HUP cikkturkáló

A nap sztorija: Panasz érte a Firefoxot, mert nem biztonságosnak jelölte a HTTP-s logint

 ( manfreed | 2017. március 21., kedd - 9:43 )

Nagyon szórakoztató történet kerekedett egy hibajelentésből, amit a Mozilla felé intézett valaki az Oil and Gas International-tól. A jelentés írója megkérdőjelezhető hangnemben kéri számon a Mozillától, hogy miért figyelmezteti kérletlenül a felhasználóit a http feletti login veszélyeire, mondván hogy nekik egy tökéletes biztonsági rendszerük van, ami több mint 15 éve bizonyít.

Az eredeti hibajegy, ami azóta nem érhető el így szól:

Firefox 52: hogyan használjuk tovább a pluginokat

 ( cz | 2017. március 17., péntek - 16:02 )

A Firefox 52-es verziója a Mozilla Firefoxnak az első olyan böngésző verziója ami már nem támogatja a NPAPI pluginokat.

Ez egy jó lépés mert az NPAPI már borzasztóan elavult technológia (több mint 20 éves, sőt) és ami bónuszokat a Flash, Silverlight és a Java kínáltak azt már rég ellensúlyozták a bennük rejlő biztonsági hibák. Az Adobe Flash-t az jelenleg továbbra is használható. Minden más bővítmények pl: Silverlight, Java és a többiek ezáltal a nem támogatott listára kerültek.

Pwn2Own day1: Edge, Safari, Adobe Reader, Ubuntu

 ( toMpEr | 2017. március 16., csütörtök - 23:59 )

Hackers combined the heap overflow with a Windows kernel information leak and a remote code execution vulnerability in the Windows kernel to earn $50,000.

The attack would be the first of two to be carried out against Reader on the day. Later in the afternoon hackers working with Tencent Security used an info leak bug and a use-after-free bug to achieve code execution. They followed that up with leveraging another use-after-free in the kernel to gain SYSTEM-level privileges, earning $25K.

Pre-Installed Android Malware Found On 36 High-end Smartphones

 ( toMpEr | 2017. március 11., szombat - 13:16 )

The malicious apps were not part of the official ROM supplied by the vendor, and were added somewhere along the supply chain. Six of the malware instances were added by a malicious actor to the device’s ROM using system privileges, meaning they couldn’t be removed by the user and the device had to be re-flashed.

Vault 7: CIA Hacking Tools Revealed

 ( fezo | 2017. március 7., kedd - 20:01 )

Erről még semmi hír itt?

https://wikileaks.org/ciav7p1/

Today, Tuesday 7 March 2017, WikiLeaks begins its new series of leaks on the U.S. Central Intelligence Agency. Code-named "Vault 7" by WikiLeaks, it is the largest ever publication of confidential documents on the agency.

Backdoor több százezer Dahua kamerában.

 ( toMpEr | 2017. március 6., hétfő - 18:29 )

Dahua Technology Co., Ltd. is a provider of video surveillance products and services, with the world’s 2nd largest market share, according to a 2015 IMS report.

In short:
You can delete/add/change name on the admin users, you change password on the admin users - this backdoor simply don't
care about that!
It uses whatever names and passwords you configuring - by simply downloading the full user database and use your own
credentials!

This is so simple as:
1. Remotely download the full user database with all credentials and permissions

Summary of the Amazon S3 Service Disruption

 ( RaptoR | 2017. március 3., péntek - 14:47 )

Összefoglaló arról, hogy miért állt le a fél internet kedden: https://aws.amazon.com/message/41926/

The Amazon Simple Storage Service (S3) team was debugging an issue causing the S3 billing system to progress more slowly than expected. At 9:37AM PST, an authorized S3 team member using an established playbook executed a command which was intended to remove a small number of servers for one of the S3 subsystems that is used by the S3 billing process. Unfortunately, one of the inputs to the command was entered incorrectly and a larger set of servers was removed than intended. The servers that were inadvertently removed supported two other S3 subsystems. (...)

Remélem a "felhős" rm -rf-et kiadó illetőnek ismét irodalmi érték közelében van már a vérnyomása. :)

Dirt Rally on Linux

 ( traktor | 2017. március 2., csütörtök - 13:37 )

Kijött, kijött! :) Ahogy igérték, időben. Már vagy 15 percce lehet installálni Linuxon is. ;)
steamdb: DiRT Rally

RASPBERRY PI ZERO W JOINS THE FAMILY

 ( scottscott | 2017. február 28., kedd - 11:42 )

Today is Raspberry Pi’s fifth birthday: it’s five years since we launched the original Raspberry Pi, selling a hundred thousand units in the first day, and setting us on the road to a lifetime total (so far) of over twelve million units. To celebrate, we’re announcing a new product: meet Raspberry Pi Zero W, a new variant of Raspberry Pi Zero with wireless LAN and Bluetooth, priced at only $10.

https://www.raspberrypi.org/blog/raspberry-pi-zero-w-joins-family/

Cloudpets: 2.2 million voice recordings of parents and their children exposed

 ( toMpEr | 2017. február 28., kedd - 1:15 )

The security vulnerability was recently detailed in a lengthy post by Troy Hunt over on his website. The issue, it seems, is CloudPets’ lax security, which allowed ‘a MongoDB that was in a publicly facing network segment without any authentication’ requirements to be indexed by a search engine called Shodan. This database contains extensive information about the company’s users.

https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

The Legend of Zelda: Breath of the Wild

 ( n4buk0d0n0z0r | 2017. február 25., szombat - 22:22 )

Cloudbleed: CloudFlare leaked passwords, 2FA secrets, full HTML in plaintext.

 ( toMpEr | 2017. február 24., péntek - 11:19 )

Big-name websites leaked people's private session keys and personal information into strangers' browsers, due to a Cloudflare bug uncovered by Google researchers.
As we'll see, a single character – '>' rather than '=' – in Cloudflare's software source code sparked the security blunder.

This leak was triggered when webpages had a particular combination of unbalanced HTML tags, which confused Cloudflare's proxy servers and caused them to spit out data belonging to other people – even if that data was protected by HTTPS.

Shattered: Az első SHA1 ütközés

 ( toMpEr | 2017. február 23., csütörtök - 18:48 )

We have broken SHA-1 in practice.
This industry cryptographic hash function standard is used for digital signatures and file integrity verification, and protects a wide spectrum of digital assets, ranging credit card transactions, electronic documents, open-source software repositories and software updates.
It is now practically possible to craft two colliding PDF files and obtain a SHA-1 digital signature on the first PDF file which can also be abused as a valid signature on the second PDF file.

FreeBSD/pc98 - RIP

 ( trey | 2017. február 2., csütörtök - 9:46 )

GitLab.com melts down after wrong directory deleted, backups fail

 ( scottscott | 2017. február 1., szerda - 13:31 )

On Tuesday evening, Pacific Time, the startup issued a sobering series of tweets we've listed below. Behind the scenes, a tired sysadmin, working late at night in the Netherlands, had accidentally deleted a directory on the wrong server during a frustrating database replication process: he wiped a folder containing 300GB of live production data that was due to be replicated.

Just 4.5GB remained by the time he canceled the rm -rf command. The last potentially viable backup was taken six hours beforehand.

Új ROM-ra hívja fel a figyelmet a OnePlus Inc. - Freedom OS

 ( trey | 2017. január 31., kedd - 15:09 )

A Gmail blokkolja a .js csatolmányú leveleket február 13-tól kezdődően

 ( RaptoR | 2017. január 27., péntek - 14:11 )

A tiltott fájltípusok listájához február 13-tól csatlakozni fog a .js (Javascript) is. A teljes lista ezzel a következő kiterjesztéseket tartalmazza:


.ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSP, .MST, .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF, .WSH

A blokkolás bejövő üzeneteknél is érvényes, azaz a Gmail visszadobja a levelet a küldő félnek, ha a levél blokkolt fájlkiterjesztésű csatolmányt tartalmaz.

Forrás: https://gsuiteupdates.googleblog.com/2017/01/gmail-will-restrict-js-file-attachments.html

Apple Inc: A Pre-Mortem

 ( trey | 2017. január 25., szerda - 13:35 )

Idézet:

It is not easy to evaluate a company I love as if they have failed. I have spent tens of thousands of dollars on Apple products, and devoted countless hours studying, admiring and defending the company. However, I started noticing too many uncharacteristic cracks, and I realised turning a blind eye would not help Apple. This brought to mind some sage advice from an old friend:

| The Apple community is making a mistake; they take what Apple does and then try to prove it’s good. Instead, they should judge it on its own merit — Apple’s customers have no problem doing that.

Ref: Apple Inc: A Pre-Mortem

Nyert a Microsoft: nem turkálhatnak az USA hatóságok külföldi szerveren amerikai jog szerint

 ( naszta | 2017. január 24., kedd - 22:24 )

Forrás: The Verge.

Heartbleed 3 évvel késöbb: 199,594 szerver továbbra is sebezhető

 ( toMpEr | 2017. január 23., hétfő - 15:22 )

[code]
Top Countries
United States 42,032
Korea, Republic of 15,380
China 14,116
Germany 14,072
France 8,702
Russian Federation 6,673
United Kingdom 6,491
India 5,827
Brazil 5,497
Italy 4,845
...
Hungary 821

Top Cities
| Budapest | 181 |
| Debrecen | 10 |
| Szeged | 6 |
| Miskolc | 6 |
| Szolnok | 5 |

Top Services
| HTTPS | 675 |
| Webmin | 47 |

ox.io | a tőlünk telhető

 ( esernyofogantyu | 2017. január 19., csütörtök - 14:46 )

Vannak eszközök, amikkel megtehetjük a tőlünk telhetőt a magánélet tiszteletben tartásáért, ami 2o17-ben is egyre nehezebb lesz. Ezek az eszközök ígéretek csupán, röpködő hárombetűs szavak: PGP, RSA, E2E.. De legalább nem azt vállaljuk az olvasatlan apró betűs bepipálásával, hogy minden jogunkról lemondunk.
Az elektronikus levélváltás területén több új szereplő mutatkozott be az elmúlt időszakban. Ezek a társulások az információbiztonság és az adatvédelem szempontjából fejlesztik szolgáltatásaikat, nem követnek minket, nem készletezik adatainkat és nem használják fel azokat ellenünk.
Sokáig vártunk a Dark Mail-re. Hát, rájuk továbbra is várnunk kell. Szintén hosszú feliratkozási szakasszal sereghajtó a ProtonMail, de ők legalább már elindultak. A Tutanota pedig a maga fapados funkcionalitásával eddig az élmezőnyben egyedüliként volt a nevető harmadik.
Eddig - elindult az Open-Xchange bétája és két kisebb szereplő is közeledik az élbolyhoz.

[részletek]