A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) heti rendszerességgel összeállít egy válogatást az adott időszak információbiztonsági híreiből. Azonban nem csak az NKI által közzétett válogatásban szereplő cikkekből szemezgetünk, mivel azt tapasztaltuk, hogy olvasóink azokra a hírekre is nyitottak, amelyek hatásai túlmutatnak a szűkebb kibervédelmi és technikai aktualitásokon.
Az NKI a sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli meg, hogy azok olyan súlyú fenyegetéseket tartalmaznak, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, az érintettek megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek!
Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2023-7-het/
Egy "idegen" hírrel kezdek: én jót derültem rajta. Úgy tűnik örök igazság, hogy amit ingyen kínálnak, a kutyát sem érdekli, de ha ugyanazért pénzt kérnek, rögtön megemelkedik a becsülete. Valami ilyesmi történt a TWITTER-nél: a többtényezős hitelesítést csak egy kiemelt felhasználói csoport implementálhatja. Zseniális megközelítés: míg az iparági szereplők többsége azon mesterkedik, hogy a szolgáltatások biztonságát akár a felhasználói élmény romlásának árán is keresztülverjék az érintetteken, addig a TWITTER új vezetője fordít a trenden és csak azoknak kínál ilyen szintű biztonságot, akik hajlandóak fizetni érte. Mesteri: érdemes tanulni ettől az embertől! (Az általam felügyelt szervezeteknél azonban nem tervezünk ilyen szintű átalakítást: a 2013. évi L. törvény elég sarkosan fogalmaz e tekintetben, és minden olyan szereplőnek, akik kiemelt jogosultsággal bírnak, előírja a többtényezős hitelesítést).
Kiegészítés! A TWITTER hivatalos tájékoztatása szerint ez másként hangzik:
"A Twitter-történet nem egészen így van. Van háromféle 2FA módszer, ami elérhető náluk (SMS, app, biztonsági kulcs). Ezek közül az SMS az, ami a jövőben fizetős lesz (ezt azzal indokolták, hogy egyes telekom cégek fake account-okról spammelték az SMS 2FA-kéréseket, hogy számlázhassanak érte a Twitternek). A másik kettő (app, kulcs) továbbra is ingyenes lesz:
De nézzük, mi történt a nagyvilágban!
"VÉSZHELYZETI FRISSÍTÉS ÉRKEZETT AZ APPLE ESZKÖZÖKHÖZ EGY ZERO DAY SÉRÜLÉKENYSÉG MIATT - Soron kívüli biztonsági frissítés érkezett az Apple-től iPhone, iPad és Mac eszközökhöz a WebKit böngészőmotor egy aktívan kihasznált nulladik napi (zero day) sérülékenysége miatt."
Ritka eset, hogy - borítva a szokásos protokollt - ilyen lépésre szánja el magát az Apple, de most olyan szintűnek érezték a fenyegetést, hogy hajlandóak voltak kifizetni a túlórát a dolgozóknak a gyors javítás érdekében. (Ez egy hivatalosan meg nem erősített komment volt - részemről...).
Aki gyanítja - esetleg biztosan tudja -, hogy a kollégái ilyen eszközökkel is elérik a hivatali infrastruktúrát, kérem hívják fel a figyelmet erre a frissítésre!
De mire is számíthat, akit a sérülékenységet kihasználó "kollégák" hamarabb találnak meg, mint a frissítéssel megbízottak? Íme:
"A szóban forgó CVE-2023-23529 (1, 2) számon nyomon követett WebKit hiba akár az operációs rendszer összeomlását is okozhatja. Sikeres kihasználás esetén, miután a céleszközön megnyitásra került egy rosszindulatú weboldal - a sérülékenység ugyanis a Safari 16.3.1-es verzióját is érinti a macOS Big Sur és Monterey rendszeren - a támadók tetszőleges kódokat futtathatnak a célrendszeren."
"AUSZTRÁLIA IS SZÁMŰZI A KÍNAI BIZTONSÁGI KAMERÁKAT A KORMÁNYZATI ÉPÜLETEKBŐL - Az Ausztrál Védelmi Minisztérium a múlt héten bejelentette, hogy a kormányzati épületekben országszerte le fogják cserélni a kínai Hikvision és Dahua cégek által gyártott biztonsági kamerákat. Az indoklás szerint a gyártók túlságosan szoros kapcsolatban állnak a kínai állammal, ezért elővigyázatosságól eltávolítják az eszközöket."
Kik voltak azok, akik már korábban ilyen szintű fenyegetést láttak ezeknek az eszközöknek a használatában? Igen, aki az USA-ra és Nagy-Britanniára tette az X-et, nem húzott félre:
"2022 novemberében az amerikai Szövetségi Kommunikációs Bizottság (FCC) helyezett tiltólistára minden Huawei, ZTE, Hytera, Hikvision és Dahua által gyártott telekommunikációs vagy megfigyelésre alkalmas eszközt, »elfogadhatatlan nemzetbiztonsági kockázatra« hivatkozva. Még ebben a hónapban a brit kormány is utasítást adott a Hikvision és Dahua eszözök eltávolításáról."
- 49/50 -
Az NKI válogatásában és az idézett cikkben nem szerepel, de az albán hatóságoknak is gondjuk akadt a kamerákkal. Ott nem a gyártó, hanem az üzemeltető volt a probléma: az albán maffia telepített eszközei figyelték a bűnüldöző szervek mozgását, és időben riasztották az "érintetteket" a "veszélyről". Nem mindegy tehát, hogy a kameraképek kiknek a kezelésében - felügyelete alatt - érhetőek el.
A Google sem akart lemaradni az Apple mögött - bár utóbbi nem csak a mobiljaihoz kínált frissítéseket:
"40 SEBEZHETŐSÉGET JAVÍTOTT AZ ANDROID FEBRUÁRI FRISSÍTÉSE - A Google múlt héten adta ki az Android 2023 februári frissítő csomagját, amelyben összesen 40 sérülékenység, köztük 17 súlyos besorolású biztonsági hiba került javításra."
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
