HUP - titkosítás, biztonság

Az FCC hivatalosan nemzetbiztonsági fenyegetésnek nevezte a Huawei-t és a ZTE-t Titkosítás, biztonság trey 2020. 07. 01., sze - 09:49

BREAKING NEWS: @FCC officially designates Huawei and ZTE as national security threats. #FCCGov https://t.co/fMgGZ7uHrR

— The FCC (@FCC) June 30, 2020

Hosszas előzménye van a dolognak, de végül tegnap a US Federal Communications Commission (FCC) hivatalosan nemzetbiztonságot fenyegető entitásoknak nevezte a Huawei-t és a ZTE-t:

WASHINGTON, June 30, 2020—The Federal Communications Commission today took a major step in its ongoing efforts to protect U.S. communications networks from security risks.  Specifically, the FCC’s Public Safety and Homeland Security Bureau formally designated two companies—Huawei Technologies Company (Huawei) and ZTE Corporation (ZTE), as well as their parents, affiliates, and subsidiaries—as covered companies for purposes of the agency’s November 2019 ban on the use of universal service support to purchase equipment or services from companies posing a national security threat.

Tails 4.8 Titkosítás, biztonság trey 2020. 07. 01., sze - 08:25

Tails 4.8 is out: https://t.co/xKxshQb8Ox

It disables the Unsafe Browser by default, adds a beta feature of the Persistent Storage to save the settings from the Welcome Screen, and more. pic.twitter.com/hV8w4vpdRr

— Tails (@Tails_live) June 30, 2020

Kiadták a Tails 4.8-os verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik. Részletek a bejelentésben.

Az Apple, Microsoft, Facebook, Google, Twitter és más nagy tech vállalatok ellenzik a LAED törvényjavaslatot Titkosítás, biztonság trey 2020. 06. 28., v - 09:27

At a time when cyberthreats from criminals, hackers, and nation states are on the rise, our nation's leaders should not be calling on companies to weaken the encryption that allows us all to communicate privately and securely.https://t.co/hEnd0Oba69

— Will Cathcart (@wcathcart) June 24, 2020

Kedden az USA-ban három republikánus politikus előterjesztett egy Lawful Access to Encrypted Data Act (LAED) nevű törvényjavaslatot, amit ha elfogadnak, a tech cégeknek együtt kellene működnie a nyomozóhatóságokkal, biztosítva azok hozzáférést a titkosított adatokhoz, amennyiben ez segítené azok munkáját. Röviden ez nagy eséllyel ezt jelentené: a tech cégeknek backdoorozniuk kellene az általuk használt titkosítási megoldásokat.

A Reform Government Surveillance koalíció - aminek tagja az Apple, a Dropbox, a Facebook, a Google, a LinkedIn, a Microsoft, a Snap Inc., a Twitter és a Verzion Media - egy közleményt adott ki, amiben a törvénytervezettel szembeni ellenkezését fejezte ki:

[Video] "Mi az a Bug Bounty és hogyan kezdhetünk bele?" Titkosítás, biztonság trey 2020. 06. 25., cs - 12:14

Manapság egyre elterjedtebbek az úgynevezett Bug Bounty programok, amelyek során vállalatok jutalmat ajánlanak fel annak, aki biztonsági hibát talál valamely termékükben és ahelyett hogy azt kihasználná, bejelenti nekik. Régebben csak a legnagyobbaknak, mint például a Google-nek és a Facebooknak volt ilyen programjuk, mára viszont komplett platformok jöttek létre ahol több száz program közül lehet válogatni. Schütz Dávid, az ICT Megoldások biztonsági kutatójának a tavaly június 17-i HWSW free! IT biztonsági meetupon tartott előadásából kiderül,  hogy mi is ez és hogyan működik, és hogy merre induljon az, aki ezzel szeretne foglalkozni, de nem tudja hogy kezdjen bele.

Oroszország feladja és feloldja a Telegram blokkolását Titkosítás, biztonság pepo 2020. 06. 20., szo - 18:33

A kommunikációt, informatikát és tömegkommunikációt felügyelő orosz szövetségi szolgálat, a Roskomnadzor csütörtökön bejelentette, hogy megszünteti a Telegram üzenetküldő platformhoz való hozzáférés korlátozásait. Az online megosztott nyilatkozatban az ügynökség szerint megállapodás született a szövetségi ügyészekkel a platform feloldásáról.

"Üdvözöljük a Telegram alapítójának [Pavel Durov] készségét a terrorizmus és a szélsőségesség elleni küzdelemre." - magyarázta a Roskomnadzor.

[Videó] Mi történik, ha két állami hátterű kiberfegyver találkozik? - Bencsáth Boldizsár (CrySys Lab) Titkosítás, biztonság trey 2020. 06. 17., sze - 15:19

A malware-csörte részleteiről Bencsáth Boldizsár, a CrySys Lab biztonsági szakértője mesélt. A videó a 2018. 04. 25-i HWSW free! IT biztonsági meetupon készült. Nem mai videó, de most kezdtük el elérhetővé tenni a régebbi videókat. Érdemes megnézni, van aktualitása!

A Microsoft szerint a C++ nem biztonságos mission-critical rendszerekhez, inkább a Rust felé fordul Titkosítás, biztonság trey 2020. 06. 14., v - 09:22

"Microsoft has deemed C++ no longer acceptable for writing mission-critical software" https://t.co/f5RmWSL7KP "70% of the CVEs originating at Microsoft are memory safety issues"

— Justin Cormack (@justincormack) June 13, 2020 No matter how much investment software companies may put into tooling and training their developers, “C++, at its core, is not a safe language,” said Ryan Levick, Microsoft cloud developer advocate, during the AllThingsOpen virtual conference last month, explaining, in a virtual talk, why Microsoft is gradually switching to Rust to build its infrastructure software, away from C/C++. And it is encouraging other software industry giants to consider the same. [...] In fact, Microsoft has deemed C++ no longer acceptable for writing mission-critical software. The industry sorely needs to move to a performant, memory-safe language for its low-level system work. And the best choice on the market today is Rust, Levick said. [...] Today, C and C++ are the go-to languages for writing core system software. It is fast, with the only assembly between the code and the machine itself. But the industry is being crippled by all the memory-related bugs — many of which are security hazards — caused by these languages. Now, 70% of the CVEs originating at Microsoft are memory safety issues, Levick said.

Részletek itt.

Egy érdekes sztori arról, hogyan törte fel a Facebook és az FBI egy gyerekmolesztáló Tor mögötti gépét Titkosítás, biztonság trey 2020. 06. 14., v - 08:06

If you are targeted by a big organisation while doing illegal things, you will be caught. Even using a security-hardened OS.
Our goal at /e/ is different. We offer users an opportunity to escape industrial personal data harvesting by net giants.#privacyhttps://t.co/dnH4Q9ZYvT

— Gaël Duval (@gael_duval) June 13, 2020

Azok figyelmébe, akik golyóállónak képzelik magukat: a sztori szerint egy, a Facebookon tevékenykedő gyerekmolesztálót nem tudott visszakövetni az Fabebook, mert Tails-t használt, ami Tor-t alkalmaz a visszakövetés megnehezítése érdekében. Az FBI is számos alkalommal akart betörni a bűnöző gépére, de a Tails által felvonultatott biztonsági mechanizmusok miatt nem jártak sikerrel.

100 millió forintos GDPR bírságot kapott a Digi Titkosítás, biztonság trey 2020. 06. 12., p - 19:53

Hungarian ISP got a ~300.000 EUR GDPR penalty after "losing" user data in a left over test DB exposed by a 9 years old CMS vuln [HU]: https://t.co/UrkSthzY6z /via @dn3t

— buherator (@buherator) June 12, 2020

A NAIH határozatából:

Otthon hagyott értékeimet, fontos irataimat, adataimat stb. ... igyekszem védeni. Titkosítás, biztonság trey 2020. 06. 11., cs - 15:39

Távollétedben otthon hagyott értéktárgyaidat, fontos, érzékeny irataidat, adataidat stb. mivel véded?

Indokolt a telefonhívásnál védeni a hívó fél jogait? Titkosítás, biztonság kikepzo 2020. 06. 08., h - 14:54

Alapvetően abból indulok ki, hogy milyen hátrányom származik abból, ha felhívok valakit és automatikusan rögzíti az ő készüléke a mondandómat. 

Durva biztonsági hiba az EU legfelsőbb vezetésében Titkosítás, biztonság csortu 2020. 05. 21., cs - 11:41

Május 15-én Yash Kadakia cybersecurity szakember hozta nyilvánosságra, stílszerűen a Twitteren, hogy durva adatszivárgásból származó adatok keringenek már jó ideje a neten, amik az Európai Parlament szervereiről származnak. A kiszivárgott adatok az europa.eu (az EU hivatalos domainje) szerverekről származnak, és többek között 90 Európai Bizottságnak, 103 Európai Parlamentnek, illetve 1010 további EU felügyeleti szervnek dolgozó munkatárs adatait tartalmazza, olyanokat mint jelszavak, munkaköri leírások, személyes adatok. A Tweat folyamot követve Kadakia megpróbált kapcsolatba lépni az EU informatikai intézményeivel, akik rutinszerűen lepattintották. Ahogy fogalmazott:

If a databreach on a subdomain of http://europa.eu, including: 10 x European Council (@consilium.europa.eu), 90 x European Commission (@ec.europa.eu), 103 x European Parliament (@ep.europea.eu) and 1010 (@europarl.europa.eu) users is not an issue with the EU, what is?

A hír nagy nehezen elérte az illetékeseket is, és kiderült, hogy az adatszivárgás még az addig gondoltaknál is masszívabb, több mint tízezer, a különböző EU intézményekkel kapcsolatban dolgozó embert érint, többek között az Europol és a Frontex szakembereit. Az EU jelenleg megpróbálja azonosítani az összes érintettet, hogy a saját adatvédelmi szabályozásának megfelelően értesítsen mindenkit. Az adatszivárgás állítólag megszűnt, bár a már kijutott adatbázist nyilván nem lehet eltüntetni.

Microsoft: "jutalmat kap, aki feltöri a Linux-alapú biztonságos megoldásunkat!" Titkosítás, biztonság trey 2020. 05. 07., cs - 11:39

We are excited to announce a new IoT-focused research program, the Azure Sphere Security Research Challenge, with awards up to $100,000 USD! Deadline to apply is May 15, check out the blog post for more information: https://t.co/YGqcSqh6fy

— Security Response (@msftsecresponse) May 5, 2020

A Microsoft bejelentette Azure Sphere Security Research Challenge kihívását, amelynek keretében biztonsági szakemberek akár 100 ezer dollár jutalmat is kaphatnak. A kihívás lényege: hibát kell találni az Azure Sphere-ben. A jelentkezéshez nem árt Linux, ARM, assembly és IoT tapasztalat a security szemlélet mellé:

To ensure the researchers are successful in this research initiative, we suggest participants have experience with Linux, Assembly, ARM processors, and IoT-hardware to research more broadly.

Részletek itt, jelentkezni ezen a formon lehet.

Tails 4.6 Titkosítás, biztonság trey 2020. 05. 06., sze - 07:55

Tails 4.6 is out: https://t.co/dFJW4bdUCz

It updates our list of “Favorites” applications, adds support for Universal 2nd Factor USB security keys, and improves the input method for Japanese.

— Tails (@Tails_live) May 5, 2020

Kiadták a Tails 4.6-os verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

Biztonsági incidens a LineageOS projektnél Titkosítás, biztonság trey 2020. 05. 04., h - 08:43

Around 8PM PST on May 2nd, 2020 an attacker used a CVE in our saltstack master to gain access to our infrastructure.

We are able to verify that:
- Signing keys are unaffected.
- Builds are unaffected.
- Source code is unaffected.

See https://t.co/85fvp6Gj2h for more info.

— LineageOS (@LineageAndroid) May 3, 2020

A LineageOS a transzparencia jegyében bejelentette, hogy a biztonsági incidens történt a rendszerén. A vizsgálatok jelenlegi állása alapján az aláíró kulcsaikat, a lefordított buildjeiket és a forráskódjaikat nem érinti a támadás.

Biztonsági szakemberek állítják, új iPhone 0day támadást azonosítottak Titkosítás, biztonság trey 2020. 04. 22., sze - 18:49

You’ve Got (0-click) Mail! Unassisted iOS Attacks via MobileMail/Maild in the Wild via @ZecOps Blog https://t.co/tHbq1ZUuom

— ZecOps (@ZecOps) April 22, 2020

TL;DR:

Exploitation timeline

We are aware of multiple attacks that happened starting from Jan 2018, on iOS 11.2.2. It is likely that the same threat operators are actively abusing these vulnerabilities presently. It is possible that the attacker(s) were using this vulnerability even earlier.

Affected versions:

• All tested iOS versions are vulnerable including iOS 13.4.1. 
• Based on our data, these bugs were actively triggered on iOS 11.2.2 and potentially earlier.
• iOS 6 and above are vulnerable. iOS 6 was released in 2012! Versions prior to iOS 6 might be vulnerable too but we haven’t checked it.

KeePassXC 2.5.4 Titkosítás, biztonság trey 2020. 04. 10., p - 10:41

We released KeePassXC 2.5.4 with a proper fix for macOS 10.15.4. TouchID is back. https://t.co/4MEMPaUV9b

— KeePassXC (@KeePassXC) April 9, 2020

Megjelent a nyílt forrású, keresztplatformos (Linux, Windows, macOS) jelszószéf, a KeePassXC 2.5.4-es kiadása. A KeePassXC a KeePassX közösségi forkja.  

Változások:

A Sophos szabad szoftverré teszi a Sandboxie nevű sandbox-alapú izolációs eszközét Titkosítás, biztonság trey 2020. 04. 10., p - 09:12

We are thrilled to give the code to the community. The Sandboxie tool has been built on many years of highly-skilled developer work and is an example of how to integrate with Windows at a very low level.

2/4

— Sophos (@Sophos) April 9, 2020

A Sophos cyberbiztonsági vállalat bejelentette, hogy ingyenesen elérhetővé teszi Sandboxie nevű sandbox-alapú izolációs eszközét azzal a további céllal, hogy megnyitja annak forrását a nyílt forrású közösség tagjai előtt. A Sandboxie-t eredendően Ronen Tzur fejlesztette ki. Egy egyszerű eszköz volt, ami lehetővé tette az Internet Explorer egy biztonságos, izolált sandbox-ban való futtatását. Később Tzur továbbfejlesztette, így a Sandboxie más Windows alkalmazások sandbox-ba zárására is képes lett.

Tor Browser 9.0.9 Titkosítás, biztonság trey 2020. 04. 09., cs - 16:25

? Time to update: A new version of Tor Browser is out now.

Tor Browser 9.0.9 updates Firefox to 68.7.0esr, NoScript to 11.0.23, and OpenSSL to 1.1.1f. This release also features important security updates to Firefox.https://t.co/Zsn06bCJau pic.twitter.com/8nPcmsRoDz

— The Tor Project (@torproject) April 9, 2020

Megjelent a Tor Browser 9.0.9-es kiadása.

Főbb változások a 9.0.8-as kiadás óta:

Tails 4.5 Titkosítás, biztonság trey 2020. 04. 08., sze - 07:25

Tails 4.5 is out: https://t.co/WOQYwgVYE3

It adds support for Secure Boot and fixes critical vulnerabilities in Tor Browser. pic.twitter.com/pD02YQ3vcE

— Tails (@Tails_live) April 7, 2020

Kiadták a Tails 4.5-ös verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

A kiadás főbb újdonsága a Secure Boot támogatás.

Részletek a bejelentésben.