Titkosítás, biztonság, privát szféra

If you are targeted by a big organisation while doing illegal things, you will be caught. Even using a security-hardened OS.
Our goal at /e/ is different. We offer users an opportunity to escape industrial personal data harvesting by net giants.#privacyhttps://t.co/dnH4Q9ZYvT

— Gaël Duval (@gael_duval) June 13, 2020

Azok figyelmébe, akik golyóállónak képzelik magukat: a sztori szerint egy, a Facebookon tevékenykedő gyerekmolesztálót nem tudott visszakövetni az Fabebook, mert Tails-t használt, ami Tor-t alkalmaz a visszakövetés megnehezítése érdekében. Az FBI is számos alkalommal akart betörni a bűnöző gépére, de a Tails által felvonultatott biztonsági mechanizmusok miatt nem jártak sikerrel.

Hungarian ISP got a ~300.000 EUR GDPR penalty after "losing" user data in a left over test DB exposed by a 9 years old CMS vuln [HU]: https://t.co/UrkSthzY6z /via @dn3t

— buherator (@buherator) June 12, 2020

A NAIH határozatából:

Május 15-én Yash Kadakia cybersecurity szakember hozta nyilvánosságra, stílszerűen a Twitteren, hogy durva adatszivárgásból származó adatok keringenek már jó ideje a neten, amik az Európai Parlament szervereiről származnak. A kiszivárgott adatok az europa.eu (az EU hivatalos domainje) szerverekről származnak, és többek között 90 Európai Bizottságnak, 103 Európai Parlamentnek, illetve 1010 további EU felügyeleti szervnek dolgozó munkatárs adatait tartalmazza, olyanokat mint jelszavak, munkaköri leírások, személyes adatok. A Tweat folyamot követve Kadakia megpróbált kapcsolatba lépni az EU informatikai intézményeivel, akik rutinszerűen lepattintották. Ahogy fogalmazott:

If a databreach on a subdomain of http://europa.eu, including: 10 x European Council (@consilium.europa.eu), 90 x European Commission (@ec.europa.eu), 103 x European Parliament (@ep.europea.eu) and 1010 (@europarl.europa.eu) users is not an issue with the EU, what is?

A hír nagy nehezen elérte az illetékeseket is, és kiderült, hogy az adatszivárgás még az addig gondoltaknál is masszívabb, több mint tízezer, a különböző EU intézményekkel kapcsolatban dolgozó embert érint, többek között az Europol és a Frontex szakembereit. Az EU jelenleg megpróbálja azonosítani az összes érintettet, hogy a saját adatvédelmi szabályozásának megfelelően értesítsen mindenkit. Az adatszivárgás állítólag megszűnt, bár a már kijutott adatbázist nyilván nem lehet eltüntetni.

We are excited to announce a new IoT-focused research program, the Azure Sphere Security Research Challenge, with awards up to $100,000 USD! Deadline to apply is May 15, check out the blog post for more information: https://t.co/YGqcSqh6fy

— Security Response (@msftsecresponse) May 5, 2020

A Microsoft bejelentette Azure Sphere Security Research Challenge kihívását, amelynek keretében biztonsági szakemberek akár 100 ezer dollár jutalmat is kaphatnak. A kihívás lényege: hibát kell találni az Azure Sphere-ben. A jelentkezéshez nem árt Linux, ARM, assembly és IoT tapasztalat a security szemlélet mellé:

To ensure the researchers are successful in this research initiative, we suggest participants have experience with Linux, Assembly, ARM processors, and IoT-hardware to research more broadly.

Részletek itt, jelentkezni ezen a formon lehet.

Tails 4.6 is out: https://t.co/dFJW4bdUCz

It updates our list of “Favorites” applications, adds support for Universal 2nd Factor USB security keys, and improves the input method for Japanese.

— Tails (@Tails_live) May 5, 2020

Kiadták a Tails 4.6-os verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

Around 8PM PST on May 2nd, 2020 an attacker used a CVE in our saltstack master to gain access to our infrastructure.

We are able to verify that:
- Signing keys are unaffected.
- Builds are unaffected.
- Source code is unaffected.

See https://t.co/85fvp6Gj2h for more info.

— LineageOS (@LineageAndroid) May 3, 2020

A LineageOS a transzparencia jegyében bejelentette, hogy a biztonsági incidens történt a rendszerén. A vizsgálatok jelenlegi állása alapján az aláíró kulcsaikat, a lefordított buildjeiket és a forráskódjaikat nem érinti a támadás.

You’ve Got (0-click) Mail! Unassisted iOS Attacks via MobileMail/Maild in the Wild via @ZecOps Blog https://t.co/tHbq1ZUuom

— ZecOps (@ZecOps) April 22, 2020

TL;DR:

Exploitation timeline

We are aware of multiple attacks that happened starting from Jan 2018, on iOS 11.2.2. It is likely that the same threat operators are actively abusing these vulnerabilities presently. It is possible that the attacker(s) were using this vulnerability even earlier.

Affected versions:

• All tested iOS versions are vulnerable including iOS 13.4.1. 
• Based on our data, these bugs were actively triggered on iOS 11.2.2 and potentially earlier.
• iOS 6 and above are vulnerable. iOS 6 was released in 2012! Versions prior to iOS 6 might be vulnerable too but we haven’t checked it.

We released KeePassXC 2.5.4 with a proper fix for macOS 10.15.4. TouchID is back. https://t.co/4MEMPaUV9b

— KeePassXC (@KeePassXC) April 9, 2020

Megjelent a nyílt forrású, keresztplatformos (Linux, Windows, macOS) jelszószéf, a KeePassXC 2.5.4-es kiadása. A KeePassXC a KeePassX közösségi forkja.  

Változások: