Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
kormányzat StealthWorker bug BIS nyomkövetés elleni védelem HauteLook Mozilla biztonsági elemzés kezdeményezés e-szavazórendszer EU Law Enforcement Emergency Response Protocol UAC IRC MalwareHunterTeam útmutató WinRAR NATO biztonsági funkció DDoS DPI WhatsApp Kanada Animoto Belgium Altran BookMate ExNCS2019 ICS alkalmazás hálózati forgalom lehallgatása
 2018. augusztus 27. 15:07

A Usenix biztonsági konferencián egyetemi kutatók egy olyan új eljárást mutattak be, amelynek segítségével fizikai hozzáférés nélkül képesek voltak okos telefonokról titkosító kulcsokat kinyerni.

Bővebben

A Usenix biztonsági konferencián egyetemi kutatók egy olyan új eljárást mutattak be, amelynek segítségével fizikai hozzáférés nélkül képesek voltak okostelefonokról titkosító kulcsokat kinyerni. A módszer alapjául az elektromágneses kisugárzás érzékelése szolgál, amely nem új technika, hiszen a 90-es évek óta jól dokumentált, ám a témával foglalkozó szakemberek az utóbbi évek tesztjei során csak komoly időigénnyel, és csak közvetlenül az adott eszköz chipjén mérve voltak képesek megszerezni az információt. A Georgia State University kutatói ezzel szemben 20 cm távolságból, mindössze néhány másodperc alatt 95.7, valamint 99%-os pontossággal meg tudták határozni a titkosító kulcsokat, amihez elég volt egy gyors mintát venniük a kikulcsolási műveletről. A tesztekhez Alcatel Ideal és Samsung Galaxy Centura telefonokat, valamint egy Linux disztribúciót futtató beágyazott eszközt használtak, amelyeken az OpenSSL programkönyvtár az akkori legfrissebb (1.1.0g) verziója volt telepítve. Mivel a technika valós körülmények közötti alkalmazásra is módot ad, a kutatók a nyilvánosságra hozatal előtt felvették a kapcsolatot az OpenSSL-t gondozó szervezettel, akik a javasolt védekező megoldásokat már május 20-án beépítették.

(www.bleepingcomputer.com)
Kevesebb
Hasonló hírek
 január 22. 12:00

A ProtonMail közleményt adott ki az Európai Unió terrorista tartalmak kezelésére vonatkozó javaslata (A proposal for a Regulation on preventing the dissemination of terrorist content online) kapcsán.

Bővebben

A ProtonMail az idei Tech Against Terrorism nevű konferencián foglalt állást az Európai Unió terrorista tartalmak kezelésére vonatkozó ─ véleményük szerint több homályos megfogalmazást is tartalmazó ─ javaslatával (A proposal for a Regulation on preventing the dissemination of terrorist content online) szemben, a téma kapcsán pedig blogjukon is közzétettek egy bejegyzést. Eszerint bár szigorúan elhatárolódnak bármilyen bűnözői tevékenységtől és támogatják a bűnüldöző hatóságok munkáját, alapvetően ellenzik, hogy szegényes gyakorlatok alkalmazásával olyan törvények szülessenek, amelyek alááshatják a globális biztonságot. Rossz példaként a szóban forgó EU-s javaslat mellett említik az Egyesült Királyság Investigatory Powers Actjét, valamint az ausztrál Assistance and Access Billt, mint olyan kezdeményezéseket, amelyek a titkosítás gyengítésével komoly károkat okoznak az általános biztonságnak. A terrorizmust érintő online tartalmak eltávolítását hatványozottan érzékeny témakörnek tekintik, amely a szólásszabadságra és a magánélethez való jogra nézve komoly következményekkel jár majd, és csak a különböző szektorok összefogásával kezelhető. 

(protonmail.com)
Kevesebb
 2018. december 10. 15:21

Az ausztrál parlament elfogadta a törvényt, amely a technológiai vállalatok számára kötelezővé teszi, hogy hátsó ajtó (backdoor) segítségével hatósági kérelemre hozzáférést biztosítsanak a hálózatukon áthaladó titkosított kommunikációhoz.

Bővebben

Az ausztrál parlament elfogadta a törvényt, amely a technológiai vállalatok számára kötelezővé teszi, hogy hatósági kérelemre hozzáférést biztosítsanak a hálózatukon áthaladó titkosított kommunikációkhoz. Azon cégek, amelyek nem felelnek meg az elvárásoknak, bírságra számíthatnak. Az intézkedést komoly kritika éri a tech cégek részéről, mondván a hátsó ajtók a hackerek számára is lehetőséget adnak az információszerzésre, valamint maguk a kormányok is visszaélhetnek a lehetőséggel. Lizzie O’Shea, emberi jogi jogász úgy véli ez csupán az első lépés, és előbb-utóbb a többi „Öt Szem” nemzet is hasonló szabályozást fog hozni.

(cyberscoop.com)
Kevesebb
 2018. december 04. 15:11

Biztonsági kutatók egy új támadási metódusról közöltek információkat, amellyel a legújabb TLS implementációk régebbi, sérülékeny verzióra kényszeríthetők.

Bővebben

Biztonsági kutatók egy új támadási metódusról közöltek információkat, amellyel a legújabb TLS implementációk régebbi, sérülékeny verzióra kényszeríthetők. A kutatók 9 különböző RSA-alapú biztonsági protokoll legfrissebb verzióját vizsgáltak át (OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, GnuTLS, BearSSL és a BoringSSL), ezek közül csupán az utolsó kettő volt ellenálló a szóban forgó módszerrel („FLUSH+RELOAD”) szemben. Az eredményeket összefoglaló, „The 9 Lives of Bleichenbacher’s CAT: New Cache ATtacks on TLS Implementations” című tanulmány ajánlásokat is tartalmaz, például javasolja az RSA kulcs csere helyett a Diffie-Hellman eljárásra történő áttérést. Martin Thorpe, a Venafi munkatársa az eset kapcsán arra hívja fel a figyelmet, hogy bizonyos biztonsági intézkedések megnehezíthetik egy-egy támadás végrehajtását, ilyen például a gépazonosítók (tanúsítványok, kulcsok, stb.) átgondolt használata és fokozott védelme.

(scmagazineuk.com)
Kevesebb
 2018. október 31. 10:05

A biztonsági szempontból piacvezető csevegő alkalmazás, a Signal nyilvánosságra hozta legújabb fejlesztését, miszerint a jövőben nem csupán az üzenetek kerülnek titkosításra, hanem a feladók személye is rejtve marad.

Bővebben

A biztonsági szempontból piacvezető csevegő alkalmazás, a Signal nyilvánosságra hozta legújabb fejlesztését, miszerint a jövőben nem csupán az üzenetek kerülnek titkosításra, hanem a feladók személye is rejtve marad. Mindez azért fontos, mert bár a rendszer nem logolja a hálózatán történő tevékenységeket, a feladó és a címzett alapján is tehetők megállapítások a platform használatára vonatkozóan. A jelenleg még tesztfázisban lévő „rejtett feladó” bevezetésével nem szűnik meg annak a lehetősége, hogy a felhasználók megállapíthassák egy üzenet feladóját ─ erről a fejlesztők megkerülő megoldással gondoskodnak. A funkció alapértelmezetten a megbízható kapcsolatok számára készült, mindazonáltal egyéni preferencia alapján az is beállítható, hogy a felhasználó olyan személytől is fogadjon rejtett üzeneteket, aki nem szerepel a kontaktlistájában ─ azzal a megjegyzéssel, hogy ez az opció magas biztonsági kockázatot hordoz magában. 

(www.wired.com)
Kevesebb
 2018. szeptember 18. 11:00

A T Wi-Fi AX névre keresztelt hálózat már az új 802.11.ax szabvány alapján készült, ami közel négyszer akkora sávszélességet tesz lehetővé, mint a 2013-as 802.11ac Wave 1.

Bővebben

A T Wi-Fi AX névre keresztelt hálózat már az új 802.11.ax szabvány alapján készült, ami közel négyszer akkora sávszélességet tesz lehetővé, mint a 2013-as 802.11ac Wave 1. Ugyanakkor a jelenleg kereskedelmi forgalomban kapható okostelefonok még nem rendelkeznek a szabványnak megfelelő chippel, így csak az 1 Gbps sebességet érhetik el, az első kompatibilis készülékek megjelenése legkorábban jövőre várható. A vállalat emellett bejelentette az 5G-s mobil hálózat kiépítéséhez preferált partnereket, amelyek a Samsung, az Ericson, és a Nokia lettek, a várakozásokkal ellentétben a Huawei végül kimaradt.

(www.zdnet.com)
Kevesebb
 2018. szeptember 03. 13:05

Az ún. „Öt szem” (Five Eyes) hírszerzési nemzetszövetség a titkosítás kapcsán új alapelveket fogadott el.

Bővebben

Az ún. „Öt szem” (Five Eyes) hírszerzési nemzetszövetség a titkosítás kapcsán új alapelveket fogadott el. Elsőként kiemelik, hogy a törvényes úton történő adatgyűjtés nem csupán a kormányok feladata, hanem minden ágazati szereplő kölcsönös felelőssége, ennek kapcsán pedig a technológiai szolgáltatók részéről nagyobb közreműködésére számítanak. Az információk begyűjtése során azonban alapvető fontosságúnak ítélik az eljárás tisztességes lebonyolítását, a mindenkor szükséges független külső hatósági és/vagy bírói felügyelet. A digitális szolgáltatókat pedig önkéntes alapú hozzáférési megoldások kialakítására bátorítják, és ahelyett, hogy konkrét technikai követelményeket fogalmaznának meg, szabad kezet adnak a megvalósításban. 

(www.homeaffairs.gov.au)
Kevesebb
 2018. augusztus 22. 14:15

A Bloomberg információi szerint elérhetővé teszi adatait kutatók számára a LinkedIn, hogy ezzel segítse a munkaerőpiac és a gazdaság terén folytatott kutatásokat.

Bővebben

A Bloomberg információi szerint a világ legnagyobb üzleti közösségi hálózata elérhetővé teszi adatait kutatók számára, hogy ezzel segítse a munkaerőpiac, és a gazdaság terén folytatott kutatásokat. A vállalat olyan pályázatokat vár, amelyek valamilyen módon elemezésekkel, gazdasággal, vagy mesterséges intelligenciával foglalkoznak, ezek közül jövő év elején választják ki a támogatni kívánt projekteket. A LinkedIn számos védelmi intézkedést hozott ügyfelei adatainak biztosításához, így a kutatók csak aggregált, anonimizált adatokhoz férhetnek hozzá, azok saját kezű letöltésére pedig nem lesz lehetőségük, minden igényt előbb ellenőrizni fog a cég jogi és biztonsági osztálya. A pályázatról bővebb információ itt található, amelynek beadási határideje 2018. december 1.

(www.engadget.com)
Kevesebb
 2018. augusztus 14. 14:26

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak.

Bővebben

Az ausztrál kormányzat 2017 júliusában már kinyilvánította, hogy olyan jogszabályt kíván létrehozni, amely a vállalatokat arra kényszerítené, hogy a végponti tikosítást feloldják, most pedig már a részletek is napvilágot láttak. Habár az ausztrál vállalkozások ez idáig is szolgáltattak felhasználói adatokat a helyi hatóságoknak egyes, magas szinten szervezett bűnözéssel kapcsolatos nyomozások során, azonban a nagy tech cégek, mint az Apple, vagy a Google már nem voltak ilyen együttműködőek. A most tárgyalt jogszabály (Assistance and Access Bill) azonban minden olyan cég esetében előírhat bizonyos fokú együttműködési kötelezettséget, amelyik Ausztrálián belül végzi a tevékenységét, vagy szolgáltatásai elérhetőek az országban. A jelenleg még csak egy vitaanyagban elérhető információk szerint ennek részeként egyes magas rangú biztonsági tisztségviselőknek lehetőséget kell biztosítani a titkosított kommunikációhoz való hozzáféréshez is. Ugyan a törvényjavaslat szerint az érintett digitális szolgáltatók nem kötelezhetők arra, hogy ehhez rendszerszintű sérülékenységet alkalmazzanak, jelenleg tisztázatlan, hogy a cégek milyen hátsó ajtókat (backdoors) nélkülöző megoldással felelhetnének meg a követelménynek.

(www.techradar.com)
Kevesebb