A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete (NKI) heti rendszerességgel összeállít egy válogatást az adott hét IT-biztonságot érintő híreiből. A sajtószemle mellett tájékoztatást és riasztásokat is küld, ha úgy ítéli, hogy azok olyan súlyú fenyegetések, amelyeket érdemes közzétenni az érintetti körben. A legszerencsésebb (és utólag mindig kiderül, a legköltséghatékonyabb) megelőzni a bajt: azok a szervezetek, ahol az információbiztonsági felelős élő kapcsolatot ápol a rendszer üzemeltetőivel, fejlesztőivel és használóival, megerősödött immunrendszerükkel könnyebben állnak ellen a vírusoknak, zsarolási kísérleteknek és egyéb rosszindulatú kódok mesterkedéseinek.
Sorozatunkhoz hűen, az elmúlt időszak érdekességeiből válogatunk most egy csokrot, de akiknek az érdeklődését felkeltettük, a teljes anyagot is elérik az NKI oldaláról: https://nki.gov.hu/it-biztonsag/kiadvanyok/sajtoszemle/
Időrendben szintén visszafelé haladunk - a 44. heti sajtószemléből emelünk ki egy cikket:
"A KB4577586 számú frissítéssel a Microsoft kizárja az Adobe Flash-t a Windows 10 és Windows Server minden verziójából. A frissítés jelenleg kizárólag a Microsoft Update katalógusból érhető el, ám a tech óriás tervei szerint 2021 elején WSUS-on és Windows Update-en keresztül is telepíthető lesz, amint a Flash a támogatási életciklusának végéhez ért."
Régóta tudjuk, hogy az Adobe Flash kedvelt célpont azok körében, akik még nem cserélték fehérre a fejfedőjüket. (Néha valódi kihívás megkülönböztetni a "Black Hat" és a "White Hat" hekkereket...). Most elérkezett a végső búcsú ideje: 2021 elején már a normál Windows Update-en keresztül is telepíthető lesz ez a frissítés, amint a Flash támogatási életciklusának végéhez ért. (Figyelem: ez a frissítés csak úgy lesz eltávolítható, ha visszaállunk a rendszer egy korábbi állapotára, tehát alaposan gondoljuk át, mielőtt rászánjuk magunkat!). Addig is: morzsoljunk el egy apró könnycseppet a szemünk sarkában, de ne kételkedjünk! A Flash nem fogja könnyen feladni - nyomait sok oldal őrzi majd még a "halála" után is.
A 43. heti sajtószemléből több érdekességet is megemlítünk:
"Lengyelország idén második alkalommal szervezi meg a 153+1 elnevezésű kiberversenyt, amelynek fő célja, hogy a fiatal korosztály érdeklődését a kibertér kihívásaira irányítsa. A verseny klasszikus "Capture The Flag" típusú megmérettetés, olyan fiatal, az informatikai terület kapcsán érdeklődést mutató diákokat szólít meg, akik szeretnék fejleszteni képességeiket és többet megtudni a kiberbiztonsági kérdésekről."
Alig ért véget a hazai szervezésű kiber-verseny, máris egy újabb kihívás elé állítják az érdeklődőket - ráadásul nemzetközi színtéren. Lengyelország komoly erőforrásokat csoportosít a kibervédelem területére - ennek egyik eleme a fiatal tehetségek felkutatása. Ezeken a versenyeken nem a nyeremények motiválják a részt vevő csapatokat, de feltételezem, nem jöhet rosszul az első díjazottnak járó 10 000 PLN (kb. 800 ezer forint).
"Jövő évtől kerülhet széles körben bevezetésre az a biometrikus azonosító rendszer, amellyel a szingapúri állampolgárok, jelszavak és hardverkulcsok helyett egy gyors arcszkennelés után férhetnek majd hozzá kormányzati, banki és egyéb szolgáltatásokhoz. Az arcfelismerést világszerte többféle formában alkalmazzák - - gondoljunk csak a telefonok feloldására, vagy a reptereken történő biztonsági ellenőrzésekre -, azonban a szingapúri kezdeményezés eddig messze a legambiciózusabb. A technológia jelenleg integrálási fázisnál tart, és teszt jelleggel néhány kormányhivatalban - például az adóhatóságnál és a nyugdíjpénztárnál már működik is. A tervek szerint a közeljövőben Szingapúr legnagyobb bankjánál (DBS) is bevezetésre kerül, de akár magánvállalkozások is alkalmazhatják. A fejlesztő GovTech szerint a rendszer biztonságos és a kezelt adatok harmadik féllel nem kerülnek megosztásra. Többen ugyanakkor komoly adatvédelmi aggályokat fogalmaznak meg a technológiával kapcsolatban, és a biometrikus adatok felhasználásának egyértelmű és átlátható szabályozását hiányolják."
A hír alapján felmerülhet bennünk, hogy Szingapúrban nemcsak a bankrendszer fejlett, de a digitális biometrikus azonosítórendszerek elterjedése elől is igyekeznek lebontani a korlátokat - alig titkolt kor-
- 30/31 -
mányzati segítséggel. Az adatvédelmi aggályok pedig egészen mások Ázsiában, mint Európában... (Az USA pedig elnököt választott és kíváncsi vagyok, hogy arról az osztrák jogvédő aktivistáról, aki miatt újra kellett gondolni az adatvédelmi pajzsot Twitteren, fogunk-e majd olvasni vagy a hivatalos adminisztráció fogalmaz-e meg sajtóközleményt?)
"A Sensity biztonsági cég egy deepfake hálózatot fedezett fel a közelmúltban a Telegram platformon, amely az elmúlt néhány hónap alatt közel 104 000 nőről készített kérésre hamis meztelen képeket. Azt hihetnénk, hogy az algoritmus elsősorban hírességek képeiből generált kompromittáló képeket, azonban úgy tűnik a képek »megrendelői« inkább környezetükből választottak - esetenként kiskorú - célpontot. A szoftvert használók többsége (70%-a) Oroszországból származik, ahol a közelmúltban került betiltásra a Telegram, azonban az ország legnépszerűbb közösségi hálózatán, a VK-n (Vkontakte-n) is elérhető a káros alkalmazás. A bot ingyenesen használható, de "prémium érmék" vásárlása esetén eltávolítható a szoftver által létrehozott vízjel és gyorsítható a feldolgozási folyamat, a 12 érmés készlet 1,30 dollárnak felel meg. A káros kód feltehetően a DeepNude nyílt forráskódú szoftver egy változata, amely tavaly vált ismertté, amikor készítője online értékesítésre bocsátotta azt. A Telegram egyelőre nem kommentálta a hírt."
Vajon milyen technológiával sikerülhet azonosítani, hogy ki az a 104 000 hölgy, akikről a környezetük meztelen fotót rendelt? Érdekes, hogy a szoftvert használók 70%-a Oroszországból származik - talán ott hamarabb beköszöntött a hideg és meleg bundákba takarózott a korábban strandoló tömeg...
"Egy hacker csoport azt állítja, hogy több, mint 50 000 otthoni biztonsági kamerát hekkel meg, ennek alátámasztásaként pedig privát fotókat tett közzé az Interneten, többek között felnőtt tartalmú oldalakon. A csoport 150 dollárért hozzáférést kínál a teljes gyűjteményhez, sőt a szingapúri The New Paper szerint VIP tagoknak még azt is megtanítják, hogyan derítsenek fel online elérhető kamerákat és férjenek hozzá azokhoz. Jelenleg nem ismert, hogy a támadók milyen módon kompromittálták az IP kamerákat, habár a legvalószínűbb egy biztonsági hiba kihasználása vagy gyenge jelszó feltörése lehetett."
Egy érdekes "tanfolyamot" kínál a VIP tagoknak egy IT biztonsággal foglalkozó csoport: az otthoni biztonsági kamerák felderítését és az azokhoz történő hozzáférést. A tanfolyam résztvevőit Magyarországon regisztrálni lenne köteles a szervező, de úgy tűnik, ő még bízik abban, hogy a szeptember 1-jétől hatályos rendelet adatvédelmi felülvizsgálata kínál majd némi könnyebbséget - addig is a tanúsítványokat a nyomozó hatóság vizsgálata alapján a bíróságok állítják majd ki a "szerencséseknek". (Megjegyzem: nemcsak a sikeres vizsgázók számíthatnak a hatóság kiemelt figyelmére, de a próbálkozók is. Részletek: VIII.6.3. Btk. 424. § információs rendszer védelmét biztosító technikai intézkedés kijátszása, illetve: VIII.6.6. Btk. 386. § védelmet biztosító műszaki intézkedés kijátszása.)
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
