Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Brexit Spanyolország Touch ID adathalászat EU Kamerka Pakisztán fenyegetés Bankers Life Facebook In Our Sites adatgyűjtés bankok RPKI Belgium sérülékenység Digi routing hiba GandCrab NIS bizalmas dokumentumok tiltás blokklánc technológia rendelettervezet Telcotech CVSS Akamai Unbubble Cyclane iPhone
 2017. április 10. 00:00

A digitális tanúsítványok szabványának (X.

Bővebben

A digitális tanúsítványok szabványának (X.509) gondozását végző CA/Browser Forum a múlt hét során döntött arról, hogy a tanúsítvány hitelesítő szolgáltatók (CA) számára kötelezően előírja az ún. Certificate Authority Authorization (CAA) rekordok ellenőrzését. Ez a plusz biztonsági funkció megnehezítheti harmadik felek számára, hogy egy szervezetet megszemélyesítve egy adott domain-hez illetéktelenül igényeljen tanúsítványt. Az előírás 2017. szeptember 8-tól lép életbe.

www.bleepingcomputer.com
Kevesebb
Hasonló hírek
 december 04. 15:11

Biztonsági kutatók egy új támadási metódusról közöltek információkat, amellyel a legújabb TLS implementációk régebbi, sérülékeny verzióra kényszeríthetők.

Bővebben

Biztonsági kutatók egy új támadási metódusról közöltek információkat, amellyel a legújabb TLS implementációk régebbi, sérülékeny verzióra kényszeríthetők. A kutatók 9 különböző RSA-alapú biztonsági protokoll legfrissebb verzióját vizsgáltak át (OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS, BearSSL és a BoringSSL), ezek közül csupán az utolsó kettő volt ellenálló a szóban forgó módszerrel („FLUSH+RELOAD”) szemben. Az eredményeket összefoglaló, „The 9 Lives of Bleichenbacher’s CAT: New Cache ATtacks on TLS Implementations” című tanulmány ajánlásokat is tartalmaz, például javasolja az RSA kulcs csere helyett a Diffie-Hellman eljárásra történő áttérést. Martin Thorpe, a Venafi munkatársa az eset kapcsán arra hívja fel a figyelmet, hogy bizonyos biztonsági intézkedések megnehezíthetik egy-egy támadás végrehajtását, ilyen például a gépazonosítók (tanúsítványok, kulcsok, stb.) átgondolt használata és fokozott védelme.

(scmagazineuk.com)
Kevesebb
 szeptember 05. 13:47

Egy biztonsági kutató szerint több olyan Tor oldal is fellelhető, amelyek hibás konfiguráció miatt SSL tanúsítványaikon keresztül felfedhetik a publikus IP címeiket.

Bővebben

Egy biztonsági kutató szerint több olyan Tor oldal is fellelhető, amelyek hibás konfiguráció miatt SSL tanúsítványaikon keresztül felfedhetik a publikus IP címeiket. A darknetes oldalakat kiszolgáló szervereket ugyanis az oldalak anonimitásának megőrzése érdekében úgy szokás beállítani, hogy kizárólag a lokálhoszton (127.0.0.1) „hallgatózzanak”, azonban előfordul, hogy az oldal adminisztrátora ezt elmulasztja megtenni, és azok bármilyen külső IP címről fogadnak kéréseket. Amennyiben egy ilyen site SSL tanúsítvánnyal rendelkezik, annak CN mezője tartalmazza a Tor hálózatbeli (onionos) címét, innentől kezdve a szerver publikus IP címe és a „darknetes” címe között kapcsolat állítható fel. A rossz gyakorlatra a RiskIQ egy munkatársa derített fényt, mivel a biztonsági cég egyik tevékenységeként a weben elérhető SSL tanúsítványok katalogizálását végzi. 

(www.bleepingcomputer.com)
Kevesebb
 augusztus 08. 10:22

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry.

Bővebben

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry, ezeken keresztül pedig a nagyobb böngészők és operációs rendszerek is. A korábbi köztes elem, az IdenTrust kiiktatásra került, mivel ez magában hordozta annak az esélyét, hogy amennyiben az IdenTrust felé meggyengülne a bizalom ─ ami a közelmúltban például a Symantec esetében megtörtént ─ akkor az az összes Let's Encrypt tanúsítványt érintené. A cég közleménye szerint azonban egyes régebbi rendszerek nem kompatibilisek az új eljárással, és még legalább öt év kell ahhoz, hogy ezek kikopjanak a webes ökoszisztémából.

(www.bleepingcomputer.com)
Kevesebb
 május 24. 11:32

Ron Wyden amerikai szenátor megelégelte, hogy az Egyesült Államok Védelmi Minisztériumának weboldalai nem biztonságos kapcsolaton keresztül érhetők el.

Bővebben

Ron Wyden amerikai szenátor megelégelte, hogy az Egyesült Államok Védelmi Minisztériumának weboldalai nem biztonságos kapcsolaton keresztül érhetők el. Emiatt levélben arra kérte Dana Deasy-t, a Pentagon információbiztonsági vezetőjét, hogy a minisztériumhoz tartozó összes honlapon egységesen alkalmazzanak megbízható webes tanúsítványokat és HTTPS titkosítást. Ez jelenleg ugyanis csupán az oldalak egy kis hányadánál valósul meg, annak ellenére, hogy egyes hivatalos dokumentumok arról tanúskodnak, hogy a szervezetnek legkésőbb 2016. végégig be kellett volna vezetnie a HTTPS kizárólagos használatát. Wyden szerint a helyzet sürgős megoldást kíván, mivel ismertté vált, hogy a Google Chrome 2018 júliusától minden hagyományos HTTP-n keresztül elérhető oldalt „nem biztonságos”-ként jelöl meg, ami komoly presztízsveszteséget jelentene a Pentagonnak.

(www.cyberscoop.com)
Kevesebb