Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
űripar szankció megfigyelés NSA Censys Apple Black Hat ENISA távközlés szavazás biztonsági kulcs kripto pénztárca katonaság Wi-Fi Alliance Szingapúr 4G/LTE Csehország Assistance and Access Bill Titan bírság NSO Group ajánlások együttműködés vizsgálat Crowdfense BlackBerry Computer Misuse Act Quantum Base tanácsok WannaCry
 június 11. 15:55

A magánszféra védelmében fellépő szervezetek figyelmét egyre jobban felkelti az amerikai Belbiztonsági Minisztérium 2017-ben bejelentett Homeland Advanced Recognition (HART) programja.

Bővebben

A magánszféra védelmében fellépő szervezetek figyelmét egyre jobban felkelti az amerikai Belbiztonsági Minisztérium 2017-ben bejelentett Homeland Advanced Recognition (HART) programja, ami a biometrikus azonosítók tárolására szolgáló Automated Biometric Identification System (IDENT) egy kibővített verziójaként értelmezhető. A HART bővített képességei egyrészt a rendszer kapacitásában mutatkoznak meg, ugyanis ez már több, mint 500 millió azonosító tárolására lesz alkalmas. Másrészt jóval több féle biometrikus adatot lesz képes gyűjteni, például írisz mintákat, tenyér lenyomatokat, hangmintákat és DNS-t is, amit kiegészítenek majd az alanyok közigazgatási adatai, (név, cím, gépjármű azonosító, stb.) illetve a közösségi hálózatok alapján a személy kapcsolatira vonatkozó információk. Az Electronic Frontier Foundation (EFF) digitális jogvédő szervezet szerint a HART gyakorlatilag egy mindenre kiterjedő megfigyelő rendszer lesz, amely sérti az 1974-es adatvédelmi törvényt, és korlátozza az Egyesült Államok Alkotmányának első módosításában biztosított szabad véleménynyilvánítás és gyülekezési jogokat.

(nakedsecurity.sophos.com)
Kevesebb
Hasonló hírek
 augusztus 07. 12:54

Az Egyesült Államok Energiaügyi Minisztériuma (DoE) bejelentette, hogy az amerikai kritikus rendszereket érő kiberfenyegetések miatt gyakorlatot irányoztak elő, amelynek során a villamosenergia-hálózat kibertámadások utáni helyreállítási képességét fogják felmérni a célból, hogy felkészülhessenek egy valós támadásra.

Bővebben

Az Egyesült Államok Energiaügyi Minisztériuma (DoE) bejelentette, hogy az amerikai kritikus rendszereket érő kiberfenyegetések miatt gyakorlatot irányoztak elő, amelynek során a villamosenergia-hálózat kibertámadások utáni helyreállítási képességét fogják felmérni a célból, hogy felkészülhessenek egy valós támadásra. Az E&E News szerint a „Liberty Eclipse”-nek keresztelt, várhatóan egy hetes tesztet egy elszeparált elektromos hálózaton ─ a New York-közeli Plum Island-en ─ hajtják majd végre. Az energetikai rendszerek teljes leállás (Black Out) utáni újraindítása (Black Start) még a legkedvezőbb körülmények között is bonyolult és időigényes feladat, mivel az erőművek saját felhasználásra nem termelnek energiát. Ahhoz, hogy a villamos áram fejlesztés ismét meginduljon, először egy kezdeti jelentős energialöketre van szükség, amit dedikált létesítmények útján termelnek meg. Egy kibertámadás esetén ez a folyamat elakadhat, ezért rendkívül fontos az ezt vezérlő informatikai rendszerek ellenálló képességének felmérése és fejlesztése.

securityaffairs.co
Kevesebb
 augusztus 07. 09:18

A „War on the Rocks” külpolitikai elemző portál szerint a hackerek számára a (z Amerikai Egyesült Államok)hadsereg(e) nem nyújt megfelelő lehetőségeket, emiatt még a tehetséges fiatalok is a civil szférában keresik a boldogulást.

Bővebben

A „War on the Rocks” külpolitikai elemző portál szerint a hackerek számára a (z Amerikai Egyesült Államok)hadsereg(e) nem nyújt megfelelő lehetőségeket, emiatt még a tehetséges fiatalok is a civil szférában keresik a boldogulást. A szerző hátrányként említi az elavult, és nem megfelelően testre szabható előmeneteli rendszert, a civil szféránál jóval alacsonyabb bérezést, valamint a hadsereg sajátosságaként közismert többi, például ápoltság, testsúly, és fizikai követelményeket. Míg az NSA igazgatója, Paul Nakasone tábornok szerint „a legjobb programozóik ötvenszer, százszor jobbak, mint a társaik”, addig ezen csúcs programozók számára sem lehetséges a gyorsabb előléptetés. A másik probléma, amivel a toborzóknak szembesülniük kell, a megtartás. A szakemberek jellemzően a kihívásokat és az ismertséget keresik, a katonai berkeken belül – a nem technikai elöljárók miatt – az elismertség esetleges, a kihívások (értsd: hackelés) pedig el-elmaradhatnak. A megfelelő karrierépítés és a megtartás problémájára a szerző a katonaorvosok példáját hozza fel, amit a hadsereg a technikai szakértők esetében is alkalmazhatna.

(warontherocks.com)
Kevesebb
 július 26. 10:48

Az amerikai Belbiztonsági Minisztérium figyelmeztetést adott ki az ún. ERP (vállalati erőforrás-tervező rendszerek) elleni támadások megélénkülése miatt.

Bővebben

Az amerikai Belbiztonsági Minisztérium figyelmeztetést adott ki az ún. ERP (vállalati erőforrás-tervező rendszerek) elleni támadások megélénkülése miatt. Az ERP-k sok esetben felhőben hosztolt web-alapú alkalmazások, amelyek az üzleti folyamatok széles körét támogatják, ennélfogva nagy valószínűséggel tartalmaznak érzékeny adatokat. A figyelmeztetés egy jelentésre hivatkozik, amit két fenyegetés-felderítő cég (Digital Shadows, Onapsis) készített, eszerint az utóbbi 3 év során mintegy 100%-kal nőtt a szóban forgó rendszerek ellen készült kihasználó kódok száma, és a sötét weben is egyre több ilyen eszköz cserél gazdát. Úgy tűnik a támadók fókuszában elsősorban az Oracle és az SAP ─ a két legnagyobb ERP gyártó ─ szoftvereinek sérülékenységei állnak, ám jellemzően nem nulladik napi biztonsági réseket keresnek, hanem régi, ismert hibákat igyekeznek kihasználni, vagy különböző adatszivárgásokból begyűjtött hitelesítési adatokkal ERP-s fiókokat kompromittálni. A biztonsági szakemberek mintegy 17 000, az interneten keresztül elérhető ERP alkalmazást találtak, amelyek fokozottan kitettek a jelszótörő támadásoknak. 

(www.bleepingcomputer.com)
Kevesebb
 július 26. 07:17

A kellően bonyolult és hosszú jelszavak megjegyzésére legtöbbször egy jelszókezelő program alkalmazását javasolják több fórumon is, például a SANS hírlevél is dedikált egy számot a témával kapcsolatban.

Bővebben

A kellően bonyolult és hosszú jelszavak megjegyzésére legtöbbször egy jelszókezelő program alkalmazását javasolják több fórumon is, például a SANS hírlevél is dedikált egy számot a témával kapcsolatban. A 1Password jelszókezelő ebben a témában is szintet tudott lépni, az „utazás üzemmód” bevezetésével. Az üzemmódot kifejezetten a felhasználói visszajelzések alapján fejlesztették ki, célja, hogy elrejtse a jelszókezelő alkalmazás meglétét a kíváncsi hivatalos szervek előtt. Például, az Amerikai Egyesül Államok területére való beutazás során a bevándorlási hivatal tisztje kérheti, hogy a belépni szándékozó oldja fel a telefonját vagy laptopját, ezzel felfedve az elmentett jelszavakat és belépési adatokat is. Az új funkció nemcsak elrejti ezeket az adatokat, hanem – az utazásra biztonságosnak megjelölt széfek kivételével – teljes egészében eltávolítja a telepített széfeket az eszközökről mindaddig, míg az utazás üzemmód engedélyezve van. A csoport mód ehhez képest még olyan többletfunkcióval is rendelkezik, hogy a csoport adminisztrátora határozhatja meg azon adatok körét, amelyek az üzemmód aktiválását követően is elérhetőek maradnak.

(www.blog.agilebits.com)
Kevesebb
 július 24. 11:09

Az amerikai főállamügyész által 2018 februárjában létrehozott kibervédelmi munkacsoport (Cyber-Digital Task Force) egy 156 oldalas jelentésben foglalja össze az Egyesült Államok számára aktuálisan legégetőbb kiberfenyegetéseket.

Bővebben

Az amerikai főállamügyész által 2018 februárjában létrehozott kibervédelmi munkacsoport (Cyber-Digital Task Force) egy 156 oldalas jelentésben foglalja össze az Egyesült Államok számára aktuálisan legégetőbb kiberfenyegetéseket. A részleg elsősorban a szavazórendszerek és kritikus infrastruktúrák elleni támadásokat, az álhírek, valamint az erőszakos ideológiák terjesztését, illetve a bűnözői tevékenységek technológiai támogatását vizsgálja. A most publikált jelentés mindemellett kiemelten foglalkozik a 2018-as időközi választásokkal kapcsolatos aspektusokkal, ─ köztük Oroszország szerepével ─ valamint a külföldi befolyásoló műveletek kezeléséhez javasolt tervekkel és javaslatokkal.

(www.securityweek.com)
Kevesebb
 július 20. 12:06

Ezúttal egy automatizált kampány hívásokat végző ún. „robocalling” cég (RoboCent) a felelős az érzékeny személyes adatok kiszivárogtatásáért.

Bővebben

Ezúttal egy automatizált kampány hívásokat végző ún. „robocalling” cég (RoboCent) a felelős az érzékeny személyes adatok kiszivárogtatásáért. A Zdnet információi szerint a cég egy nyilvánosan elérhető Amazon tárhelyen „felejtett” mintegy 2 600 file-t, amelyeket jelszóval sem védtek. Ezek között több százezer amerikai szavazó teljes neve, otthoni címe, neme, elérhetőségei, születési adatai és politikai irányultsága volt megtalálható, kiegészítve egy becsléssel, hogy az adott személy vélhetően hogyan fog szavazni a 2016-os elnökválasztáson. Az incidenst felfedező biztonsági kutató felvette a kapcsolatot a vállalattal, akik, miután elérhetetlenné tették az adatokat, közölték, hogy jelenleg is vizsgálatokat folytatnak, azonban az adatok publikusak voltak, így az érintett állampolgárokkal kizárólag törvényi felszólítás esetében veszik fel a kapcsolatot. Azt jelenleg nem tudni, hogy az adatok mióta voltak nyilvánosan elérhetőek, mindenesetre ahhoz elég hosszú ideje, hogy az olyan nyíltan elérhető Amazon S3-as tárhelyeket ─ az adatbiztonságra való figyelemfelhívás végett ─ felderítő szolgáltatások, mint például a Grayhat Warfare, cacheljék a tartalmat.

(www.zdnet.com)
Kevesebb
 július 19. 14:11

Amerikai törvényhozók arra kérik a Google-t és a Facebookot, hogy ne járuljanak hozzá a vietnámi kormány cenzúrájához.

Bővebben

Amerikai törvényhozók arra kérik a Google-t és a Facebookot, hogy ne járuljanak hozzá a vietnámi kormány cenzúrájához, a vietnámi polgárok megfigyeléséhez érzékeny felhasználói adatok átadásával, amennyiben pedig nem tudják biztosítani az adatok bizalmasságát, egyáltalán ne tároljanak felhasználói adatokat az országban. Mindez egy jövő januárban hatályba lépő törvény kapcsán merült fel, amely többek között kimondja, hogy a vietnámi hatóságok megkövetelhetik a kifogásolt tartalmak 24 órán belül történő eltávolítását, amit különösen a kettős állampolgárságú amerikaiak esetében tartanak nyugtalanítónak. A témában a múlt hét során is történt hasonló megkeresés, akkor képviselők azt kérték a vállalatoktól, hogy bizalmas keretek között azonnali hatállyal osszák meg az amerikai külügyi szervekkel a vietnámi hatóságoktól hozzájuk érkező kéréseket, illetve fedjék fel, hogy ezek közül melyeket teljesítettek. A törvénnyel szemben az Amnesty International is ellenállást sürgetett.

(www.cyberscoop.com)
Kevesebb
 július 16. 16:14

Volt izraeli katonai szakértők bevonásával indul a Toka elnevezésű, kormányzatok és bűnüldöző hatóságok számára kémkedési kiber eszközöket áruba bocsátó új startup, amely állítása szerint képes lesz a kliens igényei szerinti bármilyen céleszközhöz megfigyelést lehetővé tévő terméket ajánlani, azonban fő profiljának elsősorban az IoT eszközöket tekinti.

Bővebben

Volt izraeli katonai szakértők bevonásával indul a Toka elnevezésű, kormányzatok és bűnüldöző hatóságok számára kémkedési kiber eszközöket áruba bocsátó új startup, amely állítása szerint képes lesz bármilyen, a kliensek által igényelt céleszközhöz megfigyelést lehetővé tévő terméket ajánlani, azonban fő profiljának elsősorban az IoT berendezéseket tekinti. Becslések szerint az okos készülékek eddig is jelentős piaca az év végére már mintegy 35 milliárd eszközt jelenthet világszerte, így könnyű elképzelni, hogy mekkora üzleti potenciál rejlik a koncepcióban, amely azonban már most több aggodalmat vált ki emberjogi aktivista oldalról. Ennek egyik oka, hogy a vállalat bevallottan nem tervezi az érintett gyártók tudtára hozni a tevékenysége során feltárt és kihasznált sérülékenységeket, illetve hogy az ún. „legális megfigyelési piac” szereplői a szakértők szerint rendre elbuknak a technológiájuk megőrzése kapcsán, így ez esetben is szinte borítékolhatóan történnek majd visszaélések. John Scott-Railton, a Citizen Lab vezető kutatója ironikusnak tarja azt a tényt, hogy a befektetők egyszerre támogatják a kibertámadások elleni védelmi termékeket kínáló, valamint az azok megkerülését célul kitűző cégeket. Yaron Rosen, a Toka egyik társalapítója ─ korábban az Izraeli Védelmi Erők tábornoka – azonban állítja, a vállalat komoly erőfeszítéseket tesz a visszaélések elkerülése végett, emellett azt is igyekezett leszögezni, hogy Oroszországgal, Kínával, valamint további „ellenséges nemzetekkel” nem kívánnak együttműködni, erről egy etikai bizottság fog gondoskodni. A cég filozófiáját a Forbes-nak akképp foglalta össze, hogy tevékenységük valahol az offenzív és defenzív kiber-tevékenység között, olyan hírszerzésként értelmezhető, amely a védelmet szolgálja. 

(www.forbes.com)
Kevesebb