HUP cikkturkáló

Potential problems arising from use of the technology include a so-called RansomPKP attack. In this breach scenario an attacker would gain control of a targeted site via a server compromise or a domain hijack before enabling HPKP headers for malicious ends.

When your visitors go to your site they pick up the malicious HPKP header set by the bad guys.
At some point you then fix the problem and take back control of your site except now, none of the browsers will connect because of the HPKP policy they picked up from the bad guys.

via
https://scotthelme.co.uk/im-giving-up-on-hpkp/
https://www.theregister.co.uk/2017/08/25/hpkp_crypto_criticism/

A Udemy online kurzusai augusztus 31-ig egységesen 10€-ba kerülnek, ami akár 95%-os kedvezményt is jelenthet. Nem tudom, hogy mindegyik kurzusra vonatkozik-e az akció, amit láttam, az mind 10€ volt.

Mivel a Java EE kommuna működését nem találták elég rugalmasnak, átláthatónak és nyíltnak, az Oracle azt tervezi, hogy egy nyílt forrást kezelő alapítványnak átadja az írányítást.

További részletek itt.

http://m.hvg.hu/itthon/20170817_bubi_adatok

BKK T lazán kapcsolódik.

CVE-2017-9800:
A maliciously constructed svn+ssh:// URL would cause Subversion clients to
run an arbitrary shell command. Such a URL could be generated by a malicious
server, by a malicious user committing to a honest server (to attack another
user of that server's repositories), or by a proxy server.

CVSSv3 Base Score: 9.9 (Critical)
CVSSv3 Base Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C

A successful exploit will run an arbitrary shell command with the privileges
of the Subversion client.

CVE-2017-1000117

A malicious third-party can give a crafted "ssh://..." URL to an
unsuspecting victim, and an attempt to visit the URL can result in
any program that exists on the victim's machine being executed.
Such a URL could be placed in the .gitmodules file of a malicious
project, and an unsuspecting victim could be tricked into running
"git clone --recurse-submodules" to trigger the vulnerability.

CVE-2017-1000115:

Mercurial's symlink auditing was incomplete prior to 4.3, and could be abused to write to files outside the repository.

CVE-2017-1000116:

Mercurial was not sanitizing hostnames passed to ssh, allowing shell injection attacks by specifying a hostname starting with -oProxyCommand. This is also present in Git (CVE-2017-1000117) and Subversion (CVE-2017-9800), so please patch those tools as well if you have them installed. All three tools are doing their security release today.

https://public-inbox.org/git/xmqqh8xf482j.fsf@gitster.mtv.corp.google.c…
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.3_.282017-08-10…
http://subversion.apache.org/security/CVE-2017-9800-advisory.txt
http://blog.recurity-labs.com/2017-08-10/scm-vulns

​Scientists Put Malware in DNA For the First Time - "encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer."​

https://www.wired.com/story/malware-dna-hack

HVG-ről:

Nagyon nem lennénk most az HBO helyében, egy eddig ismeretlen hackercsoport ugyanis azzal állt elő vasárnap este, hogy sikerült betörniük a cég szervereire, ahonnan közel 1,5 TB adatot tudtak kilopni – számolt be róla az Entertainment Weekly. A sztori olyannyira nem légből kapott, hogy már az HBO is megerősítette, igaz, ők "kiberincidensről" beszének.

A hackerek vasárnap az újságírókat tájékoztatták arról, hogy sikerült adatokat lopniuk az HBO szervereiről. Mint kiderült, több, még le nem vetített rész is kikerült a 104-es szoba, valamint a Nagypályások című sorozatból, amelyek már fel is kerültek a netre, de az adatlopás érinti a Trónok harca következő részét is. Ez utóbbbi esetén a rész írott szkritpjeit emelték el a hackerek, és azt ígérik, hamarosan ezt is közzéteszik majd.

Ha mindez nem lenne elég probléma az HBO számára, a feltételezések szerint nemcsak sorozatokat és az azokhoz kötődő dolgokat lophatták el, hanem az alkalmazottak személyes adatait, valamint pénzügyi információkat is. A cég közleményben reagált: eszerint már megkezdték az eset kivizsgálását, és szoros együttműködésben dolgoznak a különböző kiberbiztonsági cégekkel.

http://hvg.hu/tudomany/20170731_hbo_tronok_harca_szivarogtatas_hacker

Az alábbi cikk arról szól, hogy egy startup, hogyan csempészett reklámot néhány nyílt forráskódú eszközbe:

https://theoutline.com/post/1953/how-a-vc-funded-company-is-undermining…

Múlt szombaton átlépte a 20%-ot a Google (userek) IPv6 használata, ami elég jó képet ad a világ IPv6 használatáról, tekintve, hogy a Google-t nagyon nagy számú user használja világszerte. (Kivéve Kínát, ahol a Google keresője blokkolva van.) Hogy a 20% 2017-ben sok vagy kevés arról lehet vitatkozni, mindenesetre ez kb exponenciálisan változik jelenleg, a 10%-ot 2016 jan.1-én lépte át.

Az sem véletlen, hogy a 20%-ot éppen egy szombati napon értük el, jól látható heti ingadozása van a görbének, mindig szombaton vannak a maximumok, ami szerint az otthoni hálózatok IPv6 penetrációja magasabb a vállalati hálózatokénál.

Az oldalon országok szerinti bontásban is szerepelnek az adatok, eszerint Magyarország 10% körül jár, a jobb országok már átlépték a 30%-ot, jelenleg Belgium a legerősebb, ők ~50%-on állnak.

Google IPv6 Statistics

> A szerver felé továbbított kérésben a kosárba rakáskor kell átírni egy számot, mert a böngésző küldi el a szervernek, hogy mennyibe kerüljön a bérlet.
- via Meghekkelhető a BKK rendszere, bármennyiért lehet jegyet venni

Cleartext jelszótárolás

via https://twitter.com/vista_df

Valamint:

> "Úgy látszik magától nem csatlakozik a netre, és ezért mondták azt, hogy naponta legalább egyszer frissíteni kell a felületet. "

Ennek vajon mi értelme? Feltételezem van egy QR kód, azt leolvassa az ellenőr és központi szerver segítségével egyből látja a random id-hez tartozó adatokat. (persze lehetne digitális aláírással offline módon is csinálni, de ilyen űrtechnikát nem feltételezek)

Próbáltam keresni a rendszer kiépítésére szánt költséget, de a "BKK eticket millárd" -ra a google csak egy 2013-as cikket dobott ki:
> "A döntés értelmében a bank 54,5 millió euró értékben finanszírozza a projektet, amelynek bevezetése jövőre kezdődhet el. "