Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
internetes keresés BSI Google hirdetési azonosító kibervédelmi ügynökség BoringSSL kormányzat Huawei Supermicro CSDE Genfi Konvenció WolfSSL Europol India Bitcoin protokoll választások VPN törvény router online propaganda fenyegetés RocketChat közlemény disassembler GDPR.eu Unit 42 Apple TLS SNI FSZB Investigatory Powers Act
 2018. szeptember 21. 14:54

A francia nemzeti kiberbiztonsági ügynökség (ANSSI) a GitHubon szabadon hozzáférhetővé tette a saját fejlesztésű biztonságos operációs rendszerének (CLIP OS) 4-es és 5-ös verzióját.

Bővebben

A francia nemzeti kiberbiztonsági ügynökség (ANSSI) a GitHubon szabadon hozzáférhetővé tette a saját fejlesztésű biztonságos operációs rendszerének (CLIP OS) 4-es és 5-ös verzióinak kódját, amelyek eredetileg kormányzati igényre készültek. A sajtóközlemény szerint a CLIP OS egy Linux-alapú, káros kódokkal szemben megerősített  rendszer alkalmas az érzékeny információk védelmének biztosítására, azáltal, hogy a bizalmas adatokat egy teljesen izolált környezetben kezelni. A készítők azonban felhívják a figyelmet arra, hogy angol nyelvű dokumentáció jelenleg csak az alfa stádiumban lévő 5-ös verzióhoz érhető el. 

(www.zdnet.com)
Kevesebb
Hasonló hírek
 január 09. 14:42

Piotr Duszyński lengyel biztonsági kutató közzétett egy Modlishka névre keresztelt sérülékenység vizsgálati eszközt a GitHubon, amellyel egyszerű módon automatizálhatóak az adathalász támadások, és még a kétfaktoros hitelesítéssel ellátott fiókok is sikeresen támadhatóak, azok kivételével, amelyek U2F-alapú hardverkulcsokkal védettek.

Bővebben

Piotr Duszyński lengyel biztonsági kutató közzétett egy Modlishka névre keresztelt sérülékenység vizsgálati eszközt a GitHubon, amellyel egyszerű módon automatizálhatóak az adathalász támadások, és még a kétfaktoros hitelesítéssel ellátott fiókok is sikeresen támadhatóak, azok kivételével, amelyek U2F-alapú hardverkulcsokkal védettek. A Modlishka lényegében egy módosított reverse proxy, amely a felhasználó és a támadott weboldal között helyezkedik el. Az áldozat a Modlishka szerverhez csatlakozik, ami a háttérben a felhasználót megszemélyesítve intéz kérést a valódi oldal felé. Az áldozathoz ugyan eljutnak a valós oldalról származó információk, azonban ezek kompromittálódnak, hiszen a forgalom keresztül halad és rögzítésre kerül a Modlishka szerveren. A program nagy előnye, hogy ennek használatával a sérülékenység vizsgálóknak nem kell megtévesztő oldalt készíteniük ─ hiszen az a célkeresztben lévő site legitim elemeit használja valós időben ─ csupán egy, az eredetire hasonlító domain nevet, valamint egy ehhez tartozó valid TLS tanúsítványt. Ugyanakkor többen is aggályosnak vélik egy ilyen program széles körben történő elérhetővé tételét, attól tartva, hogy az a „script kiddie-k” között nagy népszerűségre tesz majd szert. Duszyński erre reagálva elmondta, úgy véli, csupán egy bizonyítottan működő megvalósíthatósági példa (proof-of-concept) képes felhívni a figyelmet a valós veszélyre. Az Amnesty International egy tavaly decemberi jelentése szerint egyes állami támogatású hacker csoportok már aktívan használnak olyan adathalász megoldásokat, amelyek képesek a kétfaktoros hitelesítéssel védett fiókok kompromittálására. 

(zdnet.com)
Kevesebb