HUP - titkosítás, biztonság

Subscribe to HUP - titkosítás, biztonság hírcsatorna
Frissítve: 29 perc 5 másodperc
2020. március 7.

A Huawei magyarázza, hogy mi az a backdoor

A Huawei magyarázza, hogy mi az a backdoor Titkosítás, biztonság trey 2020. 03. 07., szo - 09:20

Does the word “#backdoor” seem frightening? That’s because it’s often used incorrectly – sometimes to deliberately create fear. Watch to learn the truth about backdoors and other types of network access. #cybersecurity pic.twitter.com/NEUXbZbcqw

— Huawei (@Huawei) March 4, 2020
2020. március 5.

1 millió tanúsítvány visszavonását elhalasztotta a Let's Encrypt

1 millió tanúsítvány visszavonását elhalasztotta a Let's Encrypt Titkosítás, biztonság trey 2020. 03. 05., cs - 19:23

For more updates, follow the post on our community forum: https://t.co/91PtfDtGJN

— Let's Encrypt (@letsencrypt) March 5, 2020

Azokat a tanúsítványokat, amelyeknek a lecseréléséről nem tudott meggyőződni, az internet egészsége érdekében a Let's Encrpyt mégsem vonja vissza:

More than 1.7 million affected certificates have been replaced in less than 48 hours. We’d like to thank everyone who helped with the effort. Our focus on automation has allowed us, and our subscribers, to make great progress in a short amount of time. We’ve also learned a lot about how we can do even better in the future.

Unfortunately, we believe it’s likely that more than 1 million certificates will not be replaced before the compliance deadline for revocation is upon us at 2020-03-05 03:00 UTC (9pm U.S. ET tonight). Rather than potentially break so many sites and cause concern for their visitors, we have determined that it is in the best interest of the health of the Internet for us to not revoke those certificates by the deadline.

Részletek itt.

2020. március 4.

Visszavon ma tanúsítványokat a Let's Encrypt - ellenőrizd, hogy érintett-e téged

Visszavon ma tanúsítványokat a Let's Encrypt - ellenőrizd, hogy érintett-e téged Titkosítás, biztonság trey 2020. 03. 04., sze - 08:37

On March 4, we will revoke 2.6% of currently active Let's Encrypt certificates. These certificates were affected by a compliance bug. Please see the details at: https://t.co/pMz4NEIH9O

— Let's Encrypt (@letsencrypt) March 3, 2020

If your cert is affected, simply renew the certificate today and you will not have an interruption in service.

— Let's Encrypt (@letsencrypt) March 3, 2020

 

Egy bug miatt kénytelen a Let's Encrypt visszavonni több millió általa kiadott TLS/SSL tanúsítványt. A visszavonás 3 048 289 érvényes tanúsítványt érint. Az érintetteket e-mailben értesítik:

2020. február 22.

Rövidebb, de komplex jelszavak vagy hosszabb, de könnyen megjegyezhető jelmondatok?

Rövidebb, de komplex jelszavak vagy hosszabb, de könnyen megjegyezhető jelmondatok? Titkosítás, biztonság trey 2020. 02. 22., szo - 12:52

FBI Recommends Passphrases Over Password Complexity https://t.co/291m2D7V7e

— Slashdot (@slashdot) February 21, 2020

Egyesek a komplex (kis-nagybetűt, számot, speciális karaktereket stb. tartalmazó), de viszonylag rövidebb jelszavak, míg mások - pl. az FBI - a könnyen megjegyezhető, de hosszabb, értelmes szavakból összefűzött jelmondatok mellett érvel:

For more than a decade now, security experts have had discussions about what's the best way of choosing passwords for online accounts. There's one camp that argues for password complexity by adding numbers, uppercase letters, and special characters, and then there's the other camp, arguing for password length by making passwords longer. This week, in its weekly tech advice column known as Tech Tuesday, the FBI Portland office leaned on the side of longer passwords. "Instead of using a short, complex password that is hard to remember, consider using a longer passphrase," the FBI said. "This involves combining multiple words into a long string of at least 15 characters," it added. "The extra length of a passphrase makes it harder to crack while also making it easier for you to remember."
2020. február 21.

Publikus előzetes: Microsoft Defender ATP for Linux

Publikus előzetes: Microsoft Defender ATP for Linux Titkosítás, biztonság trey 2020. 02. 21., p - 16:30

A Microsoft bejelentette, hogy elérhető a Microsoft Defender ATP for Linux publikus előzetese ...

Today, we’re announcing another step in our journey to offer security from Microsoft with the public preview of Microsoft Defender ATP for Linux. Extending endpoint threat protection to Linux has been a long-time ask from our customers and we’re excited to be able to deliver on that. We know our customers’ environments are complex and heterogenous.

... és nemsokára elérhető lesz Androidra és iOS-re is:

Providing comprehensive protection across multiple platforms through a single solution and streamlined view is more important than ever. Next week at the RSA Conference, we’ll provide a preview of our investments in mobile threat defense with the work we’re doing to bring our solutions to Android and iOS.

A Microsoft bejelentése itt lenne olvasható, de mivel az oldal down, ezért a Google cache segít itt.

2020. február 12.

BSidesBUD 2020 – nemzetközi kiberbiztonsági konferencia negyedszer Budapesten

BSidesBUD 2020 – nemzetközi kiberbiztonsági konferencia negyedszer Budapesten Titkosítás, biztonság hup 2020. 02. 12., sze - 13:08

Negyedik alkalommal kerül megrendezésre hazánkban a nemzetközileg elismert BSides IT-biztonsági konferencia 2020. március 26-án a budapesti Lurdy Konferencia- és Rendezvényközpontban, ahová 24 előadó érkezik 15 különböző országból, izgalmas témákkal.

A magyar IT-szakemberek mellett érkeznek előadók az USA-ból, Franciaországból, Hollandiából, Ausztráliából, Portugáliából, Norvégiából, de a Közép-Kelet európai régióból, Ausztriából és Lengyelországból is.

2020. február 6.

"0day vulnerability (backdoor) in firmware for HiSilicon-based DVRs, NVRs and IP cameras"

"0day vulnerability (backdoor) in firmware for HiSilicon-based DVRs, NVRs and IP cameras" Titkosítás, biztonság trey 2020. 02. 06., cs - 12:11

Full disclosure: 0day vulnerability (backdoor) in firmware for HiSilicon-based DVRs, NVRs and IP cameras.

Described vulnerability allows attacker to gain root shell access and full control of device: https://t.co/jcLDDitwlI pic.twitter.com/ShK8VOk0c6

— Habr.com (@habr_eng) February 5, 2020
In 2017 Istvan Toth did a most comprehensive analysis of HiSilicon firmware. He also discovered remote code execution vulnerability in the built-in webserver and many other vulnerabilities. It's worth noting that disclosure was ignored by vendor.

Részletek itt.

2020. február 4.

Súlyos sudo sebezhetőség (engedélyezett pwfeedback opció mellett)

Súlyos sudo sebezhetőség (engedélyezett pwfeedback opció mellett) Titkosítás, biztonság trey 2020. 02. 04., k - 10:30

Yet Another Sudo #Vulnerability!

When 'pwfeedback' is enabled, a new Sudo bug could let low privileged #Linux & #macOS users (or malicious programs) execute arbitrary commands with 'root' privileges.

Details for CVE-2019-18634 ➤ https://t.co/ufL3sbbLvc#infosec#cybersecurity pic.twitter.com/GWLgCegcCR

— The Hacker News (@TheHackersNews) February 3, 2020
Sudo Bug Lets Non-Privileged Linux and macOS Users Run Commands as Root [...] According to Vennix, the flaw can only be exploited when the "pwfeedback" option is enabled in the sudoers configuration file, [...] To be noted, the pwfeedback feature is not enabled by default in the upstream version of sudo or many other packages. However, some Linux distributions, such as Linux Mint and Elementary OS, do enable it in their default sudoers files. [...] To determine if your sudoers configuration is affected, you can run "sudo -l" command on your Linux or macOS terminal to find whether the "pwfeedback" option is enabled and listed in the "Matching Defaults entries" output.

További részletek itt. Technikai részletek itt.

2020. január 23.

"Big Microsoft data breach – 250 million records exposed"

"Big Microsoft data breach – 250 million records exposed" Titkosítás, biztonság xclusiv 2020. 01. 23., cs - 12:01

Big Microsoft data breach – 250 million records exposed https://t.co/Xe521ubswe

— Naked Security (@NakedSecurity) January 22, 2020

14 évnyi adat volt szabadon hozzáférhető majdnem egy hónapig. Részletek itt. A Microsoft bejelentése itt.

2020. január 14.

Megjelent a ModSecurity 3.0.4-es kiadása

Megjelent a ModSecurity 3.0.4-es kiadása Titkosítás, biztonság airween 2020. 01. 14., k - 14:19

Megjelent a legnépszerűbb nyílt forráskódú WAF legújabb kiadása, a ModSecurity 3.0.4-es verziója.

2020. január 10.

Komoly pénzdíjjal és egy megnyerhető Tesla 3-mal jön az idei Pwn2Own vetélkedő

Komoly pénzdíjjal és egy megnyerhető Tesla 3-mal jön az idei Pwn2Own vetélkedő Titkosítás, biztonság trey 2020. 01. 10., p - 08:14

We're excited to announce #Pwn2Own Vancouver 2020 with new categories and returning partners, #Microsoft & @Tesla along with sponsor @VMware. More than $1,000,000 USD available - plus a Model 3! Details at https://t.co/eiZOb281Bk #P2OVancouver

— Zero Day Initiative (@thezdi) January 9, 2020

A ZDI bejelentette, hogy idén is megtartják népszerű, biztonsági szakemberek számára szervezett vetélkedőjüket, a Pwn2Own-t. Helyszíne a szokásos, a kanadai Vancouverben tartott CanSecWest konferencia. Időpontja 2020. március 18-20. A nyereményalap nem gyenge: több mint 1 millió dollár készpénz és egy vadonatúj Tesla Model 3-as. Az alábbi kategóriákban hirdettek versenyt:

2020. január 9.

P0: iPhone távoli exploitálsás 1, 2, 3. rész

P0: iPhone távoli exploitálsás 1, 2, 3. rész Titkosítás, biztonság trey 2020. 01. 09., cs - 19:55

Remote iPhone Exploitation Part 1: Poking Memory via iMessage and CVE-2019-8641 https://t.co/5F29wQtVJ4

— Project Zero Bugs (@ProjectZeroBugs) January 9, 2020

Remote iPhone Exploitation Part 2: Bringing Light into the Darkness -- a Remote ASLR Bypass https://t.co/USp8qmiRBs

— Project Zero Bugs (@ProjectZeroBugs) January 9, 2020

Remote iPhone Exploitation Part 3: From Memory Corruption to JavaScript and Back -- Gaining Code Execution https://t.co/7sFKXSHCcH

— Project Zero Bugs (@ProjectZeroBugs) January 9, 2020

A Google P0 csapatának blogján egy sorozat indult iPhone készülékek távoli exploitálásával kapcsolatban:

2020. január 8.

Frissítette közlési irányelveit a Google P0 csapata

Frissítette közlési irányelveit a Google P0 csapata Titkosítás, biztonság trey 2020. 01. 08., sze - 08:37

Policy and Disclosure: 2020 Edition https://t.co/437PanOTTx

— Project Zero Bugs (@ProjectZeroBugs) January 7, 2020

A Google Project Zero(P0) csapata az elmúlt években számos kritikus biztonsági sebezhetőség feltárásában és javításának elősegítésében működött közre.

2020. január 4.

FreeBSD local root exploit (FreeBSD-SA-19:02.fd)

FreeBSD local root exploit (FreeBSD-SA-19:02.fd) Titkosítás, biztonság trey 2020. 01. 04., szo - 16:39

Local root exploit for the FreeBSD fd vulnerability as disclosed in FreeBSD-SA-19:02.fd https://t.co/kEzzC3C0au #Rootkit #Vulnerability #Exploit #CyberSecurity #Infosec pic.twitter.com/aOTnmXuBWA

— Ptrace Security GmbH (@ptracesecurity) January 4, 2020

Ugyan a hibát a FreeBSD már rég javította, viszont aki nem patchelt, annak érdemes mielőbb, mert nemrég publikusan elérhető local root exploit látott napvilágot hozzá.

2019. december 18.

Plundervolt - ismét Intel processzorokat érintő sebezhetőséget/támadást jelentettek be

Plundervolt - ismét Intel processzorokat érintő sebezhetőséget/támadást jelentettek be Titkosítás, biztonság trey 2019. 12. 18., sze - 16:24

We present #plundervolt TL;DR First ever fault injection attack on Intel SGX enclaves. Abuses an undocumented software-based interface to undervolt the CPU. Extract full crypto keys and trigger memory safety violations in bug-free code. Read the paper at https://t.co/xfrFtNcQGE pic.twitter.com/ozuCF4Vzhh

— Jo Van Bulck (@jovanbulck) December 10, 2019

A hibát bejelentők közt van a Meltdown kapcsán ismertté vált Daniel Gruss is:

2019. december 13.

SockPuppet: egy iOS 12.4 kernel exploit kivesézése

SockPuppet: egy iOS 12.4 kernel exploit kivesézése Titkosítás, biztonság trey 2019. 12. 13., p - 08:36

SockPuppet: A Walkthrough of a Kernel Exploit for iOS 12.4 https://t.co/b6ZtRYS1br

— Project Zero Bugs (@ProjectZeroBugs) December 10, 2019

Ned Williamson a P0 csapat blogján egy olyan, iOS és macOS kernelt érintő súlyos sebezhetőséget elemez ki, ami öt évig volt jelen. A sebezhetőséget 2019 márciusában jelezte az Apple-nek, ami az iOS 12.3-ban ki is javította. Utána olyasmi következett, ami az Apple-nél nem ritka: a sebezhetőség "visszatért" az iOS 12.4-ben, amit aztán újra kijavítottak az iOS 12.4.1-ben, augusztusban:

In this post, we’ll look at CVE-2019-8605, a vulnerability in the iOS kernel and macOS for five years and how to exploit it to achieve arbitrary kernel read/write. This issue affected XNU as early as 2013, and was reported by me to Apple on March 2019. It was then patched in iOS 12.3 in May 2019 and I released the complete details including the exploit for iOS for analysis, named “SockPuppet,” in July 2019. It was then discovered that this issue regressed in iOS 12.4 and was later patched in iOS 12.4.1 in late August 2019.

A teljes leírás itt olvasható.