HUP - titkosítás, biztonság

Tails 4.10 Titkosítás, biztonság trey 2020. 08. 26., sze - 08:14

Tails 4.10 is out: https://t.co/DEoNewkwIB

It fixes the support for USB Wi-Fi adapters with Atheros AR9271 hardware and the USB tethering from iPhone.

— Tails (@Tails_live) August 25, 2020

Kiadták a Tails 4.10-es verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Részletek a bejelentésben.

15 éves a ZDI Bug Bounty programja Titkosítás, biztonság trey 2020. 08. 20., cs - 14:30

15 Years of the Zero Day Initiative: A look back at the decade and half of the world's largest vendor-agnostic bug bounty program to see trends, changes, and what's to come. https://t.co/9pojDZbZsA

— Zero Day Initiative (@thezdi) August 20, 2020 Annak idején így írtam róla:

A Rust és a Clang/LLVM mostantól támogatja a Windows Control Flow Guard-ot Titkosítás, biztonság trey 2020. 08. 17., h - 19:40

Clang/LLVM and Rust now support Windows Control Flow Guard (CFG): https://t.co/NcpF8p96tN

— Security Response (@msftsecresponse) August 17, 2020

A Microsoft bejelentette, hogy a biztonságosabb rendszerprogramozás érdekében végzett erőfeszítéseknek köszönhetően a Rust és a Clang/LLVM mostantól támogatja a Windows Control Flow Guard (CFG) biztonsági technológiát. Részletek itt.

Check Point Research: a Qualcomm Snapdragon chipjének több mint 400 sebezhetősége fenyegetés a mobiltelefonhasználatra világszerte Titkosítás, biztonság trey 2020. 08. 09., v - 09:04

At 11:30 @_CPResearch_ 's Slava Makkaveev, Security Researcher will present: @Qualcomm compute #DSP for fun and profit at #defconsafemode. Learn how 400 #vulnerabilities on Qualcomm’s Snapdragon chip threaten mobile phones’ usability: https://t.co/RtmJXMPfAF #Android pic.twitter.com/EQzckN1EkV

— Check Point Software (@CheckPointSW) August 7, 2020

A Check Point Research az "Achilles" nevet adta annak a kutatásának, amelynek során a Qualcomm Technologies Digital Signal Processor (DSP) chipjét vetette alapos biztonsági tesztelés alá. A tesztelés során több mint 400 sebezhetőségre bukkantak.

A The Linux Foundation bejelentette az Open Source Security Foundation létrejöttét; a Microsoft, GitHub alapító tagként csatlakozott hozzá Titkosítás, biztonság trey 2020. 08. 05., sze - 08:19

{NEWS} The Linux Foundation announces the formation of the Open Source Security Foundation (OpenSSF). Read the press release and learn more here: https://t.co/NkibRfpUI3 #opensource #security

— The Linux Foundation (@linuxfoundation) August 3, 2020

We're excited to be joining industry partners in creating the Open Source Security Foundation to improve the security of #opensource software by building a broader community, targeted initiatives, and best practices. @markrussinovich https://t.co/uo3KtzvKrJ

— Microsoft Security (@msftsecurity) August 3, 2020

Az Open Source Security Foundation (OSSF) célja a nyílt forrású szoftverek biztonságosságának elősegítése, biztonságának javítása. Az alapító tagok közt megtalálható:

Laptopom webkameráját biztonsági/privacy okokból ... Titkosítás, biztonság trey 2020. 08. 03., h - 14:05

Ha már elszabadultak az indulatok, nézzük ki mit tesz ez ügyben a saját háza táján ...

P0: Egy bájt mind felett ... Titkosítás, biztonság trey 2020. 07. 30., cs - 19:30

One Byte to rule them all https://t.co/QlDUr0H5u0

— Project Zero Bugs (@ProjectZeroBugs) July 30, 2020 In this blog post, I'll describe a new iOS kernel exploitation technique that turns a one-byte controlled heap overflow directly into a read/write primitive for arbitrary physical addresses, all while completely sidestepping current mitigations such as KASLR, PAC, and zone_require. By reading a special hardware register, it's possible to locate the kernel in physical memory and build a kernel read/write primitive without a fake kernel task port. I'll conclude by discussing how effective various iOS mitigations were or could be at blocking this technique and by musing on the state-of-the-art of iOS kernel exploitation. You can find the proof-of-concept code here.

 Részletek a Google P0 csapat blogjában.

A BadPower támadás nyomán a gyorstöltőd akár fel is gyújthatja az eszközödet Titkosítás, biztonság trey 2020. 07. 21., k - 14:09

A Tencent Security Lab csapata egy BadPower nevű támadás részleteit tette közzé. Lényege: az újabban gyártott gyorstöltők közt van olyan, amelyikekben egyszerűen módosítható a firmware. A firmware módosításához elég rádugni egy pillanatra egy speciális eszközt, de egyes töltőknél akár egy malware-t tartalmazó laptop vagy okostelefon is felhasználható erre, vagyis akár a felhasználó saját maga is korrumpálhatja a saját töltője firmware-ét a tudtán kívül.

Meghackelték a Apple és számos ismert ember, vállalat Twitter fiókját, hogy kriptovaluta spam-et terjesszenek Titkosítás, biztonság trey 2020. 07. 16., cs - 08:26

The tweet from @Apple has been deleted, but the Twitter hack continues with tweets from @BarackObama, @kanyewest, and more

Follow along: https://t.co/2T9anTBL6x pic.twitter.com/urYWDRhOjI

— 9to5Mac.com (@9to5mac) July 15, 2020

Széles körű támadást indítottak a Twitter ellen, ami során számos nagyvállalat és ismert ember Twitter fiókja esett áldozatul. A fiókokat Bitcoin-csalásra használták fel. Így esett meg, hogy például az Apple, Barack Obama is "arról tweetelt", hogy Bitcoin-t "adományozna" a COVID-19 áldozatainak. A csalás mások mellett az alábbi fiókokat érintette:

Megérkezett az első exploit a SIGRed-hez? Titkosítás, biztonság trey 2020. 07. 15., sze - 18:17

#CVE20201350 exploit released https://t.co/3xbLLZGdC0

— Exploits are King (@CVE20201350) July 14, 2020

Alig néhány órája vált publikussá a SIGRed névre hallgató, kritikus Microsoft DNS sebezhetőség, máris fenn van a GitHub-on a sebezhetőségre megjelent első PoC exploit. Elérhető Windows bináris, Linux shell script formában. Mivel az állítólagos exploit egy ismeretlen által került feltöltésre, nem jó ötlet futtatni. Viszont egy dologra mindenképpen felhívja a figyelmet: mielőbb érdemes frissíteni a sebezhető rendszereket, mert csak idő kérdése, hogy mikor bukkan fel a sebezhetőségre egy exploit vagy worm.

[Videó] XML-alapú támadások mindenkinek - az elfelejtett módszerek Titkosítás, biztonság hup 2020. 07. 14., k - 15:08

Az előadás az XML kihasználhatóságát veszi górcső alá: miután mára a technológia biztonságának szinte minden aspektusát felboncolta a szakértői közösség, most néhány érdekes és ritkán használt támadás kerül terítékre, amelyek részletei a mindennapi munka, sőt, akár bug bounty programok során is hasznosak lehetnek - a 2020.07.07-i HWSW free! IT biztonsági meetupon elhangzott előadásban tapasztalatait Módly Márk, a HardcoreIT biztonsági szakértője osztotta meg.

Akit érdekel az IT biztonság témaköre, mindenképp érdemes ellátogatnia a július 17-én megrendezett Sysadminday rendezvényünkre, ahol a rendszergazdák világnapjának megünneplése mellett további IT biztonsági előadásokkal készülünk!

Beperelték a LinkedIn-t, mert azon kapták, hogy iOS készülékek vágólapjain szaglászik Titkosítás, biztonság trey 2020. 07. 13., h - 07:57

LinkedIn sued after being caught reading users’ clipboards on iOS 14 https://t.co/FQltVWtw7N by @filipeesposito

— 9to5Mac.com (@9to5mac) July 11, 2020 #onhup

A Microsoft érdekeltségébe tartozó LinkedIn-t azon kapták, hogy iPhone-nal és iPad-del rendelkező felhasználók vágólapjait olvasgatta. Noha a vállalat azt állította, hogy csak egy szoftverhibáról van szó, egy iPhone felhasználó pert indított érzékeny adatok feltételezett, vágólapról történő engedély nélküli olvasása miatt.

Részletek itt.

Az FCC hivatalosan nemzetbiztonsági fenyegetésnek nevezte a Huawei-t és a ZTE-t Titkosítás, biztonság trey 2020. 07. 01., sze - 09:49

BREAKING NEWS: @FCC officially designates Huawei and ZTE as national security threats. #FCCGov https://t.co/fMgGZ7uHrR

— The FCC (@FCC) June 30, 2020

Hosszas előzménye van a dolognak, de végül tegnap a US Federal Communications Commission (FCC) hivatalosan nemzetbiztonságot fenyegető entitásoknak nevezte a Huawei-t és a ZTE-t:

WASHINGTON, June 30, 2020—The Federal Communications Commission today took a major step in its ongoing efforts to protect U.S. communications networks from security risks.  Specifically, the FCC’s Public Safety and Homeland Security Bureau formally designated two companies—Huawei Technologies Company (Huawei) and ZTE Corporation (ZTE), as well as their parents, affiliates, and subsidiaries—as covered companies for purposes of the agency’s November 2019 ban on the use of universal service support to purchase equipment or services from companies posing a national security threat.

Tails 4.8 Titkosítás, biztonság trey 2020. 07. 01., sze - 08:25

Tails 4.8 is out: https://t.co/xKxshQb8Ox

It disables the Unsafe Browser by default, adds a beta feature of the Persistent Storage to save the settings from the Welcome Screen, and more. pic.twitter.com/hV8w4vpdRr

— Tails (@Tails_live) June 30, 2020

Kiadták a Tails 4.8-os verzióját. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik. Részletek a bejelentésben.

Az Apple, Microsoft, Facebook, Google, Twitter és más nagy tech vállalatok ellenzik a LAED törvényjavaslatot Titkosítás, biztonság trey 2020. 06. 28., v - 09:27

At a time when cyberthreats from criminals, hackers, and nation states are on the rise, our nation's leaders should not be calling on companies to weaken the encryption that allows us all to communicate privately and securely.https://t.co/hEnd0Oba69

— Will Cathcart (@wcathcart) June 24, 2020

Kedden az USA-ban három republikánus politikus előterjesztett egy Lawful Access to Encrypted Data Act (LAED) nevű törvényjavaslatot, amit ha elfogadnak, a tech cégeknek együtt kellene működnie a nyomozóhatóságokkal, biztosítva azok hozzáférést a titkosított adatokhoz, amennyiben ez segítené azok munkáját. Röviden ez nagy eséllyel ezt jelentené: a tech cégeknek backdoorozniuk kellene az általuk használt titkosítási megoldásokat.

A Reform Government Surveillance koalíció - aminek tagja az Apple, a Dropbox, a Facebook, a Google, a LinkedIn, a Microsoft, a Snap Inc., a Twitter és a Verzion Media - egy közleményt adott ki, amiben a törvénytervezettel szembeni ellenkezését fejezte ki:

[Video] "Mi az a Bug Bounty és hogyan kezdhetünk bele?" Titkosítás, biztonság trey 2020. 06. 25., cs - 12:14

Manapság egyre elterjedtebbek az úgynevezett Bug Bounty programok, amelyek során vállalatok jutalmat ajánlanak fel annak, aki biztonsági hibát talál valamely termékükben és ahelyett hogy azt kihasználná, bejelenti nekik. Régebben csak a legnagyobbaknak, mint például a Google-nek és a Facebooknak volt ilyen programjuk, mára viszont komplett platformok jöttek létre ahol több száz program közül lehet válogatni. Schütz Dávid, az ICT Megoldások biztonsági kutatójának a tavaly június 17-i HWSW free! IT biztonsági meetupon tartott előadásából kiderül,  hogy mi is ez és hogyan működik, és hogy merre induljon az, aki ezzel szeretne foglalkozni, de nem tudja hogy kezdjen bele.

Oroszország feladja és feloldja a Telegram blokkolását Titkosítás, biztonság pepo 2020. 06. 20., szo - 18:33

A kommunikációt, informatikát és tömegkommunikációt felügyelő orosz szövetségi szolgálat, a Roskomnadzor csütörtökön bejelentette, hogy megszünteti a Telegram üzenetküldő platformhoz való hozzáférés korlátozásait. Az online megosztott nyilatkozatban az ügynökség szerint megállapodás született a szövetségi ügyészekkel a platform feloldásáról.

"Üdvözöljük a Telegram alapítójának [Pavel Durov] készségét a terrorizmus és a szélsőségesség elleni küzdelemre." - magyarázta a Roskomnadzor.

[Videó] Mi történik, ha két állami hátterű kiberfegyver találkozik? - Bencsáth Boldizsár (CrySys Lab) Titkosítás, biztonság trey 2020. 06. 17., sze - 15:19

A malware-csörte részleteiről Bencsáth Boldizsár, a CrySys Lab biztonsági szakértője mesélt. A videó a 2018. 04. 25-i HWSW free! IT biztonsági meetupon készült. Nem mai videó, de most kezdtük el elérhetővé tenni a régebbi videókat. Érdemes megnézni, van aktualitása!

A Microsoft szerint a C++ nem biztonságos mission-critical rendszerekhez, inkább a Rust felé fordul Titkosítás, biztonság trey 2020. 06. 14., v - 09:22

"Microsoft has deemed C++ no longer acceptable for writing mission-critical software" https://t.co/f5RmWSL7KP "70% of the CVEs originating at Microsoft are memory safety issues"

— Justin Cormack (@justincormack) June 13, 2020 No matter how much investment software companies may put into tooling and training their developers, “C++, at its core, is not a safe language,” said Ryan Levick, Microsoft cloud developer advocate, during the AllThingsOpen virtual conference last month, explaining, in a virtual talk, why Microsoft is gradually switching to Rust to build its infrastructure software, away from C/C++. And it is encouraging other software industry giants to consider the same. [...] In fact, Microsoft has deemed C++ no longer acceptable for writing mission-critical software. The industry sorely needs to move to a performant, memory-safe language for its low-level system work. And the best choice on the market today is Rust, Levick said. [...] Today, C and C++ are the go-to languages for writing core system software. It is fast, with the only assembly between the code and the machine itself. But the industry is being crippled by all the memory-related bugs — many of which are security hazards — caused by these languages. Now, 70% of the CVEs originating at Microsoft are memory safety issues, Levick said.

Részletek itt.

Egy érdekes sztori arról, hogyan törte fel a Facebook és az FBI egy gyerekmolesztáló Tor mögötti gépét Titkosítás, biztonság trey 2020. 06. 14., v - 08:06

If you are targeted by a big organisation while doing illegal things, you will be caught. Even using a security-hardened OS.
Our goal at /e/ is different. We offer users an opportunity to escape industrial personal data harvesting by net giants.#privacyhttps://t.co/dnH4Q9ZYvT

— Gaël Duval (@gael_duval) June 13, 2020

Azok figyelmébe, akik golyóállónak képzelik magukat: a sztori szerint egy, a Facebookon tevékenykedő gyerekmolesztálót nem tudott visszakövetni az Fabebook, mert Tails-t használt, ami Tor-t alkalmaz a visszakövetés megnehezítése érdekében. Az FBI is számos alkalommal akart betörni a bűnöző gépére, de a Tails által felvonultatott biztonsági mechanizmusok miatt nem jártak sikerrel.