Titkosítás, biztonság

Titkosítás, biztonság

A Google szerint a Nest titkos mikrofonja "hiba" volt

Február elején a Google bejelentette, hogy a Nest Secure - otthoni biztonsági és figyelmeztető rendszer - egy frissítés után várhatóan együtt fog működni a Google Assistant-tel. A probléma ezzel csak az, hogy a felhasználóknak fogalma sem volt arról, hogy a Nest biztonsági eszköz tartalmaz mikrofont. A napokban a Google egyik képviselője azt nyilatkozta a Business Insider-nek, hogy hibát vétettek. A beépített mikrofont sosem szánták titkosnak és annak létezését fel kellett volna tüntetniük az eszköz technikai specifikációjában.

Részletek itt.

Nagyon kritikus hibát javítanak ma este a Drupal 8-ban

A Drupal projekt előre jelezte, hogy készüljenek a Drupal 8.5.x és 8.6.x verziókat üzemeltetők, mert ma este 18:00 és 22:00 óra közt "Highly critical" hibajavítás érkezik.

Részletek itt.

Linux Kernel Runtime Guard 0.6

Solar Designer bejelentette a Linux Kernel Runtime Guard (LKRG) 0.6-os kiadását. A Linux Kernel Runtime Guard egy betölthető Linux kernelmodul kernel exploitok detektálására.

További részletek a projekt wikioldalán.

Tails 3.12.1

Kiadták a Tails 3.12.1-es verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

Érdemes mielőbb iOS 12.1.4-re frissíteni, mert két, benne javított sérülékenységet aktívan kihasználnak jelenleg

A Google egyik biztonsági szakembere arra figyelmeztetett a Twitteren, hogy érdemes mielőbb frissíteni a tegnap kiadott iOS 12.1.4-re, mert a benne javított CVE-2019-7286 és CVE-2019-7287 sérülékenységeket hackerek jelenleg is kihasználják az interneten. Azaz, a sérülékenység kihasználása nem csak elméleti, hanem gyakorlatban is folyamatban van.

A hibák kritikusnak tekinthetők, mert a rosszindulatú támadó kihasználva őket kódot futtathat az áldozat készülékén emelt (CVE-2019-7286) és kernel szintű (CVE-2019-7287) privilégiumokkal. A hibákat mások mellett a Google P0 csapata jelentette be az Apple-nek.

A VLC-nek is van bug bounty programja

A VLC bug bounty programját az Európai Bizottság szponzorálja. A program részletei itt olvashatók.

CrySyS Security Challenge - biztonsággal kapcsolatos tanulmányi verseny magyar főiskolások és egyetemisták számára

A Security Challange egy tanulmányi verseny, ahol a hallgatóknak az IT biztonsággal kapcsolatos versenyfeladatokat, kihívásokat kell megoldania. Nem titkolt cél, hogy a hallgatókat megismertesse a tématerülettel, és megszerettesse azt velük, és segítse a téma iránt fogékony hallgatók kiválasztását, azok bevonását további érdekes kutatási, fejlesztési és egyéb tudományos feladatokba. [...] A verseny nyitott minden magyar egyetem és főiskola hallgatója számára. A részvétel viszont regisztrációhoz kötött. Regisztrálni a versenyt futtató avatao.com oldalon lehet, az ehhez szükséges információk az adott év CrySyS Security Challenge oldalán érhetők el. A BME diákok esetében kérjük az avatao felhasználói profilban a BME affiliációt megadni. Erre azért van szükség, mert a BME diákjait külön is értékeljük. [...] Minden versenyzőtől elvárt a magyar törvények betartása!

A verseny szabályai itt. Részletek itt.

Idén is lesz Pwn2Own

Idén is visszatér a Zero Day Initiative szokásos, éves hackfesztje, a Pwn2Own. A támadható célpontok közt lesznek böngészők, vállalati alkalmazások, szerver oldali és virtualizációs targetek valamint egy Tesla Model 3 is. A bejelentés olvasható.

Metasploit Framework 5.0

Megjelent a Metasploit Framework legújabb nagyobb kiadása. A Metasploit Framework egy nyílt forrású keretrendszer, amely távoli rendszerek ellen bevethető exploitok fejlesztéséhez és futtatásához ad hathatós támogatást. Jelenleg körülbelül 900 1700 exploitot kínál Windows, UNIX/Linux és macOS rendszerekhez. Részletek a bejelentésben.

Kémchipek a beszállítói láncban, avagy válaszok keresése a Supermicro állításaira

Trammell Hudson gyakran szed szét dolgokat. Fenti előadásában olyan implantátumokról beszél, amelyek - elméletben vagy gyakorlatban - előfordulhatnak a beszállítói láncban. Az előadás témája kapcsolódik a nemrégiben nagy port kavaró Bloomberg cikkhez, amely arról szólt, hogy kínai extra (kém)chipet találtak amerikai TOP vállalatok által használt szerver alaplapokon. A Supermicro tagadta, hogy kémchipek lennének az alaplapjain. Számos biztonsági szakember kérdőjelezte meg a Bloomberg cikk valóságtartalmát. Trammell most bemutatja, hogy valójában milyen észrevehetetlen lehet egy hardveres implantátum... A szuper érdekes rész innen kezdődik.