Fontos linkek Fontos linkek

  • WEB mail
  • Telefonkönyv
  • PTE
  • PMMK
  • ETR

Állásajánlatok Állásajánlatok

A <em>hacking</em> cimkéjű tartalom.

Nincs eredmény.

Kiemelt hírek Kiemelt hírek

A <em>hacking</em> cimkéjű tartalom.

Nincs eredmény.

Hírek Hírek

A <em>hacking</em> cimkéjű tartalom.

68 millió Dropbox-felhasználó adatai szivárogtak ki

Több mint 68 millió Dropbox-felhasználó adatai szivárogtak ki. Maga az adatlopás még 2012-ben történt, de csak most derültek ki a részletek, miután az ellopott adatokat a hekkerek árulni kezdték a neten.

A feltört szolgáltatásokat figyelő és az érintetteknek értesítést küldő haveibeenpwned.com szerint pontosan 68 648 009 fiók adatai kerültek ki, amivel ez minden idők hatodik legnagyobb ilyen adatlopása. A lista első öt helyezettjéből egyébként négynél (MySpace, LinkedIn, Badoo, VKontakte) szintén idén nyáron bukkantak fel a lopott adatok, és mindegyiknél ugyanúgy több évvel ezelőtti támadásról van szó, mint most a Dropbox esetében is.

Az adatlopás tehát illeszkedik  az utóbbi hónapok trendjébe: néhány évvel ezelőtt történt a támadás, akkoriban a meghekkelt cég jóval kisebb számú érintett felhasználóról tudott, és eleinte azt hitték, csak emailcímek szivárogtak ki, majd idén az online feketepiacon feltűntek az akkor ellopott adatok, és kiderült, hogy sokkal komolyabb a helyzet.

A különböző cégek meghekkelése közötti kapcsolatot az is mutatja, hogy a LinkedIn feltörésekor szerezték meg a hekkerek egy Dropbox-alkalmazott jelszavát, ezzel sikerült bejutniuk a rendszerbe és hozzáférniük egy belső dokumentumhoz. (Azóta a cégnél szigorúbban is veszik a saját alkalmazottaikat érintő biztonságot.)

A hekkerek emailcímeket és jelszavakat szereztek meg, utóbbiakat erősen titkosított (hashelt és sózott) formában, ami azt jelenti, hogy nehezebb visszafejteni őket, és a jelek szerint eddig még nem is sikerült. Ennek ellenére mindenkinek azt javasoljuk, hogy nézze meg a haveibeenpwned.com-on, az emailcíme megadásával, hogy érintett-e, és ha igen, minél előbb változtassa meg a jelszavát, ha 2012 óta nem tette meg. (Ugyanitt fel is iratkozhat, hogy ha a jövőben érintett lesz egy adatlopásban, automatikus emailértesítést kapjon róla.) A Dropbox egyébként támogatja a kétlépcsős azonosítást is, ide kattintva elérhető a saját útmutatójuk arról, hogy lehet bekapcsolni.

Mobilneten törhető több millió autó

Megdöbbentő következtetésre jutottak a biztonsági szakemberek az egyik legnagyobb amerikai biztosító által használt autókövető rendszer elemzésével. Az autó adatbuszára kapcsolódó, netes kapcsolattal rendelkező dongle semmilyen védelemmel nem rendelkezik, ezzel a járművet szinte bárkinek ki tudja szolgáltatni.

Tudjuk, mert mindenhonnan ez folyik: a M2M kommunikáció és a szenzoros adatok rögzítése forradalmat hoz az élet minden területén. Egyes piacokon és egyes országokban ez már mindennapi valóság, az amerikai Progressive Insurance például a sofőrök egyéni vezetési stílusa szerint árazza a biztosítás díját. Mivel az adatok birtokában hajszálpontosan meg tudja becsülni a biztosított által képviselt egyedi kockázatot, a jól viselkedő sofőrök lényegesen kevesebbet fizethetnek.

Hogyan működik?

A Progressive Insurance egy egyszerű dongle-t küld a biztosítottaknak, amelyet a gépjármű diagnosztikai portjára kell kötni, innen gyűjti ki a működésre vonatkozó adatokat az egység, majd dedikált mobilnetes kapcsolatán keresztül ezt elküldi a biztosítónak. A Snapshot alapvetően három adatot gyűjt, a megtett kilométerek számát, a durva fékezéseket és a késő éjszakai levezetett órák arányát - a biztosító ezekből viszonylag pontosan be tudja lőni a még profitábilis biztosítási díjat. A rendszer eddig bizonyított, az adatok szerint mintegy kétmillió autót biztosít már ezzel a módszerrel a Progressive Insurance.

A bökkenőt a műszaki megvalósítás jelenti. A Snapshot nevű dongle ugyanis kétirányú kommunikációt folytat mobilinterneten ahogy feltölti az adatokat a biztosító szerverére - és ez a kommunikáció a legalapvetőbb biztonsági kritériumoknak sem felel meg. Ez még nem lenne önmagában katasztrofális, bár a vezetési stílusra vonatkozó nyers adatok lenyúlása már a magánszféra komoly megsértése lenne.

Létezik a nulla biztonság

Az igazi problémát az jelenti, hogy a Snapshot által használt csatlakozó az autó elektronikáját is kinyitja a támadók előtt, az OBD-II buszon keresztül ugyanis nem csak adatok olvashatóak ki, de átvehető a kontroll az autó számos vezérlőberendezése fölött, és vezérelhető gyakorlatilag minden, az autó elektronikájára kötött periféria, a központi zártól a szervokormányig, a motorvezérlésig. A Forbes IT-blogja által megszólaltatott Corey Thuen a Digital Bond Labs munkatársa, a kutatás eredményeit pedig a beágyazott rendszerek biztonságával foglalkozó saját S4 konferenciáján fogja részleteiben is bemutatni.

A Snapshot firmware-ét alaposan megvizsgáló biztonsági szakember szerint a minimalista operációs rendszer a legalapvetőbb biztonsági megfontolásokat is nélkülözi. A rendszer például nem kér digitális aláírást a saját firmware felülírásához, így egy támadó a dongle teljes vezérlését lecserélheti saját szoftverére - amely secure boot hiányában gond nélkül működni is fog. A hálózati kapcsolatot ugyanígy nem védi semmi - nincs hitelesítés sem szerveroldalon sem a mobilhálózat oldalán. Ennek fényében nem meglepő, hogy az adatkapcsolat sem biztonságos, nem védi semmilyen titkosítás. "Gyakorlatilag semmilyen biztonsági technológia nem védi" - mondja Thuen.

forrás: hwsw.hu

Tíz dollárért mindent bevallanak a Microsoft billentyűzetei

Néhány dolláros befektetéssel lehallgathatók a Microsoft vezeték nélküli billentyűzetei. Az eszközök sebezhetőségét Samy Kamkar biztonsági szakértő egy fali USB-s töltőnek álcázott kütyüvel demonstrálta, amelyet otthon bárki összeállíthat.

A vezeték nélküli billentyűzetek "lehallgatásának" gondolatával már bizonyára sok tréfás kedvű vagy éppen rosszindulatú barkácsoló - netán kormányzati szerv - eljátszott, vannak azonban akik a játéknál jóval tovább jutottak. Ilyen többek között Samy Kamkar biztonsági kutató is, aki a Microsoft vezeték nélküli klaviatúráiban rejlő veszélyekre mutatott rá - a szakértő szerint a hasonló eszközök egy otthon elkészíthető, néhány tízdolláros, kütyüvel szóra bírhatók. A projektet Kamkar nem csak demonstrálta, de a KeySweeper névre keresztelt eszköz elkészítéshez szükséges részletes információkat is közzétette.

Egy hétvégés projekt

A redmondi vállalat vezeték nélküli billentyűzeteiben több biztonsági rés is akad, amelyeket kihasználva lehetőség adódik belehallgatni azok vezeték nélküli kommunikációjába, sőt az adatátvitel titkosítása is feltörhető. A feladatot valamelyest megnehezíti, hogy bár a Microsoft eszközei 2,4 gigahertzen kommunikálnak (ami a készülék hátulján lévő FCC azonosítóból hamar kiderül) azt nem valamelyik ismert protokollon teszik, mint például a Wi-Fi vagy a Bluetooth, hanem a vállalat saját fejlesztésű megoldását használják - ezért is tartozik hozzájuk külön USB vevőegység.

Egy ilyen klaviatúrát szétszedve rövid személődés után felfedezhető a rádiós kommunikációért felelős lapka - annak szériaszáma alapján pedig a hozzá tartozó adatlap. Jelen esetben egy 2,4 gigahertzes RF chipről van szó, amely másodpercenként 250 kilobit, illetve 1 vagy 2 megabites adatátviteli sebességgel dolgozik, és GFSK (gaussian frequency-shift keying) digitális frekvenciamodulációt alkalmaz.

A lapka kommunikációjának feltöréséhez szakértőnk Travis Goodspeed blogjához fordult segítségért, aki 2011 februárjában dolgozott hasonló projekten, egészen pontosan egy Microsoft Comfort Desktop 5000 klaviatúra vezeték nélküli kommunikációjának feltörésén. Goodspeed a fent említett, a billentyűzetekben dolgozó RF chip segítségével - amely egyébként nagyjából 1 dollárért megrendelhető az eBay-ről - tudta elcsípni az eszköz által adott jeleket, ugyanakkor nem volt könnyű dolga, miután a hallgatózáshoz nemcsak a célba vett frekvenciát kell ismerni, de az adott készülék MAC-címét is. Goodspeed megoldásával ugyanakkor ez is hamar beszerezhető - a pontos részletekért érdemes felkeresni a szakértő kapcsolódó blogbejegyzését.

Nehezen találni gyengébb titkosítást

A titkosítás feltörése innentől fogva nem különösebben nehéz, ahogy azt korábban már Thorsten Schröder és Max Moser biztonsági szakértők is felfedezték saját billentyűzet-lehallgató eszközük, a KeyKeriki fejlesztése során: az egyes billentyűleütéseket ugyanis a Microsoft eszközei ECB (electronic codebook) módszerrel titkosítják, az eszköz MAC-címe alapján. Ez az egyik leggyengébb titkosítási eljárás, lényege, hogy az adathalmazt több blokkra bontja, majd ezeket külön-külön titkosítja - ettől azonban az adatmintázatok továbbra is megmaradnak. Egy ECB-vel titkosított, aránylag nagy, egyszínű részeket tartalmazó bitkép például továbbra is jól felismerhető lehet, mert bár az egyes pixelek színei nem ismertek, az adat mintázata változatlan marad. Ahogy Kamkar fogalmaz: olyan, mint ha egy pakli kártyát úgy próbálnánk megkeverni, hogy azt egyszerűen kettéválasztjuk majd a két részt megcseréljük.

Akár néhány dollárból

A hétvégi hacker-projekt teljes költsége nagyjából 10 és 80 dollár között mozog, attól függően, hogy milyen kiterjedt funkcionalitást akar az ember az apró műanyag dobozba préselni. Amire egészen biztosan szükség lesz, az értelemszerűen egy USB-s fali töltő, a fentebb említett, egydolláros RF lapka, illetve egy Arduino, vagy Teensy mikrokontroller. Ehhez még igény szerint hozzácsapható egy apró flash-tárhely a begyűjtött információk tárolásához, továbbá egy 2G kapcsolatot támogató FONA modul, amelynek segítségével a leütések rögtön továbbíthatók is egy távoli számítógépre. A FONA egységhez továbbá egy akkumulátor is kapcsolható, így a kütyü még a falból kihúzva is tovább fülelhet a billentyűzet kattogására. Ami a szoftveroldalt illeti, a sikeres hallgatózáshoz a mikrokontrollerre telepített program mellett még egy jQuery és PHP alapú webes backendre is szükség van - a projekt részletes leírása, illetve az ahhoz szükséges szoftverek elérhetők Kamkar GitHub oldalán.

A szakértő olcsó, de annál veszélyesebb megoldása vélhetően senkiben nem hagy kétséget, hogy még 2015-ben is bőven van hova fejlődnie a vezeték nélküli eszközök biztonságának. A Microsoft a KeySweeperrel kapcsolatban a VentureBeatnek nyilatkozva annyit mondott, tudnak a problémáról és már megkezdték annak vizsgálatát. Bár Kamkar fali töltője egészen biztosan az egyik leglátványosabb bizonyíték a vezeték nélküli billentyűzetek gyér védelmére, azok a kutatások amelyekre épít (például Goodspeed, iletve Schröder és Moser munkája) már évek óta elérhetők nyilvánosan, mégsem értek el különösebb hatást a vezeték nélküli eszközök titkosításának megerősítése terén - remélhetőleg ez az újabb készülékek megjelenésével változik majd.

forrás: hwsw.hu

Kikerült az androidos biztonsági hibát kihasználó példakód

Mindenki számára elérhető a múlt héten bejelentett komoly androidos biztonsági sebezhetőséget kihasználó példakód. A Google ugyanakkor bejelentette, hogy a javítás március óta a gyártóknál van, a frissítés leküldése a felhasználók telefonjaira immár a vállalatok felelőssége.

Elkészült és mindenki számára elérhető a súlyos androidos biztonsági rést kihasználó példakód, amelynek birtokában a potenciális támadók anélkül módosíthatják a hivatalos alkalmazásokat, hogy a rendszer vagy a felhasználó ezt észrevenné. Az apktool névre keresztelt script kibontja az aláírt telepítőcsomagot, majd módosítás után úgy tudja azt újra összeállítani, hogy az eredeti aláírást a rendszer továbbra is érvényesnek fogadja el.

A szerző Olivia Fora állítása szerint a scripttel újracsomagolt támadó kódot a Google-féle biztonsági szoftverek jelenleg nem ismerik fel, a megfelelően preparált telepítő minden gond nélkül lefutott a tesztkészüléken, a támadó kód pedig aktív maradt. Mint ismeretes, a Google Bouncer technológiája a Play Store-ba feltöltött alkalmazásokat vizsgálja virtualizált környezetben, a gyanús viselkedést mutató appokat pedig törli a piactérről. Az Android Jelly Bean 4.2 óta pedig a rendszer része a Verify Apps funkció is, amely a Play Store-on kívül telepített alkalmazásokat tudja megvizsgálni. Fora szerint sem a Bouncer, sem a Verify Apps nem jelzett biztonsági problémát a tesztalkalmazás esetében.

Megkerülhető az aláírás

Az Androidon minden alkalmazást aláírás véd, amely elvileg szavatolja, hogy a telepítőcsomag (APK) kódját nem módosították, valóban az kerül fel a készülékre, amit a fejlesztő az alkalmazás-piactérre feltöltött. A kriptográfiai aláírásellenőrzés azonban hibás, ennek kiaknázása lehetővé teszi támadók számára, hogy a rendszer számára láthatatlan módon, az eredeti, érvényes aláírás megtartása mellett módosítsák egy alkalmazás kódját, tetszőlegesen. Magyarul az aláírás és az APK tartalma közötti kötelék megbontható, így adott elfogadott aláírás mellett tetszőleges kód futtatható a rendszeren. A hiba roppant egyszerű, az aláíró (és az aláírást ellenőrző) algoritmus minden fájlhoz hash-t készít, több ugyanolyan nevű állomány esetében azonban csak a legutolsót veszi figyelembe. Ha a támadó meg tudja oldani, hogy az APK futtatásakor ne az eredeti, hanem a módosított második állományt használja, akkor nyert ügye van.

A biztonsági problémát súlyosbítja, hogy ilyen módon nem csak a felhasználói alkalmazások, de a beépített rendszerprogramok is támadhatóak-felülírhatóak, vagyis akár "system" szintű jogosultsággal is lefuthat az idegen kód, ami néhány fogással egészen root jogig bővíthető, ennek birtokában pedig a támadó már a telefonon tárolt összes adathoz, a készülék összes funkciójához hozzáfér.

Már javítva? Várjunk csak...

A Google közlése szerint a hibát már az év elején javították az Androidban, a megfelelő frissítést pedig március során elküldték a gyártópartnereknek és a mobilszolgáltatóknak, megfelelő tesztelés után ők illetékesek a telefonok biztonsági frissítésében. Ez pedig eléggé súlyos problémát jelent, az androidos telepített bázis nagy része már régen nem kap sem biztonsági, sem egyéb frissítéseket, kérdéses, hogy az érintett gyártók (és érintett eszközök) mekkora arányban kapják meg a jövőben a megfelelő támogatást.

A támadás kivitelezéséhez az szükséges, hogy a felhasználó a módosított APK-t letöltse a telefonjára és lefuttassa azt. Emiatt elsősorban a Play Store-on kívülről szerzett alkalmazások lehetnek gyanúsak, de maga a Play Store is támadható marad. Ha a támadó megszerzi például a hálózati forgalom fölötti ellenőrzést, akkor elképzelhető, hogy a bolt és a telefon közé ékelődve leküldheti a készülékre a módosított telepítőcsomagot, amely a felhasználó számára transzparens módon települ is. Az utóbbi forgatókönyv tömegesen nem használható, célzott támadásokhoz azonban értékes lehet.

forrás:hwsw.hu

Könnyen kijátszhatók az okos mérőórák

Az energiaszolgáltatás és közmű jövőjét az okos mérőeszközök jelentik - ez szinte minden szempontból helytálló kijelentés, viszont a csalók számára is új lehetőségeket tartogatnak az új módszerek.

Mik is azok az okos mérőórák? Alapvetően olyan internetre kapcsolt, automatikus eszközökről beszélünk, amelyek a jelenlegi egyszerű módszereket felváltva mérik az áramfogyasztást, a felhasznált melegvíz vagy fűtőanyag mértékét. A technológia már jó pár éve létezik, főleg, mióta a gyártók az intelligens otthon fogalmát is kelléktárukba helyezték, egyre több cég kínál ilyen eszközöket, de a közeljövő már inkább arról szól, hogy nem egyedileg, hanem tömegesen terjedjenek el. Sokfelé tervezik állami és közüzemi szervek, hogy fokozatosan megkezdik a régi mérési módszerek cseréjét, ami alapvetően jó dolog.

A brit kormány például 2020-ra már 30 ezer háztartásban üzemeltetne okos mérőórákat, ami hasznos a szolgáltatóknak és a fogyasztónak is egyaránt. A technológia legfontosabb előnye, hogy pontosabbá válik a mérés, eltűnnének a jelenlegi becsléseken alapuló, vagy általánydíjas csekkek, ráadásul a fogyasztók akár órákra lebontva meg tudják nézni, mikor mennyi energiát vagy vizet fogyasztottak. Ezzel tudatosabbá válhatnak a fogyasztási szokások, és végeredményben csökkenthetők a költségek is.

a cikk a technet.hu-n folytatódik.

Feltörték a Google Glasst

Röviddel a piacra kerülése után máris feltörték a Google szemüvegét.

Régi  informatikai igazság, hogy amit az ember készít, azt a másik ember fel is tudja törni. Most a nemrégiben megjelent Google Glass jutott erre a sorsra, ugyanis egy lelkes iOS és Androidfejlesztő sikeresen átvette a teljes ellenőrzést a szemüveg rendszere fölött. Bár Jay Freeman nem publikált konkrétumokat a sikeres feltörésről, állítása szerint mindössze 2 órát vett igénybe a művelet. A vacsora ideje alatt történt feltörés konkrét célja egyelőre meglehetősen homályos, valószínű, hogy Freeman mindössze kedvtelésből állt csak neki. Az egyelőre hősünk számára sem világos, hogy mihez kezd majd a most már tökéletesen irányítható szemüveg kódjával, elképzelhető, hogy csak a kamera által rögzített filmek tárhelyét változtatja majd meg.

Az persze valószínű, hogy mire 2014-ben piacra kerül a Glass, már komolyabb védelmet is beépít a kaliforniai gyártó, hiszen nem lenne jó, ha sok száz dolláros szemüveget bárki kénye-kedve szerint alakíthatná.

forrás: wikitech.hu

Az első hírek szerint állva maradt a Chrome OS a Pwnium-on

A Google egy rakás pénzt (3,14159 - vagyis pi millió dollárt) ajánlott fel azoknak a versenyzőknek, akik sikeresen legyűrik a Chrome OS-t a Pwnium 3 biztonsági vetélkedőn. A Pwnium 3-ra a kanadai CanSecWest rendezvényen került sor tegnap. A friss Twitter üzenetek szerint nem sikerült senkinek sem teljes díjat nyernie. A Google Chrome csapat kiértékeli az eredményeket és lehetséges, hogy a részeredményeket jutalmazza. Hivatalos bejelentés még nincs, további (pontosabb) részletek később.

Emlékeztetőül a versenyen sikeresen exploitálták a Chrome, Firefox, IE 10 böngészőket, mind a Java-t, mint a Windows 8-at.

forrás:hup.hu

Microsoft: leállt az Azure és a Java résén keresztül be is törtek

Péntek délután leállt az Azure felhő tárolószolgáltatása, a cég egyes PC-it pedig a más vállalatoknál is sikeresen alkalmazott Java-alapú támadással pedig feltörték. Ügyféladatok nem kerültek veszélybe, állítja a Microsoft.

Péntek kora délután, magyar idő szerint már este világszerte összeomlott az Azure felhő tárolószolgáltatása. A Microsoft hivatalos Azure-blogjából kiderül, hogy egy nagyon egyszerű ok húzódott meg a háttérben: egy SSL tanúsítvány lejárt, emiatt a HTTPS forgalom teljesen megbénult a tárolószolgáltatásban. A hivatalos tájékoztatás szerint a cég mérnökei szombat hajnalra tudták részlegesen elhárítani a hibát az érintett clustereken, ekkorra a szolgáltatás a világ 99 százlékáról már elérhető volt, a teljes üzemet pedig szombaton reggel 8-ra érte el az Azure - magyar idő szerint ez már délután 5 órát jelent.

Az adattárolási szolgáltatás hibája más Azure-komponenseket is "magával vitt", kiesések voltak az Azure Service Bus, Azure Web Sites és és Acces Control 2.0 szolgáltatásokban is. A leállás hossza és kiterjedtsége miatt az ügyfelek kártérítést kapnak, amit a következő számlájukon ír majd jóvá a Microsoft, olvasható a blogban. Emellett a cégnél megkezdődött a hibafeltárási folyamat, amelynek eredményeképp várhatóan a jövőben nem fordul elő hasonló eset. Az incidens alatt a HTTP forgalom zavartalanul folyt, számolt be a cég az Azure dashboardon, ahol a felhőszolgáltatás életjeleiről ad tájékoztatást.

Nem az az első eset, hogy az Azure egy banális hiba miatt megbénul. Majdnem egy évvel ezelőtt, tavaly februárban a szökőnap hibás kezelése miatt állt le az adminisztrációs felület, ami miatt nem lehetett új alkalmazásokat telepíteni, indítani vagy a már futókat módosítani. A problémát akkor is biztonsági tanúsítványokkal kapcsolatos baki okozta - egy hibás algoritmus 2013. február 29-i keltezésű tanúsítványokat akart kiadni, amelyeket a rendszer nem fogadott el érvényes dátumnként, ez vezetett a frissítés alatt álló szerverek tömeges bedőléséhez.

A Microsoft egy másik incidensről is kénytelen volt beszámolni, sok más vállalathoz hasonlóan a Java böngészőplugin javítatlan sebezhetőségét kihasználva Redmondba is betörtek, köztük az Apple platformra fejlesztő részleg OS X-et futtató számítógépeire is. "A vizsgálat során találtunk néhány számítógépet, köztük párat a Mac részlegünknél, amelyet kártékony kóddal fertőztek meg a más cégeknél is használt módszerrel" - olvasható a Microsoft biztonsági blogjában. "Nincs bizonyíték arra, hogy ügyféladatok érintettek lennének, a vizsgálat továbbra is folyik." A Java sandbox sebezhetőségét kihasználva nemrég az Apple és a Facebook rendszereibe is bejutottak, de ügyféladatokat sehonnan sem tulajdonítottak el a jelenleg rendelkezésre álló információk alapján.

forrás:hwsw.hu

Biztonsági incidens a wiki.debian.org-on

Steve McIntyre a Debian wiki adminisztrátora a debian-devel-announce listán nemrég bejelentette, hogy a "moin" csomag twikidraw / anywikidraw komponensének biztonsági sebezhetőségét illetéktelenek használták ki a Debian wiki szerverén (wiki.debian.org). Az incidens okán a wikit a régebbi szerverről egy újabbra migrálták és javított csomaggal az szolgáltatást helyreállították. A régi szerver auditálása során arra jutottak, hogy a "wiki" account-on kívül más account nem sérült, viszont az is kiderült, hogy támadók elvitték a wiki szerkesztőinek e-mail címeit és jelszó hash-eit. A részletek itt olvashatók.

forrás:hup.hu

Egyetlen emaillel eltéríthetők a lakossági routerek

Látványosan egyszerű támadással változtatható meg egyes otthoni és kisválllalati (SOHO) routerek több beállítása, elegendő, ha az eszköz mögött ülő felhasználó iOS alól nyit meg egy emailt. A veszély nem elméleti, az ilyen hibákat már széles körben használják ki támadásokhoz.

Roppant egyszerű támadással téríthető el az alapértelmezett beállításokkal rendelkező routerek internetes forgalma - írja a Bogdan Calin biztonsági szakértő blogbejegyzése. A poszt szerint egyes lakossági routerek esetében elegendő egyetlen email megnyitása ahhoz, hogy módosítsuk például a névszerver címét, ezzel a netes forgalom nagy részét a támadó átirányíthatja.

a cikk a hwsw.hu-n jelent meg.

Windows 8 / IE 10 0day exploit

A VUPEN Security vezetője, Chaouki Bekrar a Twitteren bejelentette, hogy cégének sikerült különböző 0day-ek kombinálásával a Windows 8 / IE 10 összes új exploit mitigációs megoldásait kijátszania:

A Microsoft egyik szóvivője jelezte, hogy olvasták a Twitter üzeneteket, de egyelőre részleteket nem osztottak meg velük. Továbbra is bátorítják a biztonsági szakembereket arra, hogy vegyenek részt a Microsoft Koordinált Sebezhetőség-közlési programjában (Microsoft Coordinated Vulnerability Disclosure program) annak érdekében, hogy segítsenek a vállalatnak az ügyfelek biztonságának biztosításában.

A részletek itt és itt.

forrás: hup.hu

Óriási magyar siker a hekkerolimpián

A tavaly első ízben meghirdetett hekkerolimpián, a CyberLympics döntőjében a kancellar.hu információbiztonsággal foglalkozó tanácsadó cég csapata, a Six Pistols a harmadik helyen végzett. Az idei döntőben megduplázódtak az esélyek, az európai kontinensselejtezőn ugyanis mindkét továbbjutó helyet magyar csapat szerezte meg. Így Európát az októberben Miamiban rendezett döntőn honfitársaink képviselik, a PRAUDITORS és a gula.sh csapata.

A cikk az index.hu-n jelent meg.

Poul-Henning Kamp: az md5crypt már nem tekinthető biztonságosnak

A LinkedIn incidens apropóján írt egy cikket az ACMQUEUE hasábjaira Poul-Henning Kamp FreeBSD fejlesztő, az md5crypt megalkotója. Kamp írásában azt elemzi, hogy miért hibázott a Linkedin, mikor a jelszavakat unsalted SHA1 hash-ek formájában tárolta.

A '90-es évek közepén Kamp, hogy a standard UNIX crypt(3) gyengeségére - könnyen, gyorsan "brute force"-olható - megoldást adjon, megalkotta a md5crypt-et. Az md5crypt feltehetően a legszélesebb körben használt jelszókódoló. Éppen ezért kell felhívni a figyelmet arra, hogy napjaink hardverei mellett az md5crypt már nem tekinthető biztonságos megoldásnak. Körülbelül annyit ér ma, mint 1995-ben a DES-alapú standard UNIX crypt(3), ami miatt megszületett. Hogy ez mennyire így van, azt maga a szerző mondja el "Md5crypt Password scrambler is no longer considered safe by author" írásában.

Poul-Henning Kamp, az md5crypt szerzője mindenkinek azt javasolja, hogy késedelem nélkül váltson erősebb jelszókódolóra.

Átírta az alaptörvényt az Anonymous

Átfogalmazta az Alkotmánybíróság honlapján található alaptörvényt néhány hekker, a csoport tagja magukat a magyar Anonymous tagjainak nevezték.

Az Index beszámolója szerint feltételezhető, hogy vasárnapra virradóra írták át az Alkotmánybíróság honlapjáról elérhető alaptörvény szövegét a magukat az Anonymous hackercsoporthoz tartozónak nevező hackerek.

Lyukas a Google pénztárcája

A Google Wallet alkalmazásba egy újabb súlyos sérülékenységre derült fény, ami a Google feltöltőkártyás ügyfeleinek virtuális pénztárcáját igencsak érzékenyen érintheti. A Google fejlesztőinek egy súlyos sebezhetőséget kell megszüntetniük a Google Wallet alkalmazásban, ugyanis az bizonyos körülmények között jelentősen megkönnyítheti a tolvajok, csalók számára a károkozást. A hibára először a Smartphone Champ blogja hívta fel a figyelmet, amikor közölte, hogy azon eltulajdonított vagy ellopott androidos készülékek, amelyeken engedélyezett volt a Google Wallet és aktív egy Google Prepaid Card (feltöltőkártya), azokon a tolvajok egyszerűen ki tudják játszani a PIN-kódos védelmet, majd a saját céljaikra használhatják fel a kártyán lévő összeget.

A cikk a biztonsagiportal.hu-n jelent meg.

Biztonsági incidens a Microsoft indiai webáruházában

A Microsoft indiai webáruházához illetéktelenek fértek hozzá. A weboldalt deface-elték, de úgy fest, hogy az adatbázisokhoz is hozzáfértek. Az eddigi adatok alapján a jelszavakat plain text tárolták, így azokat a támadók könnyűszerrel megszerezték. A webáruházon jelenleg a "The Microsoft Store India is currently unavailable." üzenet olvasható. A behatolás részletei itt olvashatók.

Támadás vár a magyar kormányzati oldalakra?

Az Anonymous már a környékünkön jár, az elmúlt napokban már a cseh és a szlovák kormányzati oldalakat is betámadták, mert a két ország aláírta azt az egyezményt, amelyiket Magyarország is.

Csütörtökön a cseh kormány és az ottani szerzői jogvédő hivatal oldalait támadták le hekkerek, szomvat este pedig a szlovák kormány oldala esett el több órára. A két támadás forgatókönyve megegyezett: DDoS akció, azaz túlterheléses ellehetetlenítés történt mindkét, környékünkön történt esetben.

A teljes cikk a technet.hu-n jelent meg.

Nem állt le az Anonymous, folyik a toborzás

Az Anonymous csoport a múlt héten ismét bebizonyította, hogy szinte órák alatt képes komoly fennakadásokat okozni. Ennyivel azonban nem érte be, hiszen folyamatosan toborozza a tagjait.

A teljes cikk itt olvasható.

Gyorsan kell lépni, ha feltörték a Gmail-fiókot

Banki szintű biztonsági beállításokkal is levédhető a Google levelezője, de az extra védelmet a felhasználónak magának kell bekapcsolnia. A kétlépcsős azonosítással fél óra alatt hackerbiztossá tehető a pénzügyi és személyes információk garmadáját rejtő Gmail-fiók. Feltörés esetén gyorsan kell lépni, megmutatjuk, hogyan.

Kezdetben a Google-jelszó csupán arra volt jó, hogy a felhasználó hozzáférjen a levelezéséhez, személyre szabott kezdőoldalához, és testreszabott keresőoldalához. A cég az évek során úgy kibővítette szolgáltatásainak körét, hogy ma ennél jóval többre vigyáz a Google-fiókhoz tartozó titkos kód. Véd üzleti adatokat (például a céges Adwords hirdetési fiókhoz), és védi például az Analytics nevű, látogatási adatokat kezelő rendszert. Elzárja az illetéktelenek elől a Google Checkout fizetési szolgáltatást, amivel az interneten lehet vásárolni.

A koronagyémánt pedig még mindig a Gmail, ami nem csak azért fontos, mert átverős pénzkérő levelet lehet küldeni a címjegyzék összes tagjának. A levelezőfiókba futnak be a felhasználó által használt netes oldalak jelszóvisszanyerő levelei is. A türelmes támadó fizetési szolgáltatásokba, közösségi oldalakra, webboltokba, digitális játéktárakba juthat be, ha egyszer kitalálta a fő levelezőfiók jelszavát.

a teljes cikk itt.

Könnyen hekkelhetők az újabb routerek

December végén szakemberek szinte az összes, újabban eladott vezeték nélküli routereket érintő sebezhetőséget hoztak nyilvánosságra.A módszert Stefan Viehböck írta le blogjában, illetve egy részletes  dokumentumban. A kutató szerint a sérülékenység a széles körben használt, az informatikában járatlan felhasználók megsegítésére kialakított Wi-Fi Protected Setup (WPS) szabványban található. A WPS-t azért hozták létre, hogy bárki egyszerűen és gyorsan csatlakozhasson a jelszóval védett hálózatokhoz is.

A cikk az index.hu-n jelent meg

1 - 20 / 23 tétel megjelenítése.
Tételek oldalanként 20
of 2

Oktatási hírek Oktatási hírek

A <em>hacking</em> cimkéjű tartalom.

Nincs eredmény.

Naptár Naptár

szombat

25

2017.02.25.
H K Sze Cs P Szo V
30 31 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 1 2 3 4 5
Ezen a napon nincsenek események.
Idő Cím Típus  
Ezen a napon nincsenek események.
0 tétel megjelenítése.

Cimkefelhő Cimkefelhő