Titkosítás, biztonság, privát szféra

Update on the Looney Tunables #Linux bug: CISA has ordered U.S. federal agencies to secure their systems, urging administrators to patch their systems as quickly as possible. https://t.co/nW3TQ6kPBk via @BleepinComputer #cybersecurity

— AlmaLinux (@AlmaLinux) November 29, 2023

Októberben felfedeztek egy (a legtöbb Linux disztribúciót érintő) local root sérülékenységet, amelyet "Looney Tunables" névre kereszteltek. A LooneyPwner egy PoC exploit a Looney Tunables-hez.

Just on October 25, 2023 alone another ~$4.4M was drained from 25+ victims as a result of the LastPass hack.

Cannot stress this enough, if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately. pic.twitter.com/26HsxrlnCb

— ZachXBT (@zachxbt) October 27, 2023

ZachXBT értesülése szerint október 25-én, egyetlen nap alatt 4,4 millió dollárnyi kriptovalutához fértek hozzá illetéktelenek legalább 25 kompromittált LastPass fiókon keresztül.

We detected suspicious activity on our Okta instance but confirmed no user data was accessed.

Pedro Canahuati, our CTO, provides more information in this blog post https://t.co/x2bAUvw7ez, which includes our internal Okta Incident Report for additional details.

— 1Password (@1Password) October 23, 2023

Az Okta ügyfeles ticketrendszere kompromittálódott, a támadók hozzáférhettek egyes ügyfelek által beküldött adatokhoz, mellékletekhez. Elvileg magához a szolgáltatáshoz nem fértek hozzá, sem az Auth0/CIC support rendszerhez. Az 1Password, mint Okta ügyfél szintén érintett (de nem jeleztek biztonsági incidenst ezzel összefüggésben).

... QNAP TS-464, Canon imageCLASS MF753Cdw, Lexmark CX-331 ...

Teljes fordulatszámon pörög a Zero Day Initiative (ZDI) népszerű, biztonsági szakemberek számára szervezett "törjünk fel mindent, amit csak tudunk komoly pénzdíjakért és dicsőségpontokért" vetélkedője, a Pwn2Own. Összefoglaló az első napról ☝‍️

Today, we’re happy to announce that the new Proton VPN Linux app is now officially available for everyone. Follow this link for more information: https://t.co/QCl8rkU2Nv.

Please drop a comment below and tell us what you think. pic.twitter.com/uuXsbUJejU

— Proton VPN (@ProtonVPN) October 10, 2023

Mi a Proton VPN?

The world’s only open-source, publicly audited, unlimited and free* #VPN. Swiss-based, no-ads, and no-logs. Brought to you by the scientists from @ProtonPrivacy.

Howto itt.

I just released a blog post on an Android ITW exploit chain: https://t.co/s0YZJ3maYo

A big thanks to Google TAG and the other members of Project Zero who participated in the creation of this blog post and analysis of the chain!

— Seth Jenkins (@__sethJenkins) September 19, 2023

Seth Jenkins, a Google Project Zero tagja egy in-the-wild, azaz (az interneten) valós környezetében felhasznált, modern, Samsung eszközöket célzó exploit-láncot elemez blogján. A Google Threat Analysis Group (TAG) tavaly decemberben talált egy in-the-wild exploitot. A mostani blogpost az egyik exploitálási lánc utolsó szakaszának technikai elemzése, kiváltképp a CVE-2023-0266 (egy 0day az ALSA kompatibilitási rétegben) és a CVE-2023-26083 (egy 0day a Mali GPU driver-ben) biztonsági figyelmeztetőké.

We suspect that this is the same bug that Citizen Lab reported to Apple after detecting an NSO Group exploit chain called "BLASTPASS" that was used to attack on a Washington DC-based civil society organization.

— Ben Hawkes (@benhawkes) September 21, 2023

A Google új CVE-azonosítót (CVE-2023-5129) rendelt a libwebp biztonsági sebezhetőségéhez, amelyet 0day-ként használtak ki a támadásoknál, és amelyet két hete javítottak ki. A CVE-2023-5129 libwebp sebezhetőség átminősítése különösen fontos, mivel kezdetben észrevétlen maradt, mint potenciális biztonsági fenyegetés számos libwebp-t használó projektnél, beleértve az 1Password-öt, Signal-t, Safari-t, Mozilla Firefox-ot, Microsoft Edge-t, Opera-t, az Android natív webböngészőket, LibreOffice-t stb.

Részletek itt.

🚨 Urgent Spyware Alert!

Apple patched 2 new zero-day vulnerabilities in #iOS, iPadOS & #macOS devices, exploited in a zero-click iMessage exploit chain called BLASTPASS to deploy #Pegasus spyware.

Read details & PATCH your devices ASAP: https://t.co/HWUYnmoCMK#cybersecurity

— The Hacker News (@TheHackersNews) September 8, 2023

Az Apple két új 0 day sebezhetőséget javított ki az iOS, iPadOS és macOS rendszereiben. Ezeket a sebezhetőségeket egy olyan, BLASTPASS-nek nevezett zero-click iMessage sebezhetőség-láncban használják ki, amelynek a célja a Pegasus kémprogram telepítése az áldozat készülékeire:

In a separate alert, Citizen Lab revealed that the twin flaws have been weaponized as part of a zero-click iMessage exploit chain named BLASTPASS to deploy Pegasus on fully-patched iPhones running iOS 16.6.

Érdemes mielőbb frissíteni. Részletek itt.

🚀 Get Ready for an Epic Lineup at Hacktivity NOW+NEXT!
🧩 Join us for a live lab session for hands-on experience! Discover game-changing deception techniques that can outsmart even the most advanced attackers.
🎟️Tickets: https://t.co/HhxfgXxIwm#Hacktivity | #Hacktivity2023 pic.twitter.com/vxOdCeron7

— Hacktivity (@hacktivityconf) September 5, 2023

2023-ban huszadik alkalommal rendezik meg Magyarország legjelentősebb professzionális kiberbiztonsági eseményét, a HACKTIVITY-t, amely hagyományosan az információbiztonsági szakma hivatalos és alternatív képviselőit hozza össze a terület iránt érdeklődőkkel, kötetlen, de mégis ismeretterjesztő és sokszor mélyen technikai formában.

A tavalyi évhez hasonlóan a konferencia 2 külön tematizált napra lett bontva. Az első nap, az úgynevezett HACKTIVITY NOW a jól megszokott Hacktivity konferencia lesz, főleg szoftver-specifikus, aktuális kiberbiztonsági előadásokkal és workshopokkal. A HACKTIVITY NEXT elnevezésű második napon viszont olyan, eddig kevéssé érintett jövőbemutató témák kerülnek fókuszba, mint az autóipari biztonság, az IoT- és a beágyazott rendszerek sebezhetőségei.

Jailbreaking Tesla Infotainment Systemshttps://t.co/dpJVXDG5gt

— hackaday (@hackaday) August 6, 2023

A Black Hat USA 2023 rendezvény keretében kerül bemutatásra a holnapután a következő előadás:

A Tesla (járművek) arról váltak ismertté, hogy fejlett és jól integrált autószámítógépekkel rendelkeznek, amelyek a mindennapi szórakozási céloktól a teljes mértékben önvezető képességekig biztosítanak szolgáltatásokat. Legutóbb a Tesla elkezdte ezt a jól kidolgozott platformot használni az autóban történő vásárlások (in-car purchases) lehetővé tételéhez, de nemcsak a további kapcsolódási funkciókhoz, hanem például analóg funkciókhoz is, mint például a nagyobb gyorsulás vagy a hátsó fűthető ülések. Ennek eredményeként az autóba beágyazott számítógép feltörése lehetővé teheti a felhasználók számára, hogy ezeket a funkciókat fizetés nélkül használják.

Az előadásban az előadók bemutatnak egy támadást az újabb AMD-alapú infotainment rendszerek (MCU-Z) ellen, amelyeket az összes legújabb modellekben használnak. A támadás két különböző képességet biztosít: először is, lehetővé teszi az első, nem javítható, AMD-alapú "Tesla Jailbreak" engedélyezését, amelynek segítségével tetszőleges kód futtatása válik lehetségessé az infotainment rendszeren. Másodszor, lehetővé teszi egy egyébként jármű-specifikus, hardverhez kötött RSA kulcs kinyerését, amelyet a Tesla belső szolgáltatási hálózatában történő hitelesítéshez és az autó engedélyezéséhez használnak.