HUP - titkosítás, biztonság

Since we have now many new InfoSec followers, please refer to our security bug-bounty here: https://t.co/R1a7uZ3ziK
Please report buffer overflows, RCEs, integer-overflows, or help us audit our HTTPS stack.
This is sponsored by the @EU_Commission for the EU-FOSSA program #fossa

— VideoLAN (@videolan) January 22, 2019

A VLC bug bounty programját az Európai Bizottság szponzorálja. A program részletei itt olvashatók.

Proudly announcing Security Challenge 2019 by @CrySySLab and @c0r3dumpCTF hosted by @theavatao! It starts on February 8. Check the following page: https://t.co/30T7Vdkfg6

— c0r3dump (@c0r3dumpCTF) January 20, 2019

A Security Challange egy tanulmányi verseny, ahol a hallgatóknak az IT biztonsággal kapcsolatos versenyfeladatokat, kihívásokat kell megoldania. Nem titkolt cél, hogy a hallgatókat megismertesse a tématerülettel, és megszerettesse azt velük, és segítse a téma iránt fogékony hallgatók kiválasztását, azok bevonását további érdekes kutatási, fejlesztési és egyéb tudományos feladatokba. [...] A verseny nyitott minden magyar egyetem és főiskola hallgatója számára. A részvétel viszont regisztrációhoz kötött. Regisztrálni a versenyt futtató avatao.com oldalon lehet, az ehhez szükséges információk az adott év CrySyS Security Challenge oldalán érhetők el. A BME diákok esetében kérjük az avatao felhasználói profilban a BME affiliációt megadni. Erre azért van szükség, mert a BME diákjait külön is értékeljük. [...] Minden versenyzőtől elvárt a magyar törvények betartása!

A verseny szabályai itt. Részletek itt.

Announcing #Pwn2Own Vancouver for 2019. The contest returns with browsers, enterprise apps, server side, & virtualization categories - oh, and a @Tesla Model 3. Details at https://t.co/FtLhlVD9sN

— Zero Day Initiative (@thezdi) January 14, 2019

Idén is visszatér a Zero Day Initiative szokásos, éves hackfesztje, a Pwn2Own. A támadható célpontok közt lesznek böngészők, vállalati alkalmazások, szerver oldali és virtualizációs targetek valamint egy Tesla Model 3 is. A bejelentés olvasható.

Metasploit Framework 5.0 released https://t.co/AwP2jzjGKO

— Metasploit Project (@metasploit) January 10, 2019

Megjelent a Metasploit Framework legújabb nagyobb kiadása. A Metasploit Framework egy nyílt forrású keretrendszer, amely távoli rendszerek ellen bevethető exploitok fejlesztéséhez és futtatásához ad hathatós támogatást. Jelenleg körülbelül 900 exploitot kínál Windows, UNIX/Linux és macOS rendszerekhez. Részletek a bejelentésben.

Trammell Hudson gyakran szed szét dolgokat. Fenti előadásában olyan implantátumokról beszél, amelyek - elméletben vagy gyakorlatban - előfordulhatnak a beszállítói láncban. Az előadás témája kapcsolódik a nemrégiben nagy port kavaró Bloomberg cikkhez, amely arról szólt, hogy kínai extra (kém)chipet találtak amerikai TOP vállalatok által használt szerver alaplapokon. A Supermicro tagadta, hogy kémchipek lennének az alaplapjain. Számos biztonsági szakember kérdőjelezte meg a Bloomberg cikk valóságtartalmát. Trammell most bemutatja, hogy valójában milyen észrevehetetlen lehet egy hardveres implantátum... A szuper érdekes rész innen kezdődik.

@Evil_Polar_Bear (aka. SandboxEscaper) újabb #0day-t pottyantott. És üzent a Microsoft-nak is - https://t.co/4SZQ7gdCMA | https://t.co/01eIlYHxS2 pic.twitter.com/UhDQmDQ1MV

— HUP (@huphu) December 20, 2018

Részletek itt.

#IoT eszközök informatikai biztonságát növelő kutatások indultak a BME koordinációjával - https://t.co/cl5kf2Gb1U https://t.co/QZVcLP2oFs

— HUP (@huphu) December 20, 2018 #onhup

A 4 évig tartó SETIT projektben a Műegyetem mellett részt vesz a Szegedi Tudományegyetem és a Debreceni Egyetem.

Az intelligens beágyazott eszközökkel kibővült Internet, azaz az Internet of Things rendszerek biztonságát növelő technológiák fejlesztését kezdték meg a Budapesti Műszaki és Gazdaságtudományi Egyetem, a Szegedi Tudományegyetem és a Debreceni Egyetem kutatói egy közös projektben. A kutatók arra keresik a választ, hogyan lehet megfelelő egyensúlyt kialakítani a költségek és a rendszer által nyújtott biztonság szintje között. A 2018. október 1-én indult és 4 évig futó SETIT projekt célja olyan technológiák kutatása és fejlesztése, amelyek az IoT biztonsági kockázatait csökkentik, és ezzel lehetővé teszik az IoT alkalmazások szélesebb körű elterjedését.

Részletek a bejelentésben.

Tails 3.11 is out: https://t.co/0nbJQhlcG9, better upgrade notifications, Autocrypt disabled, fixed Thunderbird translations, and more.

— Tails (@Tails_live) December 11, 2018

Kiadták a Tails 3.11-es verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

We have discovered that some user data was compromised by unauthorized access to our systems. We’ve taken steps to ensure that the situation is contained and are notifying affected users. Protecting your information is our top priority. Read more here: https://t.co/uwbdMjoM1v

— Quora (@Quora) December 3, 2018

A Quora bejelentette, hogy körülbelül 100 millió felhasználójának adata - köztük név, e-mail cím, hashelt jelszó stb. - kompromittálódott biztonsági incidens kapcsán. Részletek a cég által kiadott FAQ-ban.

Opera mobile browsers for Android are now part of the Google Play bug bounty. Help us improve apps´ security and get cool rewards: https://t.co/BLoUdZ8n3i pic.twitter.com/3Jth34pvwT

— Opera (@opera) November 20, 2018

Az Opera bejelentette, hogy mostantól az Android alkalmazásai szerepelnek a Google Play Security Reward Program programban, vagyis a biztonsági szakemberek jutalomért (és hírnévért) bejelenthetik az általuk ezekben az alkalmazásokban talált biztonsági hibákat. A jutalom mértéke maximum 5000 dollár lehet a hiba súlyosságától függően. Részletek itt.

It’s no secret passwords are a pain. See how Windows Hello makes logging on easier than ever, while maintaining security and safety too: https://t.co/lA3ucEkeq7 #Windows10 pic.twitter.com/Oc39fhS6xN

— Windows (@Windows) November 21, 2018

A Microsoft szeretné ha egyre kevesebb helyen kellene a felhasználóinak jelszót használnia. Részletek itt.

Latest #iPhone X, Samsung Galaxy S9, Xiaomi Mi6—all GET HACKED at #Pwn2Own 2018 mobile hacking competitionhttps://t.co/7XDWcqZ9Bz

White-hat hackers earned a total $325,000 bounty for finding 18 zero-day vulnerabilities pic.twitter.com/E4GakUynSj

— The Hacker News (@TheHackersNews) November 15, 2018

Részletek itt.

1 Thing You Can Do To Make Your Internet Safer And Faster - #1dot1dot1dot1 - https://t.co/4PxGgCr0Zy— Cloudflare (@Cloudflare) November 11, 2018

A Cloudflare tavasszal indította el "első a privátszféra védelme" DNS szolgáltatását, az 1.1.1.1-et. Mostantól a szolgáltatás a megfelelő alkalmazások telepítésével elérhető iOS és Android készülékekről is. A bejelentés itt olvasható.

[ Apple App Store | Google Play Store ]

Full disclosure: Guest-to-Host escape from VirtualBox (0day)

EN: https://t.co/mbmP1F0BJj
RU: https://t.co/CbBoU7VNBQ#VirtualBox #0day pic.twitter.com/SqgAFKCiXP

— r0 Crew (@reverse4you_org) November 7, 2018

Video demó:

VirtualBox E1000 Guest-to-Host Escape from Sergey Zelenyuk on Vimeo.

Sebezhetőség leírás, workaround stb. itt.

SE never fails pic.twitter.com/ZMRpxjY8cf

— Snazzy Sanoj (@snazzysanoj) October 28, 2018

Dehogynem...

https://t.co/1Of8EsOW8z Here's a low quality bug that is a pain to exploit.. still unpatched. I'm done with all this anyway. Probably going to get into problems because of being broke now.. but whatever.

— SandboxEscaper (@SandboxEscaper) October 23, 2018

Confirmed as well on Win10 1803, fully-patched as of October.
It's perhaps worth noting that the service used by the PoC, Data Sharing Service (dssvc.dll), does not seem to be present on Windows 8.1 and earlier systems. https://t.co/W8cNNC4xYO

— Will Dormann (@wdormann) October 23, 2018

7 hours after the 0day in Microsoft Data Sharing Service was dropped, we have a micropatch candidate that successfully blocks the exploit by adding impersonation to the DeleteFileW call. As you can see, the Delete operation now gets an "ACCESS DENIED" due to impersonation. pic.twitter.com/qoQgMqtTas

— 0patch (@0patch) October 23, 2018

Az 0patch megpróbált mielőbb reagálni a PoC exploit-ra. A GitHub-ra kitett PoC exploitot nem érdemes kipróbálni éles rendszeren:

It works on two of our Windows 10 test systems. Just launch deletebug.exe as non-admin and wait for it to finish, then pci.sys is gone from the drivers folder. (Careful, this bricks Windows!)

— Mitja Kolsek (@mkolsek) October 23, 2018

"The new passcode bypass requires about 10 steps [...] The new passcode bypass method works on all current iPhone models, including iPhone X and XS devices, running the latest version of the Apple mobile operating system, i.e., iOS 12 to 12.0.1. [...] The new hack allows anyone with physical access to your locked iPhone to access your photo album, select photos and send them to anyone using Apple Messages. [...] Until Apple comes up with a security patch, you can temporarily fix the issue by disabling Siri from the lockscreen. [...] Meanwhile, just wait for Apple to issue a software update to address the new iPhone passcode bypass bug as soon as possible."

Részletek itt.

Urgent security reminder: https://t.co/8oBPRUjL15 pic.twitter.com/Rk2o6WAE25

— MikroTik (@mikrotik_com) October 9, 2018

A MicroTik arra figyelmezteti ügyfeleit, hogy új RCE exploit jelent meg a már áprilisban azonosított és javított Winbox sebezhetőségre, így aki még nem patchelt, az tegye meg ASAP. A ZDnet közben arról ír, hogy egy titokzatos, oroszul beszélő, magát Alexej-nek nevező, grey hat hacker tör be a sebezhető MicroTik routerekbe és patcheli meg azokat. A bevallása szerint szerver adminként dolgozó internetes Robin Hood azt állítja, hogy immár 100 ezer routert tisztított meg a malware-ektől és patchelt meg, hogy azok védve legyenek a támadásokkal szemben.

lmao Kanye's iPhone password is 000000 pic.twitter.com/mEM5Tjq0po

— Del Slappo (@misterjamo) October 11, 2018

... hanem az, hogy jól demonstrálja, hogy a felhasználóra lőcsölt biztonsági feature hogyan mond csődöt, ha a felhasználó azt bosszantó akadálynak veszi.

Lots of folks will laugh at this, but I think it's a useful illustration of how security "features" fail when security decisions get offloaded to users who see them as annoying obstacles https://t.co/cyHW3hlo5B

— P̵̛wn̷̕̕ A̶͡ll͜͝͝ T̡̛̕h̷̶̀͠͡e̷̵̶̷ T̵͜͢h̸̸́͟i̕ng͝s͡ (@pwnallthethings) October 11, 2018