Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
USB Sudpresse Hollandia Office FIDO 2 alkalmazás Australia illegális kriptovaluta bányászat kriptovaluta Canadian Centre for Cyber Security GandCrab kiberháború adatbiztonság Exaramel iPhone dezinformáció Proximus titkosítás zsarolóvírus Egyesült Királyság GitHub Transtelecom SecurityWeek China Telecom Svájc Sepio Systems kiberbiztonság automatizált szövegfeldolgozás jelszavak Cyber National Mission Force
 november 06. 15:28

A Kamerka nevű tool segítségével cím alapján kereshetőek a közeli, internet felől hozzáférhető kamerák.

Bővebben

A Kamerka nevű tool segítségével cím alapján kereshetőek a közeli, internet felől hozzáférhető kamerák. Készítője szerint az alkalmazás több különálló programból tevődik össze: az egyik a Shodan, ami az internetre kötött eszközök felderítéséért felel, a Geopy modul a helymeghatározást, a Folium pedig az eredményeket tartalmazó, HTML alapú térkép előállítását végzi. A Motherboard validálta a program működését, aminek a segítségével London, New York és Párizs területén is tártak fel nem biztosított kamerákat. Bár a teszt során olyan eszközt nem találtak, ami élő képet közvetített volna ─ valamint a legtöbbjük nem bizonyult autentikáció nélkül hozzáférhetőnek ─ több esetben is elértek olyan admin felületeket, amelyekről ismert, hogy könnyen kitalálható jelszavakkal rendelkeznek. 

(motherboard.vice.com)
Kevesebb
Hasonló hírek
 október 31. 10:05

A biztonsági szempontból piacvezető csevegő alkalmazás, a Signal nyilvánosságra hozta legújabb fejlesztését, miszerint a jövőben nem csupán az üzenetek kerülnek titkosításra, hanem a feladók személye is rejtve marad.

Bővebben

A biztonsági szempontból piacvezető csevegő alkalmazás, a Signal nyilvánosságra hozta legújabb fejlesztését, miszerint a jövőben nem csupán az üzenetek kerülnek titkosításra, hanem a feladók személye is rejtve marad. Mindez azért fontos, mert bár a rendszer nem logolja a hálózatán történő tevékenységeket, a feladó és a címzett alapján is tehetők megállapítások a platform használatára vonatkozóan. A jelenleg még tesztfázisban lévő „rejtett feladó” bevezetésével nem szűnik meg annak a lehetősége, hogy a felhasználók megállapíthassák egy üzenet feladóját ─ erről a fejlesztők megkerülő megoldással gondoskodnak. A funkció alapértelmezetten a megbízható kapcsolatok számára készült, mindazonáltal egyéni preferencia alapján az is beállítható, hogy a felhasználó olyan személytől is fogadjon rejtett üzeneteket, aki nem szerepel a kontaktlistájában ─ azzal a megjegyzéssel, hogy ez az opció magas biztonsági kockázatot hordoz magában. 

(www.wired.com)
Kevesebb
 október 03. 15:19

A Google Jigsaw nevű részlege bemutatta az Intra nevű mobil applikációt, amellyel a cég szerint megelőzhetőek a DNS manipulációs támadások, amelyeket egyes országok az állami cenzúra eszközeként hír és közösségi oldalak elérésének blokkolására használnak ─ a TechCrunch cikke ezzel kapcsolatban név szerint említi Törökországot és Venezuelát.

Bővebben

A Google Jigsaw nevű részlege bemutatta az Intra nevű mobil applikációt, amellyel a cég szerint megelőzhetőek a DNS manipulációs támadások, amelyeket egyes országok az állami cenzúra eszközeként hír és közösségi oldalak elérésének blokkolására használnak ─ a TechCrunch cikke ezzel kapcsolatban név szerint említi Törökországot és Venezuelát. Az Intra azáltal nyújt védelmet, hogy gondoskodik a DNS szerver felé irányuló forgalom titkosításáról, ehhez alapértelmezetten a Google DNS szolgáltatását veszi igénybe, alternatívaként beállítható még a Cloudflare publikus DNS-e. A kevéssé ismert Google divízió egyéb cenzúra ellenes appokat is fejleszt, mint például a DDoS védelmi Project Shield, vagy az Outline, ami újságíróknak és aktivistáknak nyújt VPN szolgáltatást.

(techcrunch.com)
Kevesebb
 szeptember 27. 12:01

A Sophos munkatársai 25, a felhasználók tudtán kívül kriptovalutát bányászó applikációt fedeztek fel a Google Play-en, amely tevékenységet a Google már egy ideje kitiltott az alkalmazás áruházából.

Bővebben

A Sophos munkatársai 25, a felhasználók tudtán kívül kriptovalutát bányászó applikációt fedeztek fel a Google Play-en, amely tevékenységet a Google már egy ideje tilt az alkalmazás áruházában megjelenő appok számára. A biztonsági cég szerint eddig több, mint 120 000 felhasználó tölthette le a szóban forgó alkalmazásokat, amelyek a káros tevékenységet játékoknak és egyéb segédprogramoknak álcázták. Legtöbbjük Monero kriptopénzt termelő Coinhive kódokat használ, amelyek a szokványos megoldástól eltérő módon nem az eszköz grafikus vezérlőjét veszik célba a számításokhoz, hanem a CPU-t. Ezek az appok az észrevétlenség érdekében már szabályozzák a CPU használatot és figyelnek az akkumulátor merülésére és a túlmelegedésre, így sokszor a felhasználó nem is vesz észre teljesítményromlást. A szakemberek szerint az ilyen kódok lényegében bármilyen mobilos alkalmazásba beilleszthetőek, amelyek a beágyazott WebView böngészőt használják a webes tartalmak megjelenítésére. A Google-t már augusztusban értesítették a problémáról, azonban az alkalmazások egy része továbbra is letölthető a Google Play-ből. 

(www.securityweek.com)
Kevesebb
 szeptember 25. 16:40

A Microsoft az Ignite 2018 konferenciáján bejelentette, hogy az Azure Active Directory immár támogatja a saját fejlesztésű autentikátor alkalmazással történő hitelesítést.

Bővebben

A Microsoft az Ignite 2018 konferenciáján bejelentette, hogy az Azure Active Directory immár támogatja a saját fejlesztésű autentikátor alkalmazással történő hitelesítést. Mindez azt jelenti, hogy az Azure AD-t használó vállalatok alkalmazottjai jelszavak helyett az okostelefonjaikra telepített applikáció segítségével azonosíthatják magukat a vállalati IT környezetben, de az Office 365, Azure és a Dynamics CRM Online szolgáltatások esetében is használható az app. Az elképzelés mögött az a feltevés áll, hogy a támadóknak nehezebb ellopni a felhasználó telefonkészülékét, mint megszerezni a jelszavát. A cég emellett több újdonságot is bejelentett, például az MI-t is felhasználó Microsoft Threat Protection-t, ami a Microsoft 365 számára nyújt védelmet.

(www.zdnet.com)
Kevesebb
 augusztus 08. 11:04

Egy angliai biztonsági kutató rámutatott arra, hogy az angliai Halifax Bank oldalán olyan kliens oldali programok futnak, amik ellenőrzik, hogy a kliensen milyen portok vannak nyitva.

Bővebben

Egy angliai biztonsági kutató rámutatott arra, hogy az angliai Halifax Bank oldalán olyan kliens oldali programok futnak, amik ellenőrzik, hogy a kliensen milyen portok vannak nyitva. A bank szerint ez biztonsági intézkedés, ezzel védik az ügyfeleiket, és véleményük szerint tevékenységük teljesen legális, hiszen azon túl, hogy ellenőrzik a nyitott portokat, más tevékenységet nem folytatnak. A biztonsági kutató ezzel szemben azzal érvel, hogy egyrészt, ha Ő, mint fehérsapkás hacker, felkérés nélkül szkennelné a bank rendszereit, azon nyomban megsértené a számítógépes visszaélésekről szóló törvényt (Computer Misuse Act), ahogy ez több független biztonsági kutatóval is megtörtént már. A bejelentő nem vitatja a bank jó szándékát, ám úgy véli az ilyen tevékenységhez a felhasználók explicit hozzájárulása szükséges, mely feltétel jelenleg nem teljesül. Véleménye szerint, ha a kód nem a belépő oldalon futna le, hanem bejelentkezés után, akkor legalább csak a saját ügyfelein végeznék a vizsgálatot és nem bárki gépén, aki az adott oldalt meglátogatja. Ennek kapcsán igyekszik felhívni a figyelmet arra, hogy a törvényeket nem lehet kettős mércével alkalmazni, azaz, vagy legális mindenki számára, hogy hozzájárulás hiányában végezzen port szkennelést, vagy jogszerűtlen, ebben ez esetben azonban a bank szorítkozzon saját ügyfeleire. Egyes biztonsági kutatók némileg vitatják a fenti álláspontot, rámutatva arra, hogy a port szkennelés a login oldalon történik, nem pedig a bank fő oldalán, illetve olyan vélemény is született, ami méltányolhatónak tartja ezt a tevékenységet, mindaddig, míg szándékos károkozás, vagy rosszindulatú tevékenységet nem folytat a szolgáltató. Mindezeken túl más szolgáltatók is alkalmaznak hasonló megoldásokat, melyek széles körben elfogadottak (Shodan, Censys, Xbox, PlayStation és számos IRC csatorna).

(www.theregister.co.uk)
Kevesebb
 július 12. 14:46

A Mozilla Firefox Tesztpilóta programja már régóta használatos a kísérleti böngésző ötletek kipróbálására, és ez mostantól mobil applikációkkal is kiegészül.

Bővebben

A Mozilla Firefox Tesztpilóta programja már régóta használatos a böngészőt érintő új, kísérleti ötletek kipróbálására, és lehetőséget nyújt a felhasználók számára, hogy visszajelzést adjanak még fejlesztés alatt álló ötletekről. Mindez mostantól mobil applikációkkal is kiegészül, amelyek első képviselői az iOS-re készült Firefox Lockbox, valamint az androidos Notes by Firefox. Bár mindkét alkalmazás kapcsolódik a Firefoxhoz, ezek nem böngésző bővítmények, hanem önálló applikációk, amik szinkronizálnak a Firefox asztali vagy mobil verziójával. A Lockbox egy jelszókezelő, ami hozzáférést biztosít a Firefoxban elmentett jelszavakhoz, a Notes by Firefox pedig pontosan azt teszi, ami a nevéből kikövetkeztethető, azaz egy digitális jegyzetfüzet.

(techcrunch.com)
Kevesebb
 2017. április 19. 00:00

Egy zseblámpa alkalmazásnak álcázva szivárgott be egy rosszindulatú trójai program a Google Play áruházba.

Bővebben

Egy zseblámpa alkalmazásnak álcázva szivárgott be egy rosszindulatú trójai program a Google Play áruházba. Az alkalmazás adminisztrátori jogosultságokat kér, amelyek birtokában regisztrálja a fertőzött eszközt a támadó szerverére és megkezdi káros tevékenységeit (SMS lehallgatás, hamis értesítések küldése, stb.)Bővebben...

www.scmagazine.com
Kevesebb
 2017. április 04. 00:00

Az amerikai Virginia Tech kutatói kiterjedt elemzésnek vetettek alá megbízhatónak minősített applikációkat, kifejezetten azt vizsgálva, hogy azok milyen módon kommunikálnak és továbbítanak adatokat egymás között.

Bővebben

Az amerikai Virginia Tech kutatói kiterjedt elemzésnek vetettek alá megbízhatónak minősített applikációkat, kifejezetten azt vizsgálva, hogy azok milyen módon kommunikálnak és továbbítanak adatokat egymás között. Az eredmények egyértelmûen azt jelzik, hogy az alkalmazások mûködése potenciálisan komoly kitettséget jelenthet. Még az olyan látszólag ártalmatlan programok, mint egy zseblámpa alkalmazás, is szenzitív adatok kiszivárgását eredményezhetik, társult programokon keresztül.

www.dnaindia.com
Kevesebb