.

Az utóbbi 6 hónapban használtad az Outlook S/MIME funkcióját? Élj a gyanúperrel, hogy a leveled nem titkosítva került elküldésre

 ( trey | 2017. október 12., csütörtök - 11:06 )

A Fake Crypto fantázianévre keresztelt Outlook S/MIME bug részleteit itt olvashatod.

Az izraeliek megtörték a Kaspersky-t és az NSA elleni kémkedésen kapták az orosz titkosszolgálatot

 ( trey | 2017. október 11., szerda - 8:08 )

Mint valamit kémregény. Az izraeli titkosszolgálat megtörte a Kaspersky backend rendszerét és azon kapta az orosz titkosszolgálatot - ami szintén megtörte (vagy nem is kellett megtörnie) a Kaspersky-t -, hogy az az orosz antivírus terméket felhasználva kutatott az NSA gépein titkos dokumentumok, adatok, exploitok stb. után. Az izraeliek értesítették erről amerikai kollégáikat.

Elérte célját a Librem 5 kampánya

 ( trey | 2017. október 10., kedd - 6:31 )

Részletek a kampányoldalon.

1,37 millió dollárnál a Librem 5 kampánya

 ( trey | 2017. október 8., vasárnap - 19:23 )

Részletek a kampányoldalon.

security.txt - szabványjavaslat weboldalak biztonsági irányelveinek közzétételére

 ( trey | 2017. október 8., vasárnap - 18:56 )

A security.txt egy szabványjavaslat weboldalak biztonsági irányelveinek, kapcsolati információinak szabványos közzétételére. A security.txt megoldást adna arra a problémára, hogy a független biztonsági kutatók - etikus hackerek - egy-egy sebezhető weboldal felfedezése esetén szabványos helyen, szabványos formátumú dokumentumban megtalálhassák a weboldal kapcsolati információját, a kommunikációs csatornát, a kommunikációhoz használható publikus kulcsot stb.

Részletek itt és itt.

Az EFF szerint az iOS 11 WiFi és Bluetooth kikapcsolás-kezelése félrevezető és biztonsági probléma a felhasználók számára

 ( trey | 2017. október 6., péntek - 8:38 )
Idézet:
Instead, what actually happens in iOS 11 when you toggle your quick settings to “off” is that the phone will disconnect from Wi-Fi networks and some devices, but remain on for Apple services. Location Services is still enabled, Apple devices (like Apple Watch and Pencil) stay connected, and services such as Handoff and Instant Hotspot stay on. Apple’s UI fails to even attempt to communicate these exceptions to its users.

Részletek itt.

1 millió dollárnál a Librem 5 kampánya

 ( trey | 2017. október 5., csütörtök - 13:12 )

Részletek a kampányoldalon.

Magyar kormányzati adatigénylések - Apple vs. Google

 ( ntomasz | 2017. október 2., hétfő - 8:50 )

A magyar állam személyes adatokat kért ki a két nagyvállalattól azok felhasználóiról. Az Apple szinte zokszó nélkül teljesítette a kéréseket, míg a Google egyet sem adott ki. Részletek itt és itt.

13 éves kor alatt és rokonok, ikrek esetén a Face ID nem biztos, hogy jó választás

 ( trey | 2017. szeptember 29., péntek - 8:47 )

Az Apple által kiadott Face ID security guide szerint a Face ID használata 13 éves kor alatti gyerekek, valamint rokonok és ikrek esetén nem biztos, hogy jó választás. Aki emiatt aggódik, az használjon inkább passcode-ot az azonosításhoz.

815 ezer dollárnál a Librem 5 kampánya

 ( trey | 2017. szeptember 28., csütörtök - 13:00 )

Részletek a kampányoldalon.

macOS-en az alkalmazások képesek hozzáférni a felhasználó Keychain-en tárolt adataihoz (user / pass cleartext)

 ( trey | 2017. szeptember 26., kedd - 13:07 )

Video:

Ha egy gép egyszer már malware-rel megfertőzött ....

 ( trey | 2017. szeptember 21., csütörtök - 13:15 )
a gépet soha többé nem tartom már biztonságosnak (nem zárható ki, hogy hardveresen is kompromittálódott - pl. BIOS, VGA flash)
4% (13 szavazat)
a gép ok, de a rajta levő adatokat és OS-t már nem tartom biztonságosnak. Az OS és az adatok is instant kuka.
15% (54 szavazat)
a gép ok, de a rajta levő adatokat és OS-t már nem tartom biztonságosnak. Az OS kuka, az adatokat "vírusirtás" után megtartom.
42% (156 szavazat)
a gép ok, az OS-t és az adatokat "vírusirtás" után megbízhatónak minősítem és megtartom. A gépet tovább használom.
16% (60 szavazat)
nem érdekel, hogy malware-es, elfér a többi mellett. Amíg a malware nem okoz valódi gondot (pl. zárolja a gépet), tőlem maradhat
0% (1 szavazat)
Meggyőződésem, hogy minden gép / OS gyárilag malware-rel / backdoor-ral érkezik, ezért egyáltalán nem bízok meg semmilyen gépben
8% (30 szavazat)
Egyéb, leírom.
2% (6 szavazat)
Csak az eredmény érdekel.
14% (51 szavazat)
Összes szavazat: 371

450 ezer dollárnál a Librem 5 kampánya

 ( trey | 2017. szeptember 18., hétfő - 12:40 )

Részletek a kampányoldalon.

Malware payload-ot találtak az Avast által disztributált CCleaner-ben

 ( trey | 2017. szeptember 18., hétfő - 12:22 )

Idézet: For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner. CCleaner boasted over 2 billion total downloads by November of 2016 with a growth rate of 5 million additional users per week.

A részletek itt olvashatók.

Bashware - a WSL biztonsági implikációira figyelmeztet a Check Point

 ( trey | 2017. szeptember 17., vasárnap - 18:59 )

Idézet:
We have recently found a new and alarming method that allows any known malware to bypass even the most common security solutions, such as next generation anti-viruses, inspection tools, and anti-ransomware. This technique, dubbed Bashware, leverages a new Windows 10 feature called Subsystem for Linux (WSL), which recently exited Beta and is now a fully supported Windows feature.

Részletek itt.