Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
CoreTLS FLUSH+RELOAD Ukrajna kiberhadviselés ajánlások Microsoft kibertámadás Telegram Viber terrorizmus Assistance and Access Bill kibervédelmi ügynökség Diffie-Hellman iPhone Hollandia helyzetkép privát böngészés Europol MbedTLS protokoll MSP kiberbűnözés sérülékenység vizsgálat Apache Struts NCSC BoringSSL Darknet RAND SOHO e-ügyintézés
 2018. június 11. 11:03

A vízi járművek kommunikációs és navigációs rendszereinek hibás beállításai és szoftver sérülékenységei lehetőséget biztosítanak távoli nyomon követésre, vagy akár a jármű feletti irányítás átvételére és annak elsüllyesztésére is.

Bővebben

A vízi járművek kommunikációs és navigációs rendszereinek hibás beállításai és szoftver sérülékenységei lehetőséget biztosítanak távoli nyomon követésre, vagy akár a jármű feletti irányítás átvételére és annak elsüllyesztésére is – állítja a sérülékenységvizsgálattal foglalkozó Pen Test Partners. A kutatók szatellit kommunikációs rendszerek, valamint ahhoz kapcsolódó szoftver és hardver elemek 2017 őszén végzett vizsgálatai során megállapították, hogy több szatellit rendszeren az alapértelmezett hitelesítő adatokat használják a munkavégzés során, amelyek könnyen megszerezhető, admin szintű hozzáférést biztosíthatnak a támadóknak. A vizsgálatok során olyan kritikus sérülékenységeket is feltártak, amelyeket csak az érintett gyártó számára tettek elérhetővé. Ilyen hibát találtak többek között a Cobham cég Fleet One termináljában is, amelynek kihasználásának következtében további rendszerek is kompromittálódhatnak, például egy támadási forgatókönyv szerint az Electronic Chart Display and Information System (ECDIS), navigációs rendszer. Ezzel már a támadók lényegében teljesen irányításuk alá vonhatják a hajót, megváltoztatva annak menetirányát is, amivel ütközést is előidézhetnek.

(www.securityweek.com)
Kevesebb
Hasonló hírek
 január 18. 12:16

Egy Twittert érintő biztonsági hiba vált ismertté, amelynek következtében egyes usereik privát tweetjei publikussá válhattak

Bővebben

Egy Twittert érintő biztonsági hiba vált ismertté, amelynek következtében egyes usereik privát tweetjei publikussá válhattak. Az esetről a Twitter adott hírt, eszerint amennyiben androidos felhasználóik 2014. november 3-a és 2019. január 14-e között a „Protect your tweets” funkció engedélyezése után további beállítást is módosítottak ─ például új e-mail címet adtak meg a fiókjukhoz ─ lehetséges, hogy ezzel az előbbit  tudtukon kívül kikapcsolták. Mindez azért lényeges, mert a „Protect your tweets” beállítás teszi lehetővé, hogy csak a követők láthassák a felhasználó posztjait, illetve az ily módon közzétett posztok nem retweetelhetőek. A cég elmondása szerint értesítette azon felhasználóit, akiknek érintettségéről tudomást szereztek, azonban azt javasolják, hogy lehetőség szerint minden felhasználó ellenőrizze a beállítást, mivel az összes potenciális érintettet nem tudják azonosítani. Az esetről értesült az egyébként más GDPR szabályszegés miatt a Twitter ellen éppen vizsgálatot folytató ír adatvédelmi hatóság is (Irish Data Protection Commission), azonban a mostani ügy miatt még nem kezdeményeztek eljárást.

(mashable.com)
Kevesebb
 január 17. 11:53

A Safety Detective kutatója komoly hibát fedezett fel az Amadeus online repülőjegy foglalási rendszerben, amelynek következtében illetéktelen személyek képesek lehettek hozzáférni az utasok adataihoz, valamint módosítani is azokat.

Bővebben

A Safety Detective egy biztonsági kutatója komoly hibát fedezett fel az Amadeus online repülőjegy foglalási rendszerben, amelynek következtében illetéktelen személyek képesek lehettek hozzáférni az utasok adataihoz, valamint módosítani is azokat. A rendszer igen népszerű, mintegy 140 nemzetközi légitársaság használja, ezzel a piacon jelentős (44%) részesedést tudhat magáénak ─ olyan ügyfelekkel, mint például a United Airlines, Lufthansa, vagy az Air Canada ─ így a problémában több millió utas vált potenciálisan érintetté. A kutató akkor fedezte fel a hibát, amikor egy izraeli társaság (EL AL) járatára szeretett volna foglalni. Egy paraméter átírásával képes volt megtekinteni az utas-nyilvántartási adatállományokat (Passenger Name Record - PNR), amelyek birtokában az EL AL ügyfélportálján lehetősége nyílt megváltoztatni az utasok kontakt adatait, ezt kihasználva pedig többek közt törölhette volna a foglalásokat. További probléma, hogy a PNR kódokat nem titkosítva, hanem szabad szöveges állományként küldte az EL AL rendszere, ami kitettséget jelent a közbeékelődéses (Man-in-the-Middle) támadásokkal szemben. Az Amadeus közleménye szerint a hibát elhárították.

(bleepingcomputer.com)
Kevesebb
 január 10. 10:50

Egy újonnan közzétett biztonsági rés kihasználásával a Skype alkalmazáson keresztül fogadott hívások lehetővé tették az Androidos eszközök zárolásának megkerülését, így a feloldási művelet végrehajtása nélkül megtekinthetők voltak az eszközökön tárolt fényképek, névjegyek és böngészőablakok.

Bővebben

Egy biztonsági rés kihasználásával a Skype alkalmazáson keresztül fogadott hívások lehetővé tették az androidos eszközök zárolásának megkerülését, így a feloldási művelet végrehajtása nélkül megtekinthetővé váltak az eszközökön tárolt fényképek, és névjegyek, valamint üzenet küldésére is mód nyílt. A sérülékenységre egy 19 éves, koszovói számítógépes programhiba-kutató hívta fel még októberben a Microsoft figyelmét, a december 23-án kiadott frissítésben pedig már javításra került a hiba. A sebezhetőségben minden 8.15.0.416 ─ és ennél alacsonyabb ─ verziószámú androidos Skype alkalmazás érintett. 

(theregister.co.uk)
Kevesebb
 2018. december 18. 11:34

Múlt hónap során a Twitter felfedezett egy biztonsági hibát az egyik hibabejelentő űrlapjuk vonatkozásában. A Twitter ezzel kapcsolatos közleménye szerint miközben a hiba okának felderítésén dolgoztak, szokatlan forgalomra lettek figyelmesek az érintett form API-ján keresztül. 

Bővebben

Múlt hónap során a Twitter felfedezett egy biztonsági hibát az egyik online hibabejelentő űrlapjuk vonatkozásában, amelynek kihasználásával átmenetileg visszakereshető volt a felhasználók telefonszámának ország kódja, valamint megállapítható volt, hogy a fiók zárolt állapotban van-e. A Twitter ezzel kapcsolatos közleménye szerint miközben a hiba okának felderítésén dolgoztak, szokatlan forgalomra lettek figyelmesek az érintett form API-ját érintően, ugyanis nagy mennyiségben érkeztek kérések egyes kínai és szaúdi IP címekről. Habár a jelenség céljára vonatkozóan nem ismertették az álláspontjukat, lehetségesnek tartják, hogy a kérdéses IP-k közül néhány állami támogatású hacker csoportokhoz köthető. Az állítás bővebben nem kerül kifejtésre, mindössze annyit közölnek még a posztban, hogy a felfedezésről értesítették a hatóságokat, a felhasználók részéről pedig nincs teendő, mivel a hiba már elhárításra került.

(securityweek.com)
Kevesebb
 2018. december 05. 15:59

Tervezési hiányosságokból és hibás implementációkból fakadó komoly biztonsági problémákat találtak kettő, gépek közötti kommunikációra (M2M) használt protokollban ─ állítja a japán Trend Micro új tanulmányában.

Bővebben

Tervezési hiányosságokból és hibás implementációkból fakadó súlyos biztonsági problémákat találtak kettő, gépek közötti kommunikációra (M2M) használt protokollban ─ közli a japán Trend Micro új tanulmányában. Mind a Message Queueing Telemetry Transport (MQTT), mind a Constrained Application Protocol (CoAP) széles körben használt IoT rendszerek esetében, nem ritkán ipari környezetekben. A kutatók csupán egyszerű kulcsszavas keresésekkel képesek voltak sérülékeny szervereket találni, és hozzáférni közel 200 millió MQTT, valamint 19 millió CoAP üzenethez, amelyek akár ipari kémkedés, DoS, vagy egyéb célzott támadások alapjául is szolgálhatnának. A vizsgálat során mintegy 4 310 mezőgazdasági rekordot gyűjtöttek be okos farmokról, emellett szép számmal találtak különböző bizalmas egészségügyi adatokat is, közöttük betegekre csatlakoztatott monitoring eszközök által közölt információkkal. A tanulmány emellett kiemeli, hogy az MQTT-t olyan csevegő alkalmazások is alkalmazzák, mint a Facebook Messenger. A kockázatok csökkentése érdekében a szervezetek számára javasolják minden olyan M2M szolgáltatás megszüntetését, amely nem elengedhetetlen a működéshez, valamint az érintett rendszerek sérülékenység vizsgálatát, az esetleges információ szivárgások felderítéséhez. 

(thenextweb.com)
Kevesebb
 2018. november 22. 16:51

Biztonsági kutatók sérülékenységet tártak fel egy német állami portálok által elektronikus személyi igazolvánnyal történő webes bejelentkezések kezelését végző szoftver komponensben (Governikus Autent SDK).

Bővebben

Biztonsági kutatók sérülékenységet tártak fel egy német állami portálok által elektronikus személyi igazolvánnyal történő webes bejelentkezések kezelését végző szoftver komponensben (Governikus Autent SDK); a biztonsági hiba kihasználásával lehetőség nyílt más állampolgárok nevében történő bejelentkezésre az érintett site-okon. A problémát csak most nyilvánosságra hozó SEC Consult azt már 2018 júliusában felfedezte, a detektálást követően pedig azonnal értesítette a CERT-Bundot, a gyártói hibajavítás így már augusztusban megtörtént. Az esetről tudósító ZDNet hivatalos megkeresés útján igényelt információt a német Szövetségi Informatikai Biztonsági Hivataltól (BSI) azzal kapcsolatban, hogy a német kormányzati portálokon telepítették-e a hibajavítást, illetve, hogy az érintett weboldalak autentikációs naplóbejegyzéseit átvizsgálták-e a szóban forgó sérülékenység kihasználásának nyomai után kutatva.

(zdnet.com)
Kevesebb
 2018. november 20. 16:35

A sérülékenységek súlyosságának meghatározására használatos nemzetközi CVSS rendszer az ipari vezérlő rendszerek (ICS) esetében félrevezető lehet, ami negatív következményekkel járhat a szervezetekre nézve ─ mutatott rá Ilan Barda, a Radiflow vezérigazgatója egy kiberbiztonsági konferencián.

Bővebben

A sérülékenységek súlyosságának meghatározására használatos nemzetközi CVSS pontozási rendszer az ipari irányítástechnikai- és vezérlőrendszerek (ICS – Industrial Control Systems) esetében félrevezető lehet, ami negatív következményekkel járhat a szervezetekre nézve ─ mutatott rá Ilan Barda, a Radiflow vezérigazgatója egy kiberbiztonsági konferencián. Véleményét több kiberbiztonsági szakértő is osztja, például Moreno Carullo, a Nozomi Networks társalapítója és vezérigazgatója, aki a pontszámítási rendszer előnyeinek elismerése mellett is úgy véli, azt inkább csak iránymutatásra kellene használni, és alapvetően mindenkinek a saját környezetéhez mérten magának kell meghatároznia egy adott sérülékenység súlyosságát. A félrevezető pontozásra David Atch, a CyberX kutatója példaként említette a CVE-2015-5374 számú sérülékenységet, amely annak ellenére, hogy kihasználásával a hírhedt Industroyer/Crashoverride malware Siemens SIPROTEC eszközökön DoS kondíciót teremthet, csupán 7.8-as CVSS pontszámmal rendelkezik. Atch szerint mivel a SIPROTEC eszközök jelentős szereppel bírnak egyes energiatermelő rendszerekben, ez egyáltalán nem tükrözi a valós kockázatot. Egyes szakemberek megoldásként olyan kockázat alapú megközelítést javasolnak, amely a fenyegetés modellezést is felhasználva segít az adott szervezet legértékesebb assetei és folyamatai számára legnagyobb fenyegetést jelentő támadási vektorok figyelembevételére a sebezhetőségek értékelésekor, mások úgy vélik az iparnak egy új pontozási szisztémát kell létrehoznia, amely jobban fókuszál az ICS rendszerek kritikus tényezőire.  

(securityweek.com)
Kevesebb
 2018. október 24. 15:06

A japán kormány vizsgálatot indít a Facebook ellen a szeptember végén kitudódott ─ a legutóbbi információk szerint 29 millió felhasználót érintő ─ hackertámadással kapcsolatban.

Bővebben

A japán kormány további vizsgálatot kér a Facebooktól a szeptember végén kitudódott ─ és a legutóbbi információk szerint 29 millió felhasználót érintő ─ hackertámadással kapcsolatban. A Személyes Információvédelmi Bizottság arra is felszólította a vállalatot, hogy tegyen megelőző biztonsági intézkedéseket a felhasználók adatainak védelme érdekében, továbbá biztosítson nagyobb átláthatóságot az adatkezelésre és törlésére vonatkozó beállítások kapcsán. 

(www.securityaffairs.co)
Kevesebb