Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Ausztrália Ariane RAND GnuTLS FLUSH+RELOAD közlemény CoreTLS Google Play ZTE Eternal Red RocketChat Supermicro Google kiberbiztonság Bloomberg Palo Alto kiberbiztonsági stratégia fejlesztés VPN Lets Encrypt tanulmány biztonsági esemény adatbiztonság Nardello & Co. filter bubble Kaspersky The Shadow Brokers kétfaktoros autentikáció Modlishka NotPetya
 2018. február 26. 09:31

Az Egyesült Államok – habár kifejezetten szigorú határátlépési szabályokkal rendelkezik – nem ellenőrzi az e-útlevelekben található digitális aláírások érvényességét, mivel az Egyesült Államok Vámügyi és Határvédelmi Hivatala (CBP) nem rendelkezik az ehhez szükséges szoftverrel.

Bővebben

Az Egyesült Államok – habár kifejezetten szigorú határátlépési szabályokkal rendelkezik – nem ellenőrzi az e-útlevelekben található digitális aláírások érvényességét, mivel az Egyesült Államok Vámügyi és Határvédelmi Hivatala (CBP) nem rendelkezik az ehhez szükséges szoftverrel. Az e-útlevél kiváltása 2007 óta minden olyan külföldi állampolgár számára kötelező, akik a vízummentességi programban résztvevő országokból érkeznek. Az e-útlevélbe integrált chip több adat mellett egy digitális aláírást is tartalmaz, amely a kártya birtokosának azonosítására szolgál és nem hamisítható, mivel azt kizárólag a hatóságok képesek módosítani. Ron Wyden és Claire McCaskill szenátorok a CBP-nek címzett nyílt leveléből azonban az derül ki, hogy a határőrség munkatársai csak a chip-en tárolt adatok egy részét képesek ellenőrizni, a digitális aláírást azonban egy dedikált szoftver hiánya miatt nem. A CBP ráadásul legkorábban 2010-ben értesült a problémáról, mivel a Government Accountability Office (GAO) erre egy jelentésben felhívta a figyelmet. A szenátorok most azt kérik a CBP-től, hogy 2019. január 1-ig dolgozzanak ki egy tervet a megfelelő ellenőrzés bevezetéséhez.

www.bleepingcomputer.com
Kevesebb
 Ma, 12:30

A Let's Encrypt bejelentette, hogy 2019. február 13-tól megszűnteti a TLS-SNI-01 domain validációs metódus támogatását, annak tavaly januárban felfedezett komoly sérülékenysége miatt.

Bővebben

A Let's Encrypt közleményben tudatta, hogy 2019. február 13-tól megszűnteti a TLS-SNI-01 domain validációs eljárás támogatását, annak tavaly januárban felfedezett komoly sérülékenysége miatt, amely a támadók számára lehetővé teszi, hogy felhasználhassák a támadott website HTTPS tanúsítványait. A cég közleménye szerint ügyfeleik többsége már a javasolt alternatívákat használja (DNS-01, HTTP-01), azonban feltételezik, hogy még előfordulhatnak olyanok, akik nem tértek át ezekre, velük igyekeznek közvetlenül is felvenni a kapcsolatot. 

(theregister.co.uk)
Kevesebb
 2018. augusztus 08. 10:22

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry.

Bővebben

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry, ezeken keresztül pedig a nagyobb böngészők és operációs rendszerek is. A korábbi köztes elem, az IdenTrust kiiktatásra került, mivel ez magában hordozta annak az esélyét, hogy amennyiben az IdenTrust felé meggyengülne a bizalom ─ ami a közelmúltban például a Symantec esetében megtörtént ─ akkor az az összes Let's Encrypt tanúsítványt érintené. A cég közleménye szerint azonban egyes régebbi rendszerek nem kompatibilisek az új eljárással, és még legalább öt év kell ahhoz, hogy ezek kikopjanak a webes ökoszisztémából.

(www.bleepingcomputer.com)
Kevesebb