Titkosítás, biztonság

Titkosítás, biztonság

A jól megírt konfigurációs fájljaimat...

felhőbe mentem,
24% (49 szavazat)
optikai adathordozóra kíírom (akár több példányban),
0% (1 szavazat)
szinkronizált merevlemezekre írom,
10% (21 szavazat)
elküldöm magamnak e-mailben,
2% (4 szavazat)
kombinálom a fentieket valamilyen módon,
23% (47 szavazat)
másképp; leírom, hogyan csinálom,
8% (17 szavazat)
zseni vagyok, bármikor újraírom,
18% (37 szavazat)
nincsenek védendő konfigfájlaim.
12% (25 szavazat)
Összes szavazat: 201

iPhone-okat évek óta csendben hackelő weboldalakra figyelmeztet a Google biztonsági szakértője

Ian Beer, a Google elismert P0 csapatának tagja arról blogolt minap, hogy kifinomult iOS exploit-láncokat (a sikeresség érdekében több különálló exploit összefűzve) találtak az internet nagyközönség által látogatott részein. Az oldalak legalább két éve támadták a látogatókat válogatás nélkül:

Earlier this year Google's Threat Analysis Group (TAG) discovered a small collection of hacked websites. The hacked sites were being used in indiscriminate watering hole attacks against their visitors, using iPhone 0-day.

There was no target discrimination; simply visiting the hacked site was enough for the exploit server to attack your device, and if it was successful, install a monitoring implant. We estimate that these sites receive thousands of visitors per week.

TAG was able to collect five separate, complete and unique iPhone exploit chains, covering almost every version from iOS 10 through to the latest version of iOS 12. This indicated a group making a sustained effort to hack the users of iPhones in certain communities over a period of at least two years.

I’ll investigate what I assess to be the root causes of the vulnerabilities and discuss some insights we can gain into Apple's software development lifecycle. The root causes I highlight here are not novel and are often overlooked: we'll see cases of code which seems to have never worked, code that likely skipped QA or likely had little testing or review before being shipped to users.

Részletek a blogbejegyzésben.

"Down the Rabbit-Hole... "

Tavis Ormandy egy nagyobb, majd' két évtizede jelen levő (biztonsági) tervezési hibát talált a Windowsban. A technikai leírás itt olvasható.

KDE Plasma sebezhetőségre figyelmeztet a KDE közösség, a fejlesztők dolgoznak a javításon

A hibát és a PoC-t Dominik "zer0pwn" Penner tette közzé a twitteren. A sebezhetőség leírása itt. Videó a sebezhetőség kihasználásáról:

Re: "You Might Want to Uninstall VLC. Immediately."

Előzménynek itt.

Folytatás:

Insurgo PrivacyBeast X230 laptop - Qubes OS fejlesztők ajánlásával

A biztonságot és privát szféra védelmét elsődleges szempontok közt kezelő Qubes OS projekt úgy találta, hogy a Insurgo PrivacyBeast X230 egy olyan laptop, amit érdemes felvenniük a Qubes-tanúsított laptop programba. Aki olyan laptopot keres, amit észszerű keretek közt (nyilván nincs ráhatásuk a gyártási folyamatokra, a kiszállítási procedúrára, hogy azt a végfelhasználóhoz vezető úton módosították-e vagy sem) bevizsgált egy biztonságtudatos projekt, annak ez egy opció lehet.

Részletek itt.

Az O365 használata mostantól törvénytelen számos német iskolában

Mert a 6 milliós lakosú, német Hessen tartomány adatvédelmi biztosa úgy találta, hogy a Microsoft felhős rendszerét alapértelmezett konfigban használva, az tanulói és tanári személyes adatokat tehet elérhetővé amerikai hivatalnokok számára. A probléma:

To allay privacy fears in Germany, Microsoft invested millions in a German cloud service, and in 2017 Hesse authorities said local schools could use Office 365. If German data remained in the country, that was fine, Hesse's data privacy commissioner, Michael Ronellenfitsch, said. But in August 2018 Microsoft decided to shut down the German service. So once again, data from local Office 365 users would be data transmitted over the Atlantic. Several US laws, including 2018's CLOUD Act and 2015's USA Freedom Act, give the US government more rights to ask for data from tech companies. [...] Austrian digital-rights advocate Max Schrems, who summarizes the dilemma. "If data is sent to Microsoft in the US, it is subject to US mass-surveillance laws. This is illegal under EU law."

Részletek itt.

5 milliárd dolláros büntetéssel zárta le a Facebook ellen folytatott vizsgálatát az FTC

A United States Federal Trade Commission (FTC) több hónapos vizsgálatának végére tesz pontot az az 5 milliárd dolláros büntetés, amelyet a Facebookra szabtak ki, annak privacy-t érintő Cambridge Analytica botránya miatt. Mint az ismert, a közösségi háló(zato)t működtető cég lehetővé tette a Cambridge Analytica számára, hogy az több mint 87 millió felhasználó adataihoz férjen hozzá, magukanak a felhasználóknak engedélye nélkül. Részletek itt.

DNS-over-HTTPS (DoH) engedélyezése Firefox böngészőben

The DNS-over-HTTPS (DoH) protocol is currently the talk of the town, and the Firefox browser is the only one to support it. [...] This also means that apps that support DoH can effectively bypass local ISPs traffic filters and access content that may be blocked by a local telco or local government -- and a reason why DoH is currently hailed as a boon for users' privacy and security.

A lépésről lépésre beállítás leírása itt. További infók a Mozilla wikijében.