Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
etikai normák szankció threat intelligence törvény MITMEngine Patch Tuesday DARPA TLS Shodan webes sütik T-Mobile Huawei NCI Agency KeePass WinRAR DataCamp autóipar nyílt forráskódú szoftver ENISA Vietnám mobil hálózati forgalom lehallgatása FSZB Google törvényjavaslat oktatás Europol Independent Security Evaluators Creep Exploit Kit GfyCat
 2018. november 22. 16:51

Biztonsági kutatók sérülékenységet tártak fel egy német állami portálok által elektronikus személyi igazolvánnyal történő webes bejelentkezések kezelését végző szoftver komponensben (Governikus Autent SDK).

Bővebben

Biztonsági kutatók sérülékenységet tártak fel egy német állami portálok által elektronikus személyi igazolvánnyal történő webes bejelentkezések kezelését végző szoftver komponensben (Governikus Autent SDK); a biztonsági hiba kihasználásával lehetőség nyílt más állampolgárok nevében történő bejelentkezésre az érintett site-okon. A problémát csak most nyilvánosságra hozó SEC Consult azt már 2018 júliusában felfedezte, a detektálást követően pedig azonnal értesítette a CERT-Bundot, a gyártói hibajavítás így már augusztusban megtörtént. Az esetről tudósító ZDNet hivatalos megkeresés útján igényelt információt a német Szövetségi Informatikai Biztonsági Hivataltól (BSI) azzal kapcsolatban, hogy a német kormányzati portálokon telepítették-e a hibajavítást, illetve, hogy az érintett weboldalak autentikációs naplóbejegyzéseit átvizsgálták-e a szóban forgó sérülékenység kihasználásának nyomai után kutatva.

(zdnet.com)
Kevesebb
Hasonló hírek
 Ma, 07:36

Biztonsági kutatók egy újabb sérülékenységet fedeztek fel a svájci online szavazórendszer (sVote) kapcsán, ami a kutatók szerint lehetőséget ad a szavazatok manipulálására.

Bővebben

Biztonsági kutatók egy újabb sérülékenységet fedeztek fel a svájci online szavazórendszer (sVote) kapcsán, ami a kutatók szerint lehetőséget ad a szavazatok manipulálására. Minderre az ausztrál Új-Dél-Wales állam választási bizottsága (New South Wales Electoral Commission ─ NSWEC) közleményben reagált, amelynek apropóját az adja, hogy az NSWEC ugyanazt a rendszert használja, mint Svájc. Az NSWC nyilatkozata szerint ugyanakkor a szóban forgó sérülékenység az ő implementációjukat, az iVote-ot nem érinti. A kutatók szerencsésnek tartják, hogy az sVote nyilvános sérülékenységvizsgálata hozzájárul az iVote biztonságosabb működéséhez, azonban egyikük (Vanessa Teague) arra hívja fel a figyelmet, hogy az ausztrál jog e tekintetben jelentős korlátokat szab: a 2017-es Electoral Act alapján büntetendő a szavazórendszer technológiai hátterére vonatkozó információk nyilvánosságra hozása.

(zdnet.com)
Kevesebb
 március 22. 10:01

A személyi igazolványokra a közeljövőben a digitális arckép mellett két ujjlenyomat is felkerül egy chip segítségével – elsősorban közbiztonsági okokra való tekintettel.

Bővebben

A személyi igazolványokra a közeljövőben a digitális arckép mellett két ujjlenyomat is felkerül egy chip segítségével – elsősorban közbiztonsági okokra való tekintettel. Az EU állampolgárainak nemsokára a személyi igazolvány igénylésekor két ujjlenyomatot is kell adniuk, az ehhez szükséges végleges jogi aktushoz szükséges teendők már folyamatban vannak a strassburgi fórumokon. Az így kibővített biometrikus adatokhoz a tervek szerint az adó- és vámhatóságok, illetve a rendőri szervek is hozzáférhetnek majd. Ha elfogásra kerül a normatervezet, két éven belül minden tagországban hatályba lépnek ezen új szabályok. A fentiek kapcsán kiemelendő, hogy minden EU-tagországban ki kell vonni majd a régi igazolványokat, csak a kártyaformátumúak maradhatnak érvényben. A hetven év felettiekre hosszabb átmeneti idő lesz majd érvényben a csere kapcsán, és a gyermekek esetében is speciális szabályok lesznek irányadóak.

(heise.de)
Kevesebb
 március 12. 15:31

A német szövetségi információtechnikai-biztonsági hivatal (BSI) 1,37 millió euró költséggel részletes biztonsági vizsgálatokat végzett a Microsoft Windows 10 tekintetében annak érdekében, hogy felmérjék, mennyire nyújt biztonságos alkalmazási feltételeket a szóban forgó operációs rendszer.

Bővebben

A német szövetségi információtechnikai-biztonsági hivatal (BSI) 1,37 millió euró költséggel részletes biztonsági vizsgálatokat végzett a Microsoft Windows 10 tekintetében annak érdekében, hogy felmérjék, mennyire nyújt biztonságos alkalmazási feltételeket a szóban forgó operációs rendszer. Az első eredményeket már tavaly novemberben nyilvánosságra is hozták, amely több komponens-elemzést tartalmazott (TPM, PowerShell, Update-funkció, stb.); ezen adatok különösen fontosak a közigazgatásban alkalmazott programok használatát tekintve. Az említett vizsgálatokon kívül a BSI már korábban is hajtott végre biztonsági elemzéseket, például a Mac OS X, illetve az Android vonatkozásában. Ezen elemzéseket követően a hatóságok az említett rendszerek kapcsán ajánlásokat is kiadtak a lakosság részére a biztonságosabb alkalmazást elősegítendő, illetve ezzel párhuzamosan a gyártókkal is egyeztetések történtek a biztonsági rések mihamarabbi kiküszöbölése érdekében.

(www.heise.de)
Kevesebb
 március 12. 14:34

Még zajlik a nyilvános hibakereső program, egy nemzetközi kutatókból álló csoport máris komoly biztonsági problémát fedezett fel a svájci elektronikus szavazórendszerben, amellyel a szavazatok a rendszeren belülről észrevétlenül manipulálhatóak.

Bővebben

Még zajlik a nyilvános hibakereső program, egy nemzetközi kutatókból álló csoport máris komoly biztonsági problémát fedezett fel a svájci elektronikus szavazórendszerben, amellyel a szavazatok a rendszeren belülről észrevétlenül manipulálhatóak. A biztonsági kitettség egy korszerű kriptográfiai koncepció (Zero-knowledge proof) hibás implementálásából fakad, amely a szavazatok eredetiségét hivatott garantálni a többlépcsős feldolgozás során. A biztonsági rést felfedező kutatók értesítették a rendszert fejlesztő Swiss Postot, akik közleményükben megerősítették ugyan a sérülékenység tényét, azonban a biztonsági kockázatot alacsonyabbnak ítélték, arra hivatkozva, hogy egy kihasználó támadáshoz a támadóknak előbb a Swiss Post IT infrastruktúráján kellene irányítást szerezniük, ráadásul speciális ismeretekkel rendelkező belső munkatársak segítségre is szükségük lenne. Ugyanakkor Jamie Lewis, a GCHQ egy korábbi kutatója szerint mindez nem jelenti azt, hogy a Swiss Post saját maga ne jelentene biztonsági fenyegetést a szavazás integritására nézve, éppen ezért Matthew Green kriptográfussal egyetemben javasolja a svájci kormányzat számára az online szavazási rendszer elhalasztását, noha a sérülékenység mostanra már befoltozásra került. 

(motherboard.vice.com)
Kevesebb
 március 06. 07:35

A német rendőrség az Amazon felhőszolgáltatását használja a testkamerák felvételeinek tárolására, derült ki a Neue Osnabrücker Zeitung egy szombati cikkéből.

Bővebben

A német rendőrség az Amazon felhőszolgáltatását használja a testkamerák felvételeinek tárolására, derült ki a Neue Osnabrücker Zeitung egy szombati cikkéből. A német Belügyminisztérium állítása szerint az állami infrastruktúra nem felel meg a német adatvédelmi törvényeknek, így jelenleg az Amazon az egyetlen olyan szolgáltató, aki - a német Szövetségi Információbiztonsági Hivatal (BSI) által hitelesített - felhőszolgáltatást képes nyújtani az országban. A szövetségi Rendőr-főkapitányság elmondása szerint az adatok kizárólag az Amazon németországi szerverein kerülnek tárolásra titkosított formában. Benjamin Strasser, a német ellenzéki Szabaddemokrata Párt jogalkotója álláspontja, hogy mindez ,,kiszámíthatatlan kockázatot jelent", az országnak mivel így, az amerikai hírszerző ügynökségek is hozzáférhetnek a Németország szuverenitását fenyegető adatokhoz, továbbá Konstantin von Notz az Zöldek Párt alelnöke hívta fel a figyelmet arra, hogy az Amazon olyan arcfelismerő szofvereket értékesít az amerikai rendőrség számára, amelyek a testkamerák felvételeit hivatott elemezni.

(www.securityaffairs.co)
Kevesebb
 február 28. 15:34

A német szövetségi parlament, a Bundestag nagy többséggel hagyta jóvá azt az alaptörvény-módosítást, amelynek következtében az állam öt milliárd eurót fordít az iskolák digitalizációs projektjére.

Bővebben

A német szövetségi parlament, a Bundestag nagy többséggel hagyta jóvá azt az alaptörvény-módosítást, amelynek következtében az állam öt milliárd eurót fordít az iskolák digitalizációs projektjére. Ezzel a döntéssel egy egyéves vita lezárására került sor; a képviselők közül 574-en támogatták a javaslatot, mindössze 74-en voltak ellene; a következő lépés a szövegségi tanács jóváhagyásának kérdése lesz. A szóban forgó alaptörvény-módosítás alapján a központi forrásokból jelentősebb pénzeszközöket kell fordítani a tartományok iskolai informatikai fejlesztési céljaira, ideértve például számítógépek, szerverek, routerek, okostáblák beszerzéseinek finanszírozását, illetve digitális képzési platformok kialakításának támogatását. A döntés nagyon pozitív fogadtatásra került a nyilvánosság körében, hiszen az iskolák magasabb szintű informatikai fejlesztése elengedhetetlen követelménynek számít a németországi ifjúság versenyképességének megtartása érdekében. 

(heise.de)
Kevesebb
 február 28. 09:09

A németországi Ruhr-Universität Bochum hallgatói csoportja számos sérülékenységet azonosított népszerű asztali és online PDF olvasókban.

Bővebben

A németországi Ruhr-Universität Bochum hallgatói csoportja számos sérülékenységet azonosított népszerű asztali és online PDF olvasókban, amelyek kihasználásával a digitális aláírással ellátott PDF dokumentumok anélkül módosíthatóak, hogy az aláírás érvénytelenné válna. A sebezhetőségben érintett ─ összesen 22 ─ PDF olvasó között szerepel az Adobe Reader, a Foxit Reader, és a LibreOffice is, az online szolgáltatások között pedig a DocuSign, az eTR Validation Service, a DSS Demonstration WebApp, az Evotrust, valamint a VEP.si. A PDF olvasó alkalmazás fejlesztő gyártók már kiadták a hibajavító frissítéseket, ellenben néhány online szolgáltatás esetében még nincs hír javításról. 

(securityaffairs.co)
Kevesebb
 február 26. 13:36

A 360 Threat Intelligence Center azonosított egy, a WinRAR sérülékenységet kihasználó támadó kampányt.

Bővebben

A CheckPoint kutatói felfedeztek egy ún. könyvtár-bejárási (azaz a támadott rendszer fájlszerkezetében emelt jogosultság megszerzését lehetővé tévő) sérülékenységet a több, mint 500 millió felhasználóval bíró WinRAR tömörítő programban, a 360 Threat Intelligence Center pedig már azonosított is egy, a sérülékenységet kihasználó támadó kampányt. Ennek során a támadók a sérülékenység következtében egy káros kódokat tartalmazó futtatható fájlt képesek elhelyezni az indítópultban, feltéve hogy a UAC (User Account Control – felhasználói fiók felügyelet) nem aktív, vagy a bejelentkezett felhasználó admin joggal bír. Amennyiben ez sikeres volt, a rendszer következő bootolásakor a fájl automatikusan indításra kerül és további összetevőket (backdoor) tölt le az internetről. A program fejlesztői gárdája a WinRAR 5.70 beta 1-es verzióban javította a biztonsági hibát, igaz, ezt csak a sérülékeny programkönyvtár (UNACEV2.dll) használatának mellőzésével tudták elérni, mivel annak forráskódját 2005-ben elvesztették. Ennek következtében azonban megszűnt az ACE formátum támogatása is.

(www.securityaffairs.co)
Kevesebb