HUP - titkosítás, biztonság

The results from #Pwn2Own Day Two are here. We awarded $270,000 for 9 different bugs in Mozilla #Firefox, Microsoft #Edge & #Windows, and #VMware Workstation. Read the details at https://t.co/2sO1Vz3qV1 #cansecwest

— Zero Day Initiative (@thezdi) March 22, 2019

Elérhetők a Pwn2Own 2019 második napjának eredményei. Beszámoló itt.

Facebook: Esküszünk, hogy nem néztünk bele a cleartext tárolt felhasználói jelszógyűjteményünkbe! - https://t.co/DezBPpFIsM pic.twitter.com/TgnZn5K3HH

— HUP (@huphu) March 22, 2019

As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems. [...] To be clear, these passwords were never visible to anyone outside of Facebook and we have found no evidence to date that anyone internally abused or improperly accessed them. We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users.

A vállalat azt ígéri, hogy a "néhány" (értsd: akár több száz millió) érintett felhasználót értesíteni fogja. Részletek itt.

Announcing Microsoft Defender ATP for Mac, extending our endpoint protection platform support for additional operating systems, in limited preview: a new user interface on Mac clients and reporting for Mac devices on the Microsoft Defender ATP portal https://t.co/gJUylfDdZF pic.twitter.com/mOcomw7YF8

— Windows Defender Security Intelligence (@WDSecurity) March 21, 2019

A Microsoft bejelentette, hogy Windows után macOS-re is elérhető a Microsoft Defender ATP (Advanced Threat Protection) terméke. Ennek megfelelően a termék neve változott Windows Defender ATP-ről Microsoft Defender ATP-re.

Részletek a bejelentésben.

The full results from Day One of #Pwn2Own are in! Check out the blog for details on all of today's activities. We awarded $240,000 USD today for four wins and one partial win. See https://t.co/xYnUq6glpr for the info. #P2O

— Zero Day Initiative (@thezdi) March 21, 2019

Részletek itt.

Today we are introducing the free, no-log, built-in VPN in Opera for Android. Improve your online privacy and browse securely. Learn more: https://t.co/MTPg7J7ra8 pic.twitter.com/vDDuXZEAsu

— Opera (@opera) March 20, 2019

A ma kiadott 51-es verziótól kezdve.

Linux kernel v5.0 was released last week! I'm excited about arm64's read-only linear mapping, per-task stack canaries for arm and arm64, top-byte-ignore on arm64, the ongoing marking of implicit-fallthroughs, and the continuing conversions to refcount_t https://t.co/Lr7mPfvUY5

— Kees Cook (@kees_cook) March 12, 2019

Kees Cook összefoglalta az 5.0-s Linux kernelben újdonságként érkező biztonsággal kapcsolatos dolgokat. A blogbejegyzése itt.

Az FBI értesítette a Citrixet arról, hogy betörtek belső hálózatára - https://t.co/Wx5sQ7kgkx

— HUP (@huphu) March 9, 2019

A Citrix az FBI figyelmeztetése nyomán vizsgálatot indított. A hírek szerint iráni hátszéllel rendelkező hackerek törtek be a vállalathoz, ahol számottevő mennyiségű érzékeny információhoz férhettek hozzá. Részletek a Citrix bejelentésében.

⚠️ Important — Update your #Google Chrome immediately to patch a new high-severity 0-day RCE #vulnerability (CVE-2019-5786) that hackers are actively exploiting in the wildhttps://t.co/vrorvFYuU8

Patched Chrome version 72.0.3626.121 has been released for Windows, macOS, Linux pic.twitter.com/IoW8ZjQgZZ

— The Hacker News (@TheHackersNews) March 6, 2019

A Google Chrome csapat szerint aktívan kihasználnak jelenleg is az interneten egy, a Chrome böngészőben található RCE (távoli kódfuttatás) sebezhetőséget. Javasolt azonnal frissíteni!

Google is aware of reports that an exploit for CVE-2019-5786 exists in the wild.

Részletek itt.

A code execution vulnerability we found in WinRAR, existed for about 19 years. enjoy :) https://t.co/ne7ONHgb1g

— Nadav Grossman (@NadavGrossman) February 20, 2019

Több száz millióan érintettek a hibában. Részletek itt.

Google says the secret microphone was an "error." Try again. Errors are not intentional. https://t.co/29byKU2Zyg

— The Tor Project (@torproject) February 20, 2019

Február elején a Google bejelentette, hogy a Nest Secure - otthoni biztonsági és figyelmeztető rendszer - egy frissítés után várhatóan együtt fog működni a Google Assistant-tel. A probléma ezzel csak az, hogy a felhasználóknak fogalma sem volt arról, hogy a Nest biztonsági eszköz tartalmaz mikrofont. A napokban a Google egyik képviselője azt nyilatkozta a Business Insider-nek, hogy hibát vétettek. A beépített mikrofont sosem szánták titkosnak és annak létezését fel kellett volna tüntetniük az eszköz technikai specifikációjában.

Részletek itt.

Critical Release - PSA-2019-02-19 https://t.co/19CHmMp82O

— Drupal Security (@drupalsecurity) February 19, 2019

A Drupal projekt előre jelezte, hogy készüljenek a Drupal 8.5.x és 8.6.x verziókat üzemeltetők, mert ma este 18:00 és 22:00 óra közt "Highly critical" hibajavítás érkezik.

Részletek itt.

Linux Kernel Runtime Guard (LKRG) 0.6 by @Adam_pi3 adds poor man's CFI, systemd support, and much more: https://t.co/NeIypeFMPo

— Openwall (@Openwall) February 19, 2019

Solar Designer bejelentette a Linux Kernel Runtime Guard (LKRG) 0.6-os kiadását. A Linux Kernel Runtime Guard egy betölthető Linux kernelmodul kernel exploitok detektálására.

További részletek a projekt wikioldalán.

Tails 3.12.1 is out: https://t.co/v8fGuq9eQJ

— Tails (@Tails_live) February 13, 2019

Kiadták a Tails 3.12.1-es verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

CVE-2019-7286 and CVE-2019-7287 in the iOS advisory today (https://t.co/ZsIy8nxLvU) were exploited in the wild as 0day.

— Ben Hawkes (@benhawkes) February 7, 2019

A Google egyik biztonsági szakembere arra figyelmeztetett a Twitteren, hogy érdemes mielőbb frissíteni a tegnap kiadott iOS 12.1.4-re, mert a benne javított CVE-2019-7286 és CVE-2019-7287 sérülékenységeket hackerek jelenleg is kihasználják az interneten. Azaz, a sérülékenység kihasználása nem csak elméleti, hanem gyakorlatban is folyamatban van.

A hibák kritikusnak tekinthetők, mert a rosszindulatú támadó kihasználva őket kódot futtathat az áldozat készülékén emelt (CVE-2019-7286) és kernel szintű (CVE-2019-7287) privilégiumokkal. A hibákat a Google P0 csapata jelentette be az Apple-nek.

Since we have now many new InfoSec followers, please refer to our security bug-bounty here: https://t.co/R1a7uZ3ziK
Please report buffer overflows, RCEs, integer-overflows, or help us audit our HTTPS stack.
This is sponsored by the @EU_Commission for the EU-FOSSA program #fossa

— VideoLAN (@videolan) January 22, 2019

A VLC bug bounty programját az Európai Bizottság szponzorálja. A program részletei itt olvashatók.

Proudly announcing Security Challenge 2019 by @CrySySLab and @c0r3dumpCTF hosted by @theavatao! It starts on February 8. Check the following page: https://t.co/30T7Vdkfg6

— c0r3dump (@c0r3dumpCTF) January 20, 2019

A Security Challange egy tanulmányi verseny, ahol a hallgatóknak az IT biztonsággal kapcsolatos versenyfeladatokat, kihívásokat kell megoldania. Nem titkolt cél, hogy a hallgatókat megismertesse a tématerülettel, és megszerettesse azt velük, és segítse a téma iránt fogékony hallgatók kiválasztását, azok bevonását további érdekes kutatási, fejlesztési és egyéb tudományos feladatokba. [...] A verseny nyitott minden magyar egyetem és főiskola hallgatója számára. A részvétel viszont regisztrációhoz kötött. Regisztrálni a versenyt futtató avatao.com oldalon lehet, az ehhez szükséges információk az adott év CrySyS Security Challenge oldalán érhetők el. A BME diákok esetében kérjük az avatao felhasználói profilban a BME affiliációt megadni. Erre azért van szükség, mert a BME diákjait külön is értékeljük. [...] Minden versenyzőtől elvárt a magyar törvények betartása!

A verseny szabályai itt. Részletek itt.

Announcing #Pwn2Own Vancouver for 2019. The contest returns with browsers, enterprise apps, server side, & virtualization categories - oh, and a @Tesla Model 3. Details at https://t.co/FtLhlVD9sN

— Zero Day Initiative (@thezdi) January 14, 2019

Idén is visszatér a Zero Day Initiative szokásos, éves hackfesztje, a Pwn2Own. A támadható célpontok közt lesznek böngészők, vállalati alkalmazások, szerver oldali és virtualizációs targetek valamint egy Tesla Model 3 is. A bejelentés olvasható.

Metasploit Framework 5.0 released https://t.co/AwP2jzjGKO

— Metasploit Project (@metasploit) January 10, 2019

Megjelent a Metasploit Framework legújabb nagyobb kiadása. A Metasploit Framework egy nyílt forrású keretrendszer, amely távoli rendszerek ellen bevethető exploitok fejlesztéséhez és futtatásához ad hathatós támogatást. Jelenleg körülbelül 900 exploitot kínál Windows, UNIX/Linux és macOS rendszerekhez. Részletek a bejelentésben.

Trammell Hudson gyakran szed szét dolgokat. Fenti előadásában olyan implantátumokról beszél, amelyek - elméletben vagy gyakorlatban - előfordulhatnak a beszállítói láncban. Az előadás témája kapcsolódik a nemrégiben nagy port kavaró Bloomberg cikkhez, amely arról szólt, hogy kínai extra (kém)chipet találtak amerikai TOP vállalatok által használt szerver alaplapokon. A Supermicro tagadta, hogy kémchipek lennének az alaplapjain. Számos biztonsági szakember kérdőjelezte meg a Bloomberg cikk valóságtartalmát. Trammell most bemutatja, hogy valójában milyen észrevehetetlen lehet egy hardveres implantátum... A szuper érdekes rész innen kezdődik.

@Evil_Polar_Bear (aka. SandboxEscaper) újabb #0day-t pottyantott. És üzent a Microsoft-nak is - https://t.co/4SZQ7gdCMA | https://t.co/01eIlYHxS2 pic.twitter.com/UhDQmDQ1MV

— HUP (@huphu) December 20, 2018

Részletek itt.