Titkosítás, biztonság

“Huge Dirty COW”, avagy a hiányos "Dirty Cow" patch

 ( trey | 2017. december 4., hétfő - 9:01 )

A Dirty Cow sebezhetőség egyike a legfelkapottabb és legnagyobb publicitást kapott publikált sebezhetőségeknek. Ennek ellenére a javítására elkészített patchet nem elemezték elég alaposan. A Bindecy megtette és arra jutott, hogy az eredeti patch hiányos, nem teljes.

Részletek itt. PoC itt.

Bkav Security - ne használd a Face ID-t üzleti tranzakciókhoz

 ( trey | 2017. november 28., kedd - 11:12 )

"In field of cyber security, this is not secured and we have to raise the security severity level of Face ID. Which means it is not secured for all of us to use Face ID in business transactions, [...] About 2 weeks ago, we recommended that only very important people such as national leaders, large corporation leaders, billionaires, etc. should be cautious when using Face ID," said Ngo Tuan Anh, VP of cyber security at Bkav. "However, with this research result, we have to raise the severity level to every casual users: Face ID is not secure enough to be used in business transactions."

További részletek itt.

Immár 60 millió domaint szolgál ki a Let's Encrypt

 ( trey | 2017. november 28., kedd - 8:51 )

Kernel Exploit Demo - Windows 10 privesc via WARBIRD

 ( trey | 2017. november 27., hétfő - 16:46 )

This vulnerability is pretty nice and easy to understand due to the effort mjurczyk put into the writeup, and is also marked as a "Wont-Fix" from Microsoft which means that 32-bit versions of Windows 10 Creators Edition are still vulnerable.

Részletek itt.

Az Imgur megerősítette, hogy 2013-ban meghackelték

 ( trey | 2017. november 27., hétfő - 12:54 )

Most, 4 évvel később 1,7 millió e-mail cím és feltört jelszó került elő. A 60% már benne volt a "Have I Been Pwned?" adatbázisában. További részletek itt.

Kali Linux 2017.03

 ( trey | 2017. november 23., csütörtök - 10:36 )

Eszközt adott ki az Intel a sebezhető Intel Management Engine-es gépek felismeréséhez

 ( trey | 2017. november 21., kedd - 13:13 )

"Kétezer csapatból második lett a magyar hekkercsapat"

 ( trey | 2017. november 11., szombat - 12:19 )

Gratulálunk!

Zajlik a Mobile Pwn2Own 2017, hullanak a mobil OS-ek

 ( trey | 2017. november 1., szerda - 10:39 )

Tokióban zajlik ma és holnap a Mobile Pwn2Own 2017 konferencia és biztonsági "vetélkedő", amelynek keretében a biztonsági szakemberek napjaink mobil operációs rendszereink, böngészőinek biztonságát teszik próbára. A rendezvény összdíjazása több mint 500 ezer dollár, a legnagyobb spíler pedig elnyerheti a Master of Pwn címet és vele a MoP dzsekit.

Az első nap történései és legnagyobb elesései itt találhatók. További azonnali hírek: @thezdi

Az engedéllyel rendelkező, futó alkalmazás bármikor képet csinálhat rólad és tölthet fel a tudtodon kívül iPhone-on

 ( trey | 2017. október 26., csütörtök - 14:26 )

Felix Krause egy PSA (közérdekű bejelentés) keretében arra a működésre kívánja felhívni a széles nyilvánosság figyelmét, hogy az engedéllyel rendelkező, előtérben (foreground) futó iOS alkalmazás bármikor képet csinálhat (és tölthet fel), arcfelismerést indíthat a felhasználó tudtán kívül, azaz különösebb figyelmeztetés nélkül. Ebből kifolyólag mindenki kétszer gondolja meg, hogy milyen alkalmazásoknak ad kamera jogot. Ez a működés széles körben ismert a hardcore fejlesztők, de kevésbé ismert a laikusok körében. Ezért gondolta a szerző, hogy érdemes erre rávilágítania. A működést demonstrálandó, példaprogramot is készített. Krause-nak javaslatai is vannak arra nézve, hogy ezt a privacy kiskaput hogyan lehetne kezelni, illetve tippeket ad arra nézve, hogy a felhasználó hogyan védheti magát. Részletek itt.

DNS over TLS támogatás érkezhet az Android felhasználókhoz

 ( trey | 2017. október 26., csütörtök - 8:54 )

Az XDA Developers kiszúrta, hogy DNS over TLS támogatással kapcsolatos kódokat commitoltak az AOSP-ba, ami arra utalhat, hogy a következő Android verziókban a felhasználók számára is elérhető funkció lehet a DNS kérések titkosítottan küldése. Természetesen, a funkció megléte önmagában még nem garantálja, hogy teljesen eloszlanak a DNS kérésekkel kapcsolatos privát szféra aggályok ...

Részletek itt.

Hasznalsz otthon VPN-t privacy miatt?

 ( csupka91 | 2017. október 26., csütörtök - 8:39 )
Igen
22% (87 szavazat)
Nem
78% (303 szavazat)
Összes szavazat: 390

A Purism Librem laptopok letiltott Intel Management Engine-nel érkeznek

 ( trey | 2017. október 25., szerda - 13:05 )

A Purism nemrég bejelentette, hogy az általa szállított laptopok letiltott Intel Management Engine-nel érkeznek. Ugyan léteznek leírások az Intel ME letiltására, de a folyamat technikailag kevésbé képzett személyek számára rendkívül bonyolult. Nekik lehet segítség az, hogy a Purism elvégzi helyettük a munkát:

Todd Weaver, a Purism alapítója, vezérigazgatója írta:
Disabling the Management Engine, long believed to be impossible, is now possible and available in all current Librem laptops, it is also available as a software update for previously shipped recent Librem laptops.

Részletek a bejelentésben.

Sikerrel zárt a Librem 5 kampánya

 ( trey | 2017. október 24., kedd - 13:28 )

Útiterv:

Januárban jönnek a wildcard tanúsítványok a Let's Encrypt-től

 ( trey | 2017. október 19., csütörtök - 19:34 )

Majdnem 2 millió dollárnál a Librem5 kampánya

 ( trey | 2017. október 19., csütörtök - 9:44 )

Kernel ASLR NetBSD/amd64-en

 ( trey | 2017. október 12., csütörtök - 14:38 )

Idézet:
Recently, I completed a Kernel ASLR implementation for NetBSD-amd64, making NetBSD the first BSD system to support such a feature. Simply said, KASLR is a feature that randomizes the location of the kernel in memory, making it harder to exploit several classes of vulnerabilities, both locally (privilege escalations) and remotely (remote code executions).

Részletek itt.

Az utóbbi 6 hónapban használtad az Outlook S/MIME funkcióját? Élj a gyanúperrel, hogy a leveled nem titkosítva került elküldésre

 ( trey | 2017. október 12., csütörtök - 12:06 )

A Fake Crypto fantázianévre keresztelt Outlook S/MIME bug részleteit itt olvashatod.

Az izraeliek megtörték a Kaspersky-t és az NSA elleni kémkedésen kapták az orosz titkosszolgálatot

 ( trey | 2017. október 11., szerda - 9:08 )

Mint valamit kémregény. Az izraeli titkosszolgálat megtörte a Kaspersky backend rendszerét és azon kapta az orosz titkosszolgálatot - ami szintén megtörte (vagy nem is kellett megtörnie) a Kaspersky-t -, hogy az az orosz antivírus terméket felhasználva kutatott az NSA gépein titkos dokumentumok, adatok, exploitok stb. után. Az izraeliek értesítették erről amerikai kollégáikat.

Elérte célját a Librem 5 kampánya

 ( trey | 2017. október 10., kedd - 7:31 )

Részletek a kampányoldalon.

1,37 millió dollárnál a Librem 5 kampánya

 ( trey | 2017. október 8., vasárnap - 20:23 )

Részletek a kampányoldalon.

security.txt - szabványjavaslat weboldalak biztonsági irányelveinek közzétételére

 ( trey | 2017. október 8., vasárnap - 19:56 )

A security.txt egy szabványjavaslat weboldalak biztonsági irányelveinek, kapcsolati információinak szabványos közzétételére. A security.txt megoldást adna arra a problémára, hogy a független biztonsági kutatók - etikus hackerek - egy-egy sebezhető weboldal felfedezése esetén szabványos helyen, szabványos formátumú dokumentumban megtalálhassák a weboldal kapcsolati információját, a kommunikációs csatornát, a kommunikációhoz használható publikus kulcsot stb.

Részletek itt és itt.

Az EFF szerint az iOS 11 WiFi és Bluetooth kikapcsolás-kezelése félrevezető és biztonsági probléma a felhasználók számára

 ( trey | 2017. október 6., péntek - 9:38 )
Idézet:
Instead, what actually happens in iOS 11 when you toggle your quick settings to “off” is that the phone will disconnect from Wi-Fi networks and some devices, but remain on for Apple services. Location Services is still enabled, Apple devices (like Apple Watch and Pencil) stay connected, and services such as Handoff and Instant Hotspot stay on. Apple’s UI fails to even attempt to communicate these exceptions to its users.

Részletek itt.

1 millió dollárnál a Librem 5 kampánya

 ( trey | 2017. október 5., csütörtök - 14:12 )

Részletek a kampányoldalon.

Magyar kormányzati adatigénylések - Apple vs. Google

 ( ntomasz | 2017. október 2., hétfő - 9:50 )

A magyar állam személyes adatokat kért ki a két nagyvállalattól azok felhasználóiról. Az Apple szinte zokszó nélkül teljesítette a kéréseket, míg a Google egyet sem adott ki. Részletek itt és itt.