Titkosítás, biztonság, privát szféra

Alig néhány órája vált publikussá a SIGRed névre hallgató, kritikus Microsoft DNS sebezhetőség, máris fenn van a GitHub-on a sebezhetőségre megjelent első PoC exploit. Elérhető Windows bináris, Linux shell script formában. Mivel az állítólagos exploit egy ismeretlen által került feltöltésre, nem jó ötlet futtatni. Viszont egy dologra mindenképpen felhívja a figyelmet: mielőbb érdemes frissíteni a sebezhető rendszereket, mert csak idő kérdése, hogy mikor bukkan fel a sebezhetőségre egy exploit vagy worm.

Az előadás az XML kihasználhatóságát veszi górcső alá: miután mára a technológia biztonságának szinte minden aspektusát felboncolta a szakértői közösség, most néhány érdekes és ritkán használt támadás kerül terítékre, amelyek részletei a mindennapi munka, sőt, akár bug bounty programok során is hasznosak lehetnek - a 2020.07.07-i HWSW free! IT biztonsági meetupon elhangzott előadásban tapasztalatait Módly Márk, a HardcoreIT biztonsági szakértője osztotta meg.

Akit érdekel az IT biztonság témaköre, mindenképp érdemes ellátogatnia a július 17-én megrendezett Sysadminday rendezvényünkre, ahol a rendszergazdák világnapjának megünneplése mellett további IT biztonsági előadásokkal készülünk!

A Microsoft érdekeltségébe tartozó LinkedIn-t azon kapták, hogy iPhone-nal és iPad-del rendelkező felhasználók vágólapjait olvasgatta. Noha a vállalat azt állította, hogy csak egy szoftverhibáról van szó, egy iPhone felhasználó pert indított érzékeny adatok feltételezett, vágólapról történő engedély nélküli olvasása miatt.

Részletek itt.

Hosszas előzménye van a dolognak, de végül tegnap a US Federal Communications Commission (FCC) hivatalosan nemzetbiztonságot fenyegető entitásoknak nevezte a Huawei-t és a ZTE-t:

Kiadták a Tails 4.8-os verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik. Részletek a bejelentésben.

At a time when cyberthreats from criminals, hackers, and nation states are on the rise, our nation's leaders should not be calling on companies to weaken the encryption that allows us all to communicate privately and securely.https://t.co/hEnd0Oba69

— Will Cathcart (@wcathcart) June 24, 2020

Kedden az USA-ban három republikánus politikus előterjesztett egy Lawful Access to Encrypted Data Act (LAED) nevű törvényjavaslatot, amit ha elfogadnak, a tech cégeknek együtt kellene működnie a nyomozóhatóságokkal, biztosítva azok hozzáférést a titkosított adatokhoz, amennyiben ez segítené azok munkáját. Röviden ez nagy eséllyel ezt jelentené: a tech cégeknek backdoorozniuk kellene az általuk használt titkosítási megoldásokat.

A Reform Government Surveillance koalíció - aminek tagja az Apple, a Dropbox, a Facebook, a Google, a LinkedIn, a Microsoft, a Snap Inc., a Twitter és a Verzion Media - egy közleményt adott ki, amiben a törvénytervezettel szembeni ellenkezését fejezte ki:

Manapság egyre elterjedtebbek az úgynevezett Bug Bounty programok, amelyek során vállalatok jutalmat ajánlanak fel annak, aki biztonsági hibát talál valamely termékükben és ahelyett hogy azt kihasználná, bejelenti nekik. Régebben csak a legnagyobbaknak, mint például a Google-nek és a Facebooknak volt ilyen programjuk, mára viszont komplett platformok jöttek létre ahol több száz program közül lehet válogatni. Schütz Dávid, az ICT Megoldások biztonsági kutatójának a tavaly június 17-i HWSW free! IT biztonsági meetupon tartott előadásából kiderül,  hogy mi is ez és hogyan működik, és hogy merre induljon az, aki ezzel szeretne foglalkozni, de nem tudja hogy kezdjen bele.

Természetesen idén sem maradunk IT biztonsági meetup nélkül, ezt a témakört járja körbe ugyanis a HWSW első nyári meetupja, július 7-én, kedden - továbbra is online formátumban.

A kommunikációt, informatikát és tömegkommunikációt felügyelő orosz szövetségi szolgálat, a Roskomnadzor csütörtökön bejelentette, hogy megszünteti a Telegram üzenetküldő platformhoz való hozzáférés korlátozásait. Az online megosztott nyilatkozatban az ügynökség szerint megállapodás született a szövetségi ügyészekkel a platform feloldásáról.

"Üdvözöljük a Telegram alapítójának [Pavel Durov] készségét a terrorizmus és a szélsőségesség elleni küzdelemre." - magyarázta a Roskomnadzor.

A malware-csörte részleteiről Bencsáth Boldizsár, a CrySys Lab biztonsági szakértője mesélt. A videó a 2018. 04. 25-i HWSW free! IT biztonsági meetupon készült. Nem mai videó, de most kezdtük el elérhetővé tenni a régebbi videókat. Érdemes megnézni, van aktualitása!

"Microsoft has deemed C++ no longer acceptable for writing mission-critical software" https://t.co/f5RmWSL7KP "70% of the CVEs originating at Microsoft are memory safety issues"

— Justin Cormack (@justincormack) June 13, 2020

Részletek itt.