Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Cyber National Mission Force Brexit bűnüldözés közösségi média kiberhadviselés Startpage Trickbot DAFTA alkalmazás biztonság Stuxnet 2.0 Pakisztán APT CVE SBU Dragonfly WannaMine Ausztrália Apple Pay Theodore Kramer NotPetya dezinformáció router RSA Trend Micro FireEye Emotet törvény SMB FSB Hollandia
 augusztus 08. 10:22

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry.

Bővebben

A Let's Encrypt bejelentette, hogy tanúsítványaikat immáron direkt módon elfogadja az összes nagy gyökértanúsító (root) szervezet, mint a Microsoft, a Google, az Apple, a Mozilla, az Oracle, és a Blackberry, ezeken keresztül pedig a nagyobb böngészők és operációs rendszerek is. A korábbi köztes elem, az IdenTrust kiiktatásra került, mivel ez magában hordozta annak az esélyét, hogy amennyiben az IdenTrust felé meggyengülne a bizalom ─ ami a közelmúltban például a Symantec esetében megtörtént ─ akkor az az összes Let's Encrypt tanúsítványt érintené. A cég közleménye szerint azonban egyes régebbi rendszerek nem kompatibilisek az új eljárással, és még legalább öt év kell ahhoz, hogy ezek kikopjanak a webes ökoszisztémából.

(www.bleepingcomputer.com)
Kevesebb
Hasonló hírek
 december 06. 12:22

Reddit felhasználók jelentették, hogy az Apple App Store-on két olyan, magas értékelésű alkalmazás található, amelyek egy megtévesztés révén 100 dollár körüli összeget emelnek le az áldozat számlájáról; ezeket az Apple idő közben már el is távolította. 

Bővebben

Reddit felhasználók jelentették, hogy az Apple App Store-on két olyan, magas értékelésű alkalmazás található, amelyek egy megtévesztés révén 100 dollár körüli összeget emelnek le az áldozat számlájáról; ezeket az Apple idő közben már el is távolította. A szóban forgó alkalmazások (Fitness Balance, valamint a Calories Tracker) azt állították magukról, hogy egészségügyi szolgáltatást nyújtanak (kalóriaszámlálás, testtömegindex mérés, stb.) azonban ehelyett megterhelték azon felhasználók számláit, akik megadták bankkártyaadataikat az Apple fiókjukban. A konkrét összegek 99.99 dollár, 119 dollár, vagy 139 euró között változtak ─ országtól függően. A megtévesztés úgy működött, hogy az alkalmazások megnyitás után megjelenítettek egy üzenetet, amelyben arra kérték a felhasználót, hogy olvastassa le ujjlenyomatát egy kalória-figyelő funkció miatt. Amennyiben a felhasználó így tett, egy hirtelen felugró újabb ablak már a fentebb említett összegek valamelyikének terheléséhez kért engedélyt, az üzenet azonban olyan gyorsan jelent meg, hogy a felhasználónak ne legyen ideje levenni ujját a leolvasóról, szándékán kívül engedélyezve a fizetést. Az ESET ennek kapcsán felhívja a figyelmet, hogy az iPhone X ─ vagy annál újabb ─ Apple készülékeknél lehetőség van az ún. „Double Click to Pay” fizetés aktiválására, amely után a mobilfizetések a készülék oldalán található gomb kétszeri megnyomásával kerülnek engedélyezésre.

(arstechnica.com)
Kevesebb
 december 05. 12:23

A DuckDuckGo internetes keresője friss tanulmányában azt állítja, a böngészők privát böngészési (inkognitó) módja sem véd meg a Google profilozó tevékenységétől. 

Bővebben

A Google bevallott módon bizonyos mértékben személyre szabottan jeleníti meg a keresési találatokat, például a keresés ideje, valamint a földrajzi helyzet függvényében. Egy szakmai körökben viták kereszttüzében álló nézet szerint azonban ezen túlmenően a felhasználók profilozásával, a böngészési szokásokat ─ például további kereséseket ─ is figyelembe veszi az eredménylisták összeállításához, ez az ún. „buborék hatás” (filter bubble). A DuckDuckGo internetes kereső friss tanulmányában pedig azt állítja, a böngészők privát böngészési (inkognitó) módja sem véd meg ettől. A profilozást nyíltan elutasító DuckDuckGo 87 ember bevonásával készült vizsgálata során a szimultán indított keresések a várakozásokkal ellentétben minden egyes, a vizsgálatban részt vevő személy esetében egyedi keresési eredményeket produkáltak, amelyekre ráadásul semmilyen befolyást nem gyakorolt, hogy a kereséseket privát böngészés során végezték-e. A Google reagált a tanulmányra, amelynek következtetéseit hibásnak tartják, kezdve a feltételezéssel, hogy az eredmények demográfiai profilozáson alapulnak, amelyet határozottan visszautasítanak. Több poszton keresztül fejtik ki álláspontjukat, miszerint a keresési eredmények ─ állításuk szerint minimális ─ eltérése alapvetően a helyszín, a nyelvi beállítások, valamint a platform különbözőségéből fakadhatnak, említve még a keresési rendszer dinamikus jellegét. 

(thenextweb.com)
Kevesebb
 november 28. 16:12

Miután idén augusztusban napvilágra kerültek a Google-féle Project Dragonfly részletei, a tech vállalat kritikák kereszttüzébe került.

Bővebben

Miután idén augusztusban napvilágra kerültek a Google-féle Project Dragonfly részletei, a tech vállalat kritikák kereszttüzébe került; emberjogi aktivisták és amerikai politikusok mellett saját dolgozóinak egy része is nemtetszését fejezte ki a tervezett cenzúrát alkalmazó internetes kereső app kapcsán. Az Amnesty International a hét elején nyilvános petíciót indított a projekt leállításához, amelyet már több, mint 200 Google dolgozó is aláírt. Közülük néhányan a Medium nevű blog platformon tett nyilatkozatukban sajnálatukat fejezték ki, amiért szerintük a cég előbbre helyezi a profitot, semmint, hogy kiálljon a vállalt értékek mellett ─ utalva itt egy nemrég zaklatási botrányba keveredett Google vezető magas végkielégítéssel történő távozására is.

(reuters.com)
Kevesebb
 november 28. 15:15

Több tízmillió dollár értékű kárt okozott már az „3ve” néven azonosított online csaló reklám kampány, amelyet amerikai hatóságok, valamint tech vállalatok közös erőfeszítésével sikerült csak felszámolni.

Bővebben

Több tízmillió dollár értékű kárt okozott már az „3ve” néven azonosított online csaló reklám kampány, amelyet amerikai hatóságok, valamint tech vállalatok közös erőfeszítésével sikerült csak felszámolni. A kampány során a csalók hamis online reklám felületek generálását és értékesítését végezték egy összetett infrastruktúra segítségével, ami a csúcsidőszakában legalább 700 000 fertőzést kezelt, mintegy 60 000 fiók és 10 000 weboldal felett gyakorolt irányítást, így összesen több, mint 1 millió IP cím tartozott hozzá. Az akcióban a nagyobb tech vállalatok ─ mint a Google, vagy a Microsoft ─ mellett több kiberbiztonsági cég is részt vállalt, például az ESET, a Symantec, a Trend Micro, vagy az F-Secure.

(bleepingcomputer.com)
Kevesebb
 november 23. 11:42

A nagy tech vállalatok adatgyűjtési tevékenységét az utóbbi években érő komoly kritikák és az európai szabályozás szigorodása miatt egyre népszerűbbek a felhasználók privát szféráját tiszteletben tartó kisebb európai kereső szolgáltatások, mint például a Mojeek, a Qwant, az Unbubble, vagy a Swisscows.

Bővebben

A nagy tech vállalatok adatgyűjtési tevékenységét érő komoly kritikák, valamint az európai szabályozás szigorodása miatt egyre népszerűbbek a felhasználók privát szféráját tiszteletben tartó kisebb európai kereső szolgáltatások, mint például a Mojeek, a Qwant, az Unbubble, vagy a Swisscows. Eric Leandri, a párizsi székhelyű Qwant elnöke elmondta, számukra a felhasználók magánélethez való jogának tiszteletben tartása alapvetés, szemben a tengerentúlon uralkodó hozzáállással, ahol az internet felhasználókra hajlamosak úgy tekinteni, mint olyan fogyasztókra, akik jogait az adott szolgáltatási szerződés határozza meg. A Qwant legnagyobb piacán, Franciaországban jelenleg 6%-os részesedéssel bír, havonta átlag 80 milliós látogatással, legutóbb pedig már a francia hadsereg és a parlament is jelezte, hogy saját rendszereiken ezt teszik alapértelmezetté. Míg a Qwant saját indexelést végez, olyan szolgáltatások is elérhetők ─ például a holland startpage.com ─ amely anonimizálja a Google keresési eredményeit. Mindezek mellett a keresések háromnegyede továbbra is a tech óriás szolgáltatásán keresztül zajlik, így a cég piaci fölénye megkérdőjelezhetetlen. 

(securityweek.com)
Kevesebb
 november 21. 11:18

Az ESET kutatói felfedeztek 13 olyan, a Google Play-ről letölthető káros alkalmazást, amelyek autóvezető játékoknak álcázták magukat, azonban megnyitáskor egyetlen tevékenységet végeztek: káros kódot töltöttek le a háttérben.

Bővebben

Az ESET kutatói felfedeztek 13 olyan, a Google Play-ről letölthető káros alkalmazást, amelyek autóvezető játékoknak álcázták magukat, azonban megnyitáskor egyetlen tevékenységet végeztek: káros kódot töltöttek le a háttérben. A malware pontos tevékenységéről nem közöltek információkat, azonban annyi biztos, hogy az hozzáférést szerez az eszköz teljes hálózati forgalmához, ami a kód gazdájának privát információk megszerzésére adhat módot. A Google már gondoskodott az alkalmazások eltávolításáról, azonban az esetről posztoló kutató szerint a szóban forgó appokat összesen így is mintegy 580 000-en telepítették. A tech óriás tavaly több, mint 700 000 káros alkalmazást törölt a Google Play-ről. 

(techcrunch.com)
Kevesebb
 november 15. 16:13

A weboldalak megjelenítéséért felelős HTTP eddigi verziói (1.0, 1.1, és 2) mind az adatok megbízható, sorrendhelyes, hibamentes átviteléért felelős TCP hálózati protokollra épültek, azonban az új, 3-as verzió már elképzelhető, hogy az UDP egy fejlesztett változatát használná.

Bővebben

A weboldalak megjelenítéséért felelős HTTP eddigi verziói (1.0, 1.1, és 2) mind az adatok megbízható, sorrendhelyes, hibamentes átviteléért felelős TCP hálózati protokollra épültek, azonban az új, 3-as verzió már elképzelhető, hogy az UDP egy fejlesztett változatát használná. A Google a webes böngészés gyorsabbá tételének céljából már egy ideje dolgozik ezen a kísérleti jellegű hálózati protokollon, amelyet QUIC-nek (Quick UDP Internet Connections) neveztek el. A tervek szerint ez megtartaná a TCP megbízhatóságát és sorrendhelyességét, azonban gyorsabb kommunikációt tenne lehetővé. Az IETF már a QUIC standardizálásán dolgozik, amely azonban jelentősen eltér a Google eredeti javaslatától. 

(arstechnica.com)
Kevesebb
 november 15. 12:03

Egy, a holland hatóságok által lefolytatott vizsgálat nyolc adatvédelmi problémát tárt fel az Office 2016 és Office 365 programok telemetrikus adatgyűjtése kapcsán; az elemzők szerint a Microsoft „nagyszabású és rejtett személyes adatgyűjtést” végez.

Bővebben

Egy, a holland hatóságok által lefolytatott vizsgálat nyolc adatvédelmi problémát tárt fel az Office 2016 és Office 365 programok telemetrikus adatgyűjtése kapcsán; az elemzők szerint a Microsoft „nagyszabású és rejtett személyes adatgyűjtést” végez. Az egyik lényeges kritika azért érte a vállalatot, amiért az véleményük szerint nem tájékoztatja megfelelően ügyfeleit a tevékenységről, ugyanis hivatalos dokumentáció nem érhető el arra vonatkozóan, hogy a cég pontosan milyen adatokat gyűjt, sem arról, hogy a telemetriát hogyan lehet kikapcsolni. Az elemzés során ráadásul megállapítást nyert, hogy a szoftverfejlesztők által gyakorta gyűjtött diagnosztikai adatok mellett az Office alkalmazások konkrét felhasználói tartalmakat is rögzítettek, mint például az e-mail tárgy mezőben szereplő szövegek, és olyan dokumentumokból származó mondatok, amelyeken a cég fordító és helyesírás-ellenőrző programjait használták. A holland kormány aggodalmának oka, hogy attól tartanak, az adatgyűjtés során szenzitív kormányzati adatok kerülhettek amerikai szerverekre, mivel legalább 300 000 kormányzati gépen futtatnak Office alkalmazásokat. Minderről tájékoztatták a Microsoftot, akik a jelentés szerint már részben módosítottak is a beállításokon, lehetővé téve az adatgyűjtés teljes korlátozását, ugyanakkor nem egyértelmű, hogy ez minden ügyfél számára elérhető-e. A tech óriás emellett ígéretet tett arra vonatkozóan, hogy a jövőben nagyobb átláthatóságot biztosítanak a telemetrikus adatgyűjtés kapcsán.

(zdnet.com)
Kevesebb