Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Mozilla gyakorlat elemzés DataCamp MSP Trump SIEM névfeloldás kiberkémkedés MacBook Pro VirusTotal Vietnám trendek kibervédelmi ügynökség fiókadatok NIS bizalmas dokumentumok e-szavazórendszer uBlock Origin Chrome NCCIC RocketChat NewsGuard útmutató Hollandia Privacy International online propaganda Európai Unió Fotolog Észtország
 2018. március 09. 11:44

A Department of Homeland Security (DHS) felügyeleti szerve (OIG) által végzett éves vizsgálat ismét aggasztó képet festett a rendszerek biztonsági állapotáról, melynek legfőbb tanulsága, hogy a DHS elavult szoftverekkel dolgozik és nem fordít kellő figyelmet a kritikus sérülékenységek javítására, beleértve azt is, amit a Wannacry zsarolóvírus terjesztéséhez használtak ki.

Bővebben

A Department of Homeland Security (DHS) felügyeleti szerve (OIG) által végzett éves vizsgálat ismét aggasztó képet festett a rendszerek biztonsági állapotáról, melynek legfőbb tanulsága, hogy a DHS elavult szoftverekkel dolgozik és nem fordít kellő figyelmet a kritikus sérülékenységek javítására, beleértve azt is, amit a WannaCry zsarolóvírus terjesztéséhez használtak ki. Donald Trump elnök a kritikus rendszerek védelméről szóló 2017 májusi rendeletében minden szövetségi szerv számára előírta a NIST keretrendszer alkalmazását. Az ebben meghatározott funkcióknak (,,Megismerés", ,,Védelem", ,,Esemény észlelése", ,,Esemény kezelése" és ,,Helyreállítás") való megfelelést a vizsgált rendszerek tekintetében 1-5-ig rangsorolták, ahol az 1-es besorolás (,,Rögtönzött") a legalacsonyabb szintet, az 5-ös (,,Optimalizált") besorolás, pedig az informatikai biztonsági követelményeknek való teljes körű megfelelést jelenti. Ezek közül a 4-es szintet már elégségesnek fogadják el, amit a DHS csak az ,,Megismerés" és a ,,Esemény kezelése" funkciók kapcsán ért el, a többi tekintetében azonban súlyos hiányosságokat tártak fel. Például kiderült, hogy olyan elavult szoftverek is használatban vannak, mint a Windows Server 2003, amihez már 2015 júliusa óta nem érhető el gyártói támogatás. Azonban a még támogatott programok (Windows Server 2008 és 2012) között is előfordul, hogy hiányoznak évekkel ezelőtt megjelent (2013-as és 2016-os kiadású) biztonsági frissítések. Az OIG 5 ajánlást tett a védelmi szint növeléséhez, amelynek teljesítését a DHS biztonsági felügyelője legkésőbb 2018. szeptember 20-ig vállalta.

www.csoonline.com
Kevesebb
 január 23. 12:30

A Let's Encrypt bejelentette, hogy 2019. február 13-tól megszűnteti a TLS-SNI-01 domain validációs metódus támogatását, annak tavaly januárban felfedezett komoly sérülékenysége miatt.

Bővebben

A Let's Encrypt közleményben tudatta, hogy 2019. február 13-tól megszűnteti a TLS-SNI-01 domain validációs eljárás támogatását, annak tavaly januárban felfedezett komoly sérülékenysége miatt, amely a támadók számára lehetővé teszi, hogy felhasználhassák a támadott website HTTPS tanúsítványait. A cég közleménye szerint ügyfeleik többsége már a javasolt alternatívákat használja (DNS-01, HTTP-01), azonban feltételezik, hogy még előfordulhatnak olyanok, akik nem tértek át ezekre  elük igyekeznek közvetlenül is felvenni a kapcsolatot. 

(theregister.co.uk)
Kevesebb
 2018. augusztus 08. 10:22

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry.

Bővebben

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry, ezeken keresztül pedig a nagyobb böngészők és operációs rendszerek is. A korábbi köztes elem, az IdenTrust kiiktatásra került, mivel ez magában hordozta annak az esélyét, hogy amennyiben az IdenTrust felé meggyengülne a bizalom ─ ami a közelmúltban például a Symantec esetében megtörtént ─ akkor az az összes Let's Encrypt tanúsítványt érintené. A cég közleménye szerint azonban egyes régebbi rendszerek nem kompatibilisek az új eljárással, és még legalább öt év kell ahhoz, hogy ezek kikopjanak a webes ökoszisztémából.

(www.bleepingcomputer.com)
Kevesebb