Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Stuxnet SBU sérülékenység MQTT MainOne Cable kódfejtés ESET Signal Pakisztán Pentagon Theodore Kramer Five Eyes kibervédelem OpenSSL Turla titkosítás Digi Kanada Europol terrorizmus Google Coinhive ENISA Egyesült Államok kémkedés SEC Consult költségvetés adatgyűjtés Office hírszerzés
 július 31. 11:07

Amikor a kritikus infrastruktúrákra gondolunk, legtöbbünknek az elektromos hálózat, a vízellátás, vagy a közlekedés jut eszébe. A fogalmat jobban kifejtve eszünkbe juthat még a mezőgazdaság, a honvédelem, vagy a pénzügyi szektor is, azonban ritkán gondolunk azokra a szolgáltatásokra, amik mindezek működését lehetővé teszik.

Bővebben

Amikor a kritikus infrastruktúrákra gondolunk, legtöbbünknek az elektromos hálózat, a vízellátás, vagy a közlekedés jut eszébe. A fogalmat jobban kifejtve eszünkbe juthat még a mezőgazdaság, a honvédelem, vagy a pénzügyi szektor is, azonban ritkán gondolunk azokra a szolgáltatásokra, amik mindezek működését lehetővé teszik. Az Amerikai Egyesült Államokban a legtöbb kritikus infrastruktúra az űrben lévő eszközök által biztosított szolgáltatásokon nyugszik, legyen az telekommunikáció, meteorológia vagy GPS. Egy közelmúltban megjelent kutatás szerint ezeknek az (űrben lévő) eszközöknek a biztonságával kapcsolatban jelentős hiányosságok tapasztalhatóak: Bár a kritikus infrastruktúrára vonatkozóan léteznek szabályok és eljárások, ezek a szabványok alig kerülnek átültetésre az űriparban. Hovatovább, ezek a rendszerek technológiai szempontból jóval összetettebbek, illetve a tulajdonjog és a management kérdésköre is több kérdést vet fel. Mindezek oda vezetnek, hogy a kiberbiztonság területén jelenleg nincs egységes iránymutatás, nem állnak rendelkezésre iparági szabványok. A tanulmány szerzője számba veszi a jelentősebb fenyegetéseket, amik az űreszközökre nézve veszéllyel járhatnak, és leírja, hogy a különböző nemzetközi szereplőknek miért állhat érdekében ezen rendszerek kompromittálása. A tanulmány végén a szerző ajánlásokat is tesz a döntéshozók és az űripar szereplői számára is, hogy miként tehetőek az eszközök biztonságosabbá.

(www.belfercenter.org)
Kevesebb
Hasonló hírek
 december 05. 15:59

Tervezési hiányosságokból és hibás implementációkból fakadó komoly biztonsági problémákat találtak kettő, gépek közötti kommunikációra (M2M) használt protokollban ─ állítja a japán Trend Micro új tanulmányában.

Bővebben

Tervezési hiányosságokból és hibás implementációkból fakadó súlyos biztonsági problémákat találtak kettő, gépek közötti kommunikációra (M2M) használt protokollban ─ közli a japán Trend Micro új tanulmányában. Mind a Message Queueing Telemetry Transport (MQTT), mind a Constrained Application Protocol (CoAP) széles körben használt IoT rendszerek esetében, nem ritkán ipari környezetekben. A kutatók csupán egyszerű kulcsszavas keresésekkel képesek voltak sérülékeny szervereket találni, és hozzáférni közel 200 millió MQTT, valamint 19 millió CoAP üzenethez, amelyek akár ipari kémkedés, DoS, vagy egyéb célzott támadások alapjául is szolgálhatnának. A vizsgálat során mintegy 4 310 mezőgazdasági rekordot gyűjtöttek be okos farmokról, emellett szép számmal találtak különböző bizalmas egészségügyi adatokat is, közöttük betegekre csatlakoztatott monitoring eszközök által közölt információkkal. A tanulmány emellett kiemeli, hogy az MQTT-t olyan csevegő alkalmazások is alkalmazzák, mint a Facebook Messenger. A kockázatok csökkentése érdekében a szervezetek számára javasolják minden olyan M2M szolgáltatás megszüntetését, amely nem elengedhetetlen a működéshez, valamint az érintett rendszerek sérülékenység vizsgálatát, az esetleges információ szivárgások felderítéséhez. 

(thenextweb.com)
Kevesebb
 december 05. 12:23

A DuckDuckGo internetes keresője friss tanulmányában azt állítja, a böngészők privát böngészési (inkognitó) módja sem véd meg a Google profilozó tevékenységétől. 

Bővebben

A Google bevallott módon bizonyos mértékben személyre szabottan jeleníti meg a keresési találatokat, például a keresés ideje, valamint a földrajzi helyzet függvényében. Egy szakmai körökben viták kereszttüzében álló nézet szerint azonban ezen túlmenően a felhasználók profilozásával, a böngészési szokásokat ─ például további kereséseket ─ is figyelembe veszi az eredménylisták összeállításához, ez az ún. „buborék hatás” (filter bubble). A DuckDuckGo internetes kereső friss tanulmányában pedig azt állítja, a böngészők privát böngészési (inkognitó) módja sem véd meg ettől. A profilozást nyíltan elutasító DuckDuckGo 87 ember bevonásával készült vizsgálata során a szimultán indított keresések a várakozásokkal ellentétben minden egyes, a vizsgálatban részt vevő személy esetében egyedi keresési eredményeket produkáltak, amelyekre ráadásul semmilyen befolyást nem gyakorolt, hogy a kereséseket privát böngészés során végezték-e. A Google reagált a tanulmányra, amelynek következtetéseit hibásnak tartják, kezdve a feltételezéssel, hogy az eredmények demográfiai profilozáson alapulnak, amelyet határozottan visszautasítanak. Több poszton keresztül fejtik ki álláspontjukat, miszerint a keresési eredmények ─ állításuk szerint minimális ─ eltérése alapvetően a helyszín, a nyelvi beállítások, valamint a platform különbözőségéből fakadhatnak, említve még a keresési rendszer dinamikus jellegét. 

(thenextweb.com)
Kevesebb
 december 04. 15:11

Biztonsági kutatók egy új támadási metódusról közöltek információkat, amellyel a legújabb TLS implementációk régebbi, sérülékeny verzióra kényszeríthetők.

Bővebben

Biztonsági kutatók egy új támadási metódusról közöltek információkat, amellyel a legújabb TLS implementációk régebbi, sérülékeny verzióra kényszeríthetők. A kutatók 9 különböző RSA-alapú biztonsági protokoll legfrissebb verzióját vizsgáltak át (OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS, BearSSL és a BoringSSL), ezek közül csupán az utolsó kettő volt ellenálló a szóban forgó módszerrel („FLUSH+RELOAD”) szemben. Az eredményeket összefoglaló, „The 9 Lives of Bleichenbacher’s CAT: New Cache ATtacks on TLS Implementations” című tanulmány ajánlásokat is tartalmaz, például javasolja az RSA kulcs csere helyett a Diffie-Hellman eljárásra történő áttérést. Martin Thorpe, a Venafi munkatársa az eset kapcsán arra hívja fel a figyelmet, hogy bizonyos biztonsági intézkedések megnehezíthetik egy-egy támadás végrehajtását, ilyen például a gépazonosítók (tanúsítványok, kulcsok, stb.) átgondolt használata és fokozott védelme.

(scmagazineuk.com)
Kevesebb
 november 30. 14:01

A több technológiai szervezetet is magába tömörítő Council to Secure the Digital Economy (CSDE) útmutatót adott ki Anti-Botnet Guide címmel, a digitális rendszerek robothálózatokkal szembeni globális biztosításához.

Bővebben

A több technológiai szervezetet is magába tömörítő Council to Secure the Digital Economy (CSDE) útmutatót adott ki Anti-Botnet Guide címmel, a digitális rendszerek robothálózatokkal szembeni globális biztosításához. Az anyag ─ amelyet iparági képviselők máris mérföldkőnek neveznek a technológiai szektor önszabályozásának folyamatában ─ olyan alapvető jó gyakorlatokat tartalmaz, amelyeket a szektor különféle szereplői is hasznosíthatnak. A kezdeményezés mögött az az elképzelés húzódik meg, hogy amennyiben ezek a szereplők azonos felfogásban, összehangoltan képesek a termékeik, rendszereik és ügyfeleik biztonságáért tenni, az internet védettebb lesz a botnetek okozta fenyegetéstől. Az ajánlások ugyanakkor egyfajta anti-szabályozási nézőponttal is bírnak, például bár a CSDE támogatja a kormányzati erőfeszítéseket a botnetek elleni harcban, azt is kinyilvánítja, hogy az előírásoknak történő megfelelésre való koncentrálás kontraproduktívan hathat a biztonsági innovációkra.

(cyberscoop.com)
Kevesebb
 november 28. 10:17

Egy thaiföldi kiberbiztonsági törvényjavaslat felhatalmazást adna a kormányzatnak, hogy magánszemélyek és vállalatok számítógépes eszközeit bírói végzés nélkül foglalja le alapos gyanú, vagy „vészhelyzet” esetén.

Bővebben

Egy thaiföldi kiberbiztonsági törvényjavaslat felhatalmazást adna a kormányzatnak, hogy magánszemélyek és vállalatok számítógépes eszközeit bírói végzés nélkül foglalja le alapos gyanú, vagy „vészhelyzet” esetén. A tevékenység egy új testület irányítása alatt állna, melynek vezetője a katonai junta feje, Prayuth Chan-O-Cha lenne. Az IT-biztonsági szakma részéről komoly kritikával illetett javaslatot még az év végéig az ország nemzetgyűlése elé kell tárni, amennyiben a kormányzat azt még a jövő év elején esedékes választásokig el szeretné fogadtatni, ugyanakkor a digitális ügyekért felelős miniszter, Pichet Durongkaveroj szerint a részletek jelenleg még kidolgozás alatt állnak. A miniszter ─ igyekezvén csillapítani a lehetséges túlkapások miatti felháborodást ─ kiemelte azt is, hogy a rendkívüli állapoton kívül érvényes lenne a megkötés, hogy bírói végzés szükséges a lefoglalásokhoz. Ritka, hogy a kormányzatot belföldről érje kritika, a thaiföldi fellebbviteli bíróság egy rangidős tagja szerint azonban az elképzelés figyelmen kívül hagyja az emberek jogait, és rossz kezekben akár véget is vethet a magánélethez való jognak.

(securityweek.com)
Kevesebb
 november 19. 16:09

A már zajló 4. ipari forradalom szorosan összekapcsolódik a kiberbiztonsággal, az egyre nagyobb számban előforduló biztonsági események pedig komoly hajtóerőt jelentenek az ellenállóképesség növeléséhez.

Bővebben

A már zajló 4. ipari forradalom szorosan összekapcsolódik a kiberbiztonsággal, az egyre nagyobb számban előforduló biztonsági események pedig komoly hajtóerőt jelentenek az ellenállóképesség növeléséhez. Az ENISA friss tanulmányában azon automatizált rendszerekkel dolgozó ipari cégek számára fogalmaz meg javaslatokat és biztonsági megoldásokat, amelyek ipari IoT berendezéseket alkalmaznak, vagy terveznek használni. Az összefoglaló többek között definiálja a releváns terminológiákat ─ mint például az Ipar 4.0, okos gyártás, ipari IoT, stb. ─, rendszerezi a digitális ipari asseteket, valamint támadásokon és kockázatokon alapuló átfogó fenyegetési taxonómiát vezet be. A teljességre törekvő anyag összeállításakor az ügynökség szem előtt tartotta, hogy az IoT eszközök teljes életciklusát végigkövesse biztonsági szempontból. 

(enisa.europa.eu)
Kevesebb
 november 14. 12:45

Idén a németek csupán negyven százaléka használta az elektronikus ügyintézési szolgáltatásokat, ismételten egy százalékponttal kevesebben mint az előző évben, és öt százalékponttal kevesebben mint 2016-ban.

Bővebben

Idén a németek csupán negyven százaléka használta az elektronikus ügyintézési szolgáltatásokat, ismételten egy százalékponttal kevesebben mint az előző évben, és öt százalékponttal kevesebben mint 2016-ban; emellett az elektronikus személyi igazolványok terén sem jelentkezett áttörés. Az ezen számokat bemutató tanulmány arra is felhívta a figyelmet, hogy az amúgy is alacsony számúnak mondható felhasználói kör 58 százaléka elégedett a szóban forgó szolgáltatásokkal. A statisztika azt is kimutatta, hogy mind Ausztriában, mind pedig Svájcban – tehát a hegyvidékibb területekkel rendelkező országokban – magasabb arányú a digitális ügyintézés. A németországi internet-használók több, mint egyharmada még mindig problémásnak ítéli az elektronikus ügyintézéssel összefüggő adatvédelmi, információbiztonsági kérdéseket, ezért nem is használja az említett digitális ügyintézési felületeket. Szintén problémát jelent, hogy az adóbevalláson túlmenően nagyon kevés elektronikus közszolgáltatás ismert az állampolgárok körében; és az elektronikus ügyintézéssel együtt járó előnyöket sem sikerült tudatosítani az emberekben. Az elektronikus személyi igazolványok kapcsán elmondható, hogy a népesség csupán hat százaléka tudja használni az ezzel járó szolgáltatások teljes körét.

(heise.de)
Kevesebb
 november 07. 14:18

Az Oracle internetes forgalom-elemző divíziója (Internet Intelligence) megerősítette az amerikai haditengerészeti főiskola és a Tel Aviv Egyetem kutatói által nemrég publikált tanulmány megállapításait, miszerint a China Telecom ─ Kína egyik legnagyobb, állami kézben lévő internet szolgáltatója ─ valóban térített el internetes forgalmat az utóbbi években.

Bővebben

Az Oracle internetes forgalom-elemző divíziója (Internet Intelligence) megerősítette az amerikai Haditengerészeti Főiskola és a Tel Aviv Egyetem kutatói által nemrég publikált tanulmány megállapításait, miszerint a China Telecom ─ Kína egyik legnagyobb, állami kézben lévő internet szolgáltatója ─ valóban térített el internetes adatforgalmat az utóbbi években. Doug Madory, a részleg vezetője ugyanakkor nem foglalt állást a tanulmány azon részeivel kapcsolatban, amelyek az eltérítés motivációival foglalkoznak. A felfedett részletek szerint az érintett nemzetközi forgalom nagy része az Egyesült Államok belföldi forgalma volt, ami a BGP routolási protokoll sérülékenységeinek kihasználásával  egy kitérő során előbb a kínai szolgáltató rendszerén haladt át. Madory szerint a jövőbeli hasonló esetek elkerüléséhez az internetszolgáltatóknak minél előbb el kell kezdeniük a magasabb biztonsági szintű megoldások alkalmazását, mint például az RPKI. 

(www.zdnet.com)
Kevesebb