A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NBSZ-NKI) heti rendszerességgel összeállít egy válogatást az adott időszak információbiztonsági híreiből. Azonban nem csak az NKI által közzétett válogatásban szereplő cikkekből szemezgetünk, mivel azt tapasztaltuk, hogy olvasóink azokra a hírekre is nyitottak, amelyek hatásai túlmutatnak a szűkebb kibervédelmi és technikai aktualitásokon.
Az NKI a sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli meg, hogy azok olyan súlyú fenyegetéseket tartalmaznak, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, az érintettek megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek!
Aki a teljes anyagra kíváncsi itt találja meg a forrást:
https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/
Továbbra se feledjük: a kibertérben a biztonság csak egy hamis illúzió...
Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2022-35-het/
Menthetetlenül belegyalogoltunk az őszbe... Az évnyitót még augusztus utolsó napján tartotta sok oktatási intézmény, a 35. heti sajtószemle kiadási dátuma már a tanítás második napjára esett. Az összefoglaló azonban még a nyárutót idézi, nézzük hát, miket szedtek össze számunkra a szerkesztők!
"BÁRKI SZÁMÁRA ELÉRHETŐVÉ VÁLT A DUCKDUCKGO E-MAIL SZOLGÁLTATÁSA - A DuckDuckGo 2021 júliusában indította - még béta verzióban - útjára az "Email Protection" szolgáltatását, azonban az utóbbi időben szélesebb körben is elérhetővé vált, és új funkciókkal bővült."
Kicsit félreérthető a cím: a bejegyzés nem - elsősorban - a DuckDuckGo levelezőszolgáltatását propagálja, hanem annak egy olyan funkcióját, amely más levelezőfiókok ellenőrzésére is használható. (Tegyük hozzá a leírás szerint @duck [.] com cím regisztrálása nem szükséges a szolgáltatás igénybevételéhez, de a beállításnak része, hogy felkeressük ezt az oldalt: duckduckgo.com/email...) Ha tovább olvasunk, érdekes adatokat kaphatunk az éves tesztidőszakban gyűjtöttek alapján: "A DuckDuckGo Email Protection nagy ígérete, hogy segítségével eltávolíthatók az e-mailekbe rejtett különböző reklám, illetve nyomkövető funkciók. Az egy évig tartó tesztidőszak alatt a DuckDuckGo jelentése szerint az e-mailek 85%-a tartalmazott valamilyen nyomkövetőt."
"KIBERTÁMADÁS ALATT MONTENEGRÓ, KRITIKUS SZOLGÁLTATÁSOK IS ÉRINTETTEK - Szofisztikált és folyamatos kibertámadások akadályozzák egyes állami szolgáltatások működését Montenegróban múlt hét csütörtök óta - közölte Marash Dukaj közigazgatási miniszter. A célpontok között villamosenergia, vízügyi és szállítási szolgáltatások, valamint állami online portálok is megtalálhatóak."
Melyek lehetnek azok az okok, amelyek ide vezettek? Erre is választ kapunk a cikkben: "Montenegróban jelenleg politikai krízis van, miután a néhány hónapja hivatalban lévő, Dritan Abazovic által vezetett kormány elbukott a bizalmatlansági szavazáson, amit a szerb ortodox egyházzal történő egyezmény miatt nyújtottak be parlamenti képviselők. Az Abazovic által aláírt egyezmény ellenzői szerint túl nagy hatalmat biztosítana a szerb ortodox egyháznak az ország többi vallási felekezetéhez képest." De ahol baj van, ott közel a segítség: "A NATO tagország Montenegrót több szövetséges állam is támogatásáról biztosította a kibertámadások kezelésében, kiemelten Franciaország, amely közölte, hogy az ország felkérésére válaszolva az ANSSI szakértői csoportot küld a rendszerek helyreállításának támogatásához."
"PYTHON FEJLESZTŐKET VETTEK CÉLBA AZ ADATHALÁSZOK - A Python Package Index, a PyPI Twitteren hívja fel a figyelmet egy folyamatban lévő adathalász kampányra, amelynek célja a fejlesztők hitelesítő adatainak megszerzése, valamint rosszindulatú frissítőcsomagok befecskendezése a repository-ba."
Ilyen típusú támadásokra korábban is volt már példa, de az orosz-ukrán események eszkalálódásával egyre több hasonló esetről hallunk... Finoman fogalmazva sem tartom kifejezetten jó iránynak, mert nem erősíti azt a bizalmat, amely pedig alapvető lenne a hatékony és gyors - együttműködésen alapuló - fejlesztésekhez... (A történet gazdasági vonzatairól most nem is beszélek...) Akit viszont érinthet a hír, kérem fogadja meg a cikkben leírt javaslatokat: "Az Python fejlesztőknek javasolt ellenőrizniük a hálózati forgalmukat az elemzésben felsorolt IOC-k alapján, illetve engedélyezniük a kétfaktoros azonosítást (2FA), amennyiben még nem tették meg."
- 40/41 -
Az IT-biztonsági rovatban most erről olvashatunk:
"SIGNALT HASZNÁL? EZT A FUNKCIÓT ÉRDEMES ENGEDÉLYEZNIE - Eheti tippünkben a Signal egy hasznos biztonsági funkciójára, a regisztrációs zár használatára szeretnénk felhívni a figyelmet."
"A Signal világszerte az egyik legnépszerűbb, végponti titkosítással rendelkező azonnali üzenetküldő applikáció. Sokan ezt tartják a legbiztonságosabb alternatívának, ugyanakkor az appnak egy jelentős hátránya mindenképp van, jelenleg ugyanis csak telefonszámmal lehet fiókot regisztrálni. A platform rendszeresen kerül emiatt a kritikák kereszttüzébe, és sajnos nem mondhatjuk, hogy ez minden alapot nélkülözne."
Akinek inge, kérem, olvassa végig a teljes anyagot: https://nki.gov.hu/it-biztonsag/tanacsok/signalt-hasznal-ezt-a-funkciot-erdemes-engedelyeznie/ Akinek nem inge, csak a tanulságot szűrje le: az abszolút biztonság csak egy hamis mítosz...
Forrás: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/sajtoszemle-2022-34-het/
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
