A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) heti rendszerességgel összeállít egy válogatást az adott időszak információbiztonsági híreiből.
A sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli, hogy azok olyan súlyú fenyegetéseket tartalmaznak, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági feleős éő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, az érintettek megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek!
Íme, egy szakmai tanácsokkal kiegészített válogatás a 2021. évi 33-37. hét eseményeiből. Aki a teljes anyagra kíváncsi, itt találja meg a forrást:
https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/
És ne feledjük: a kibertérben a biztonság csak egy hamis illúzió...
Forrás:
https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2021-37-het/
"SSID Stripping: a hamis hálózatokkal való megtévesztés - (securityweek.com) - Egy új módszert azonosítottak a kutatók, amellyel a támadók elérhetik, hogy úgy csatlakozzanak az áldozat vezeték nélküli hozzáférési pontjához (AP), hogy arról az érintett ne szerezzen tudomást. Az SSID Strippingnek nevezett módszert 2021. szeptember 13-án hozta nyilvánosságra a vezeték nélküli biztonságra szakosodott AirEye, amely a Technion (Izraeli Technológiai Intézet) kutatóival együttműködve fedezte fel a hibát. A biztonsági rés a Windows, macOS, Ubuntu, Android és iOS rendszert futtató eszközöket érinti."
Érdekes az érintett cégek reakciója is:
"A kutatók a találmányukat sebezhetőségként írták le, de az érintett gyártók nem tekintik ezt komoly biztonsági problémának. Az AirEye szerint a felfedezéseket júliusban jelentették az Apple, a Microsoft, a Google (Android) és a Canonical (Ubuntu) számára. Bár mindannyian elismerték a problémát, azonban "kisebb biztonsági következményekkel járónak" minősítették, és nem valószínű, hogy a közeljövőben javítócsomagokat fognak bevezetni."
Más véleményen vagyok, mint a gyártók: a vezeték nélküli hálózatok biztonságával kapcsolatban korábban is voltak fenntartásaim - most ismét megerősítve érzem magam. Javaslat? Maradjunk a kábeles megoldásoknál, de ha ez nem megy, legalább a vezeték nélküli hozzáférések monitoringját erősítsük meg. (Nálam mindig fut a WhoIsOnMyWiFi - érdekes dolgok derülnek ki a velem egy hálózaton lógó szomszédokról, ahogy a WiFit üzemeltető információbiztonsági tudatosságáról is.)
"Titkosított biztonsági mentésekkel rukkolt elő a WhatsApp - (thehackernews.com) - A WhatsApp bejelentette, hogy rövidesen támogatni fogja, hogy a chatüzenetekről végponttól végpontig titkosított biztonsági mentést lehessen tárolni a felhőben. A funkció a következő hetekben lesz elérhető a felhasználók számára, amelynek következtében az Android felhasználók a Google Drive-ba, az Apple felhasználók pedig az iCloudba menthetik majd titkosítva az alkalmazáson belüli üzeneteiket és fényképeiket. Mindez feltehetően csak az elsődleges, a szolgáltatáshoz társított eszközökön lesz elérhető, így a funkció nem terjed ki például a számítógépes platformokra. A végponttól végpontig titkosított biztonsági mentésekhez a WhatsApp létrehozott egy hardveres biztonsági modul (HSM) alapú tárolót, amelyben a felhasználó titkosítási kulcsai kerülnek tárolásra, és amely a felhasználó által megadott jelszóval, vagy egy 64 számjegyű titkosítási kulccsal érhető el, utóbbit viszont manuálisan kell tárolniuk a felhasználóknak, mivel az nem kerül elküldésre a HSM tárolóba. A funkció engedélyezésével a felhőben történő mentés eőtt egy véletlenszerűen generált kulcs segítségével kerülnek titkosításra az adatok az eszközön."
Meglévő szolgáltatások ügyes integrációja és erős marketingtámogatás: az az érzésem, hogy a WhatsApp korábban megtépázott renoméját igyekeznek javítani. Kérdés, hogy ezek a korábban elijesztett és azóta más alkalmazásokat használó felhasználók visszahódítására elegendőek lesznek-e?
"Chrome felhasználók figyelem, ideje frissíteni! - (thehackernews.com) - A Google hétfőn biztonsági frissítést adott ki, amelyben a Chrome böngésző 11 db - ebből a támadók által kettő aktívan kihasznált - zero-day sérülékenysége került javításra. A CVE-2021-30632 és CVE-2021-30633 néven bejegyzett sebezhetőségek memóriakezelési problémákból adódnak, amelyek közül az egyiket a V8-as JavaScript motor komponensben, míg a másikat az indexelt DP API-ban alkalmaznak. A Google tisztában van a sérülékenységek aktív kihasználásával, azonban nem osztott meg részleteket a támadások elkövetőiről, jellegéről és célcsoportjáról. A javított sérülékenységek listája az alábbiakban tekinthető meg, a Chrome felhasználóknak a mieőbbi frissítés javasolt."
- 30/31 -
Ennek a hírnek, információnak a célcsoportja elég széles. Ellenőriztem: a nálam telepített böngésző nem volt érintett, de egy próbát megért. (Ugye tudjuk, hogyan érhető el az ehhez szükséges menüpont a böngészőben a "névjegy"-ben?)
Van mobilos hírünk is:
"Adatvédelmi újítással érkezik az Android 12 béta verziója - (securityaffairs.co) - A Google bemutatta legújabb szolgáltatáscsomagját, a Private Compute Sevices-t, amelynek célja, hogy javítsák a felhasználók magánéletének védelmét. Az Android 12 béta verziójához már hozzáadásra is került a Private Compute Core, ami egy nyílt forráskódú, az operációs rendszertől és alkalmazásoktól elszigetelt biztonságos környezet. A tervek szerint a jövőben minden új Android verzióval további adatvédelmi funkciókkal kerül majd bővítésre az új szolgáltatás. A Google azt is elárulta, hogy az új funkció átláthatóbbá fogja tenni, hogy az alkalmazások milyen adatokhoz férnek hozzá, és segíteni fogja a felhasználókat az alkalmazások hozzáférési engedélyével kapcsolatos döntések meghozatalában. A szolgáltatás olyan újításokat is magával hozott, mint a média fájlok éőfeliratozása, a Now Playing funkció, ami felismeri a közelben játszott zenéket, és megjeleníti azok eőadóit és címét, valamint az intelligens válasz funkció, ami a csevegőalkalmazásokban releváns válaszokat ajánl a beszélgetések alapján. A Google azt tervezi, hogy megnyitja a Private Compute Services forráskódját, hogy lehetővé tegye a biztonsági kutatóknak, hogy felülvizsgálják a szolgáltatást."
Újabb szöget vernek azon cégek koporsójába, amelyek nem kelő súllyal kezelik az adatvédelmi kérdéseket. De miért érzem úgy, hogy az a társaság, amelyik a legtöbb adattal bír rólunk, valahogy nem teljes erőből sújt le azokra a szögekre?!
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
