Tisztelt Látogató!

Az Ön által meglátogatott weboldal hamarosan megszüntetésre kerül.

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet megújult honlapját az nki.gov.hu webcímen érheti el, ahol az Intézetre vonatkozó információk mellett hasznos IT-biztonsági anyagokat talál.
Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
APT tanulmány MAC cím tracking cookies router trójai Planetary Emotet Hexion Cisco Európai Bizottság LightNeuron Google Play ENISA válságkezelés SensorVault Facebook AZORult kibertámadás MinLaw alkalmazás NSA UC Browser Mini Slack Hong Kong Matrix Badpackets malware sérülékenység ZDNet
 2018. június 06. 12:55

A kvantumszámítás innovatív megoldásokat kínál az ipar számára, azonban a technológia komoly veszélyt jelent a hagyományos titkosítási módszerekre nézve – derült ki Jaya Baloo, az Infosecurity Europe 2018 konferencián tartott előadásából.

Bővebben

A kvantumszámítás innovatív megoldásokat kínál az ipar számára, azonban a technológia komoly veszélyt jelent a hagyományos titkosítási módszerekre nézve – derült ki Jaya Baloo, az Infosecurity Europe 2018 konferencián tartott előadásából. A holland KPN informatikai biztonsági vezetője arra hívta fel az IT biztonsági szakemberek figyelmét, hogy a jelenleg használt titkosítási algoritmusok a számítási kapacitás nagy arányú növekedése miatt rövid időn belül elavulttá válnak, amely veszélyezteti a szervezetek által tárolt ügyféladatok biztonságát. Mindemellett az is gondot okoz, hogy a különböző hírszerző szervezetek – beleértve az amerikai Nemzetbiztonsági Ügynökséget (NSA) is – előszeretettel gyűjtik a titkosított kommunikációkat a lehetséges későbbi visszafejtés céljából. Jaya szerint az AES-256 algoritmus által nyújtott védelem bizonyos fokig növelhető a titkosítási kulcs meghosszabításával, az SHA-256 és az SHA-3 még szintén biztonságosan használható, azonban az RSA, a DSA, az ECDSA, illetve az ECDH szabványok nem lesznek kellően hatékonyak a kvantumszámítással végzett támadások ellen.

(www.infosecurity-magazine.com)
Kevesebb
Hasonló hírek
 április 26. 12:25

A ProtonMail bevezeti az elliptikus görbékre épülő kriptográfia (Elliptic Curve Cryptography - ECC) használatát az e-mail üzenetek titkosítása során.

Bővebben

A ProtonMail bevezeti az elliptikus görbékre épülő kriptográfia (Elliptic Curve Cryptography – ECC) használatát az e-mail üzenetek titkosítása során. Mindez azért lényeges, mert jelenleg az ECC számít a legfejlettebb titkosítási eljárásnak, amely az eddig leggyakrabban használt RSA-hoz képest gyorsabb műveletvégzést tesz lehetővé, megegyező, vagy magasabb biztonság garantálása mellett. Az RSA algoritmus nagy hátránya ugyanis, hogy az ECC-vel ellentétben a számítási kapacitások ugrásszerű növekedésével a titkosítás biztonságát csak nagyobb prímszámok alkalmazásával képes garantálni, ami azonban a titkosítási művelet idejét növeli. A ProtonMail blogbejegyzésében részletes információ található arról, hogy a felhasználók hogyan állíthatják be az ECC titkosítást az e-mail fiókjukon, azonban fontos kiemelni, hogy a régi RSA kulcsot nem szabad törölni, mivel a még ezzel titkosított üzenetek ennek hiányában olvashatatlanok lesznek.

(protonmail.com)
Kevesebb
 április 16. 12:09

Az Egyesült Államok nemzeti kiberbiztonsági ügynöksége (NCCIC) riasztást adott ki egyes VPN alkalmazásokat sújtó sérülékenységről, amelynek kihasználásával átvehető az irányítás a támadott rendszer felett.

Bővebben

Az Egyesült Államok nemzeti kiberbiztonsági ügynöksége (National Cybersecurity and Communications Integration Center – NCCI) riasztást adott ki egyes VPN alkalmazásokat sújtó sérülékenységről, amelynek kihasználásával átvehető az irányítás a támadott rendszer felett. A Carnegie Mellon Egyetem kiberbiztonsági eseménykezelő csoportja (CERT/CC) által felfedezett biztonsági hiba – szerintük – a Palo Alto Networks, a Pulse Secure, a Cisco és az F5 Networks VPN alkalmazásait biztosan érinti, azonban potenciálisan több száz további VPN szoftvert is veszélyeztethet. A probléma hátterében az áll, hogy a hitelesítő adatok, valamint a session cookie-k titkosítás nélkül kerülnek tárolásra a memóriában és a naplóállományokban. Amennyiben ehhez illetéktelenek hozzáférnek az adatokat felhasználhatják a hitelesítés megkerülésére, ezzel pedig jogosultság-kiterjesztést érhetnek el. Az F5 és a Cisco ezidáig nem reagált a biztonsági rés hírére, a Palo Alto Networks és a Pulse Secure ellenben már adott ki hibajavítást. Az F5 számára 2013 óta ismert a probléma, a memóriakezelést érintően javítás helyett megkerülő megoldásokat javasolnak ─ mint például a kétfaktoros azonosítás, illetve egyszer használatos jelszavak (one-time password – OTP) használatát ─ a naplófájlok nem biztonságos tárolása tekintetében ugyanakkor már 2017-ben adtak ki javítást.

(bleepingcomputer.com)
Kevesebb
 január 22. 12:00

A ProtonMail közleményt adott ki az Európai Unió terrorista tartalmak kezelésére vonatkozó javaslata (A proposal for a Regulation on preventing the dissemination of terrorist content online) kapcsán.

Bővebben

A ProtonMail az idei Tech Against Terrorism nevű konferencián foglalt állást az Európai Unió terrorista tartalmak kezelésére vonatkozó ─ véleményük szerint több homályos megfogalmazást is tartalmazó ─ javaslatával (A proposal for a Regulation on preventing the dissemination of terrorist content online) szemben, a téma kapcsán pedig blogjukon is közzétettek egy bejegyzést. Eszerint bár szigorúan elhatárolódnak bármilyen bűnözői tevékenységtől és támogatják a bűnüldöző hatóságok munkáját, alapvetően ellenzik, hogy szegényes gyakorlatok alkalmazásával olyan törvények szülessenek, amelyek alááshatják a globális biztonságot. Rossz példaként a szóban forgó EU-s javaslat mellett említik az Egyesült Királyság Investigatory Powers Actjét, valamint az ausztrál Assistance and Access Billt, mint olyan kezdeményezéseket, amelyek a titkosítás gyengítésével komoly károkat okoznak az általános biztonságnak. A terrorizmust érintő online tartalmak eltávolítását hatványozottan érzékeny témakörnek tekintik, amely a szólásszabadságra és a magánélethez való jogra nézve komoly következményekkel jár majd, és csak a különböző szektorok összefogásával kezelhető. 

(protonmail.com)
Kevesebb
 2018. december 10. 15:21

Az ausztrál parlament elfogadta a törvényt, amely a technológiai vállalatok számára kötelezővé teszi, hogy hátsó ajtó (backdoor) segítségével hatósági kérelemre hozzáférést biztosítsanak a hálózatukon áthaladó titkosított kommunikációhoz.

Bővebben

Az ausztrál parlament elfogadta a törvényt, amely a technológiai vállalatok számára kötelezővé teszi, hogy hatósági kérelemre hozzáférést biztosítsanak a hálózatukon áthaladó titkosított kommunikációkhoz. Azon cégek, amelyek nem felelnek meg az elvárásoknak, bírságra számíthatnak. Az intézkedést komoly kritika éri a tech cégek részéről, mondván a hátsó ajtók a hackerek számára is lehetőséget adnak az információszerzésre, valamint maguk a kormányok is visszaélhetnek a lehetőséggel. Lizzie O’Shea, emberi jogi jogász úgy véli ez csupán az első lépés, és előbb-utóbb a többi „Öt Szem” nemzet is hasonló szabályozást fog hozni.

(cyberscoop.com)
Kevesebb
 2018. október 31. 10:05

A biztonsági szempontból piacvezető csevegő alkalmazás, a Signal nyilvánosságra hozta legújabb fejlesztését, miszerint a jövőben nem csupán az üzenetek kerülnek titkosításra, hanem a feladók személye is rejtve marad.

Bővebben

A biztonsági szempontból piacvezető csevegő alkalmazás, a Signal nyilvánosságra hozta legújabb fejlesztését, miszerint a jövőben nem csupán az üzenetek kerülnek titkosításra, hanem a feladók személye is rejtve marad. Mindez azért fontos, mert bár a rendszer nem logolja a hálózatán történő tevékenységeket, a feladó és a címzett alapján is tehetők megállapítások a platform használatára vonatkozóan. A jelenleg még tesztfázisban lévő „rejtett feladó” bevezetésével nem szűnik meg annak a lehetősége, hogy a felhasználók megállapíthassák egy üzenet feladóját ─ erről a fejlesztők megkerülő megoldással gondoskodnak. A funkció alapértelmezetten a megbízható kapcsolatok számára készült, mindazonáltal egyéni preferencia alapján az is beállítható, hogy a felhasználó olyan személytől is fogadjon rejtett üzeneteket, aki nem szerepel a kontaktlistájában ─ azzal a megjegyzéssel, hogy ez az opció magas biztonsági kockázatot hordoz magában. 

(www.wired.com)
Kevesebb
 2018. szeptember 03. 13:05

Az ún. „Öt szem” (Five Eyes) hírszerzési nemzetszövetség a titkosítás kapcsán új alapelveket fogadott el.

Bővebben

Az ún. „Öt szem” (Five Eyes) hírszerzési nemzetszövetség a titkosítás kapcsán új alapelveket fogadott el. Elsőként kiemelik, hogy a törvényes úton történő adatgyűjtés nem csupán a kormányok feladata, hanem minden ágazati szereplő kölcsönös felelőssége, ennek kapcsán pedig a technológiai szolgáltatók részéről nagyobb közreműködésére számítanak. Az információk begyűjtése során azonban alapvető fontosságúnak ítélik az eljárás tisztességes lebonyolítását, a mindenkor szükséges független külső hatósági és/vagy bírói felügyelet. A digitális szolgáltatókat pedig önkéntes alapú hozzáférési megoldások kialakítására bátorítják, és ahelyett, hogy konkrét technikai követelményeket fogalmaznának meg, szabad kezet adnak a megvalósításban. 

(www.homeaffairs.gov.au)
Kevesebb
 2018. augusztus 27. 15:07

A Usenix biztonsági konferencián egyetemi kutatók egy olyan új eljárást mutattak be, amelynek segítségével fizikai hozzáférés nélkül képesek voltak okos telefonokról titkosító kulcsokat kinyerni.

Bővebben

A Usenix biztonsági konferencián egyetemi kutatók egy olyan új eljárást mutattak be, amelynek segítségével fizikai hozzáférés nélkül képesek voltak okostelefonokról titkosító kulcsokat kinyerni. A módszer alapjául az elektromágneses kisugárzás érzékelése szolgál, amely nem új technika, hiszen a 90-es évek óta jól dokumentált, ám a témával foglalkozó szakemberek az utóbbi évek tesztjei során csak komoly időigénnyel, és csak közvetlenül az adott eszköz chipjén mérve voltak képesek megszerezni az információt. A Georgia State University kutatói ezzel szemben 20 cm távolságból, mindössze néhány másodperc alatt 95.7, valamint 99%-os pontossággal meg tudták határozni a titkosító kulcsokat, amihez elég volt egy gyors mintát venniük a kikulcsolási műveletről. A tesztekhez Alcatel Ideal és Samsung Galaxy Centura telefonokat, valamint egy Linux disztribúciót futtató beágyazott eszközt használtak, amelyeken az OpenSSL programkönyvtár az akkori legfrissebb (1.1.0g) verziója volt telepítve. Mivel a technika valós körülmények közötti alkalmazásra is módot ad, a kutatók a nyilvánosságra hozatal előtt felvették a kapcsolatot az OpenSSL-t gondozó szervezettel, akik a javasolt védekező megoldásokat már május 20-án beépítették.

(www.bleepingcomputer.com)
Kevesebb
 2018. augusztus 14. 14:26

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak.

Bővebben

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak. Habár az ausztrál vállalkozások ez idáig is szolgáltattak felhasználói adatokat a helyi hatóságoknak egyes, magas szinten szervezett bűnözéssel kapcsolatos nyomozások során, azonban a nagy tech cégek, mint az Apple, vagy a Google már nem voltak ilyen együttműködőek. A most tárgyalt jogszabály (Assistance and Access Bill) azonban minden olyan cég esetében előírhat bizonyos fokú együttműködési kötelezettséget, amelyik Ausztrálián belül végzi a tevékenységét, vagy szolgáltatásai elérhetőek az országban. A jelenleg még csak egy vitaanyagban elérhető információk szerint ennek részeként egyes magas rangú biztonsági tisztségviselőknek lehetőséget kell biztosítani a titkosított kommunikációhoz való hozzáféréshez is. Ugyan a törvényjavaslat szerint az érintett digitális szolgáltatók nem kötelezhetők arra, hogy ehhez rendszerszintű sérülékenységet alkalmazzanak, jelenleg tisztázatlan, hogy a cégek milyen hátsó ajtókat (backdoors) nélkülöző megoldással felelhetnének meg a követelménynek.

(www.techradar.com)
Kevesebb