Jump to content


Security/privacy news


EraserheadX

Recommended Posts

  • 1 month later...

Πόσο δύσκολο είναι να βρει κάποιος τους ιδιωτικούς λογαριασμούς σε Instagram και Twitter του Διευθυντή του FBI:

https://gizmodo.com/this-is-almost-certainly-james-comey-s-twitter-account-1793843641

Έγινε επεξεργασία από acct
  • Like 1
Link to comment
Share on other sites

  • 4 months later...

Στην Τουρκία, που παραμένει με το ένα πόδι στην Ευρώπη, μπορείτε να βρεθείτε κρατούμενοι εάν δίνετε οδηγίες διασφάλισης της ιδιωτικότητας και προστασίας ηλεκτρονικών επικοινωνιών:

https://arstechnica.co.uk/tech-policy/2017/08/upvote-turkish-regime-jails-it-trainers-in-encryption-clampdown/

  • Like 2
Link to comment
Share on other sites

https://www.wired.com/story/malware-dna-hack

 

Quote

In new research they plan to present at the USENIX Security conference on Thursday, a group of researchers from the University of Washington has shown for the first time that it’s possible to encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer.

 

 

  • Like 1
Link to comment
Share on other sites

  • 3 weeks later...

Ίσως κάποιοι θυμούνται μία ευπάθεια που είχε ανακοινωθεί φέτος για την Intel Management Engine (που μέχρι πρότινος ήταν υποχρεωτικά ενεργοποιημένη). Πλέον μπορούμε να την απενεργοποιήσουμε, εν μέρει χάρη στην NSA:

https://www.bleepingcomputer.com/news/hardware/researchers-find-a-way-to-disable-much-hated-intel-me-component-courtesy-of-the-nsa/

  • Like 2
Link to comment
Share on other sites

  • 2 weeks later...

Πιθανόν η χειρότερη διαρροή προσωπικών δεδομένων στην άλλη όχθη του Ατλαντικού:

https://arstechnica.com/information-technology/2017/09/why-the-equifax-breach-is-very-possibly-the-worst-leak-of-personal-info-ever/

143 εκατομμύρια χρήστες με ονοματεπώνυμα, ημερομηνίες γέννησης, διευθύνσεις, αριθμούς πιστωτικών καρτών, αριθμούς ασφάλισης, ...

  • Like 1
Link to comment
Share on other sites

Σημαντική ευπάθεια στο bluetooth που επηρεάζει πρακτικά όλα τα λειτουργικά και δεν απαιτεί ενέργεια του θύματος, εφόσον έχει ανοιχτό bluetooth:

https://www.theverge.com/2017/9/12/16294904/bluetooth-hack-exploit-android-linux-blueborne

Μόνο οι τελευταίες και πλήρως ενημερωμένες εκδόσεις Windows, Android, Linux και IOS δεν είναι ευπαθείς.

 

Για linux βρίσκω χθεσινό patch, αλλά σε αυτούς ανακοινώθηκε 4 μήνες αργότερα από τους υπόλοιπους...

Έγινε επεξεργασία από minast
typo
  • Like 1
Link to comment
Share on other sites

Triple post ftw :)

 

Μια και τρώω τον χώρο, τα τελευταία νέα για την επίθεση στην Equifax λένε (όπως αναμενόταν) ότι κατ' εξοχήν βασίστηκε στην τρύπα του Apache Struts που είχε κλείσει πριν λίγους μήνες, αν και πολλοί αναφέρουν κι άλλες τραγικές ελλείψεις όπως username/pass: admin/admin σε ένα site τους στην Αργεντινή...

 

Το επόμενο νέο είναι λίγο πιο περιορισμένου ενδιαφέροντος, μια και αναφέρεται σε συγκεκριμένο Wordpress plugin. Έχει ενδιαφέρον όμως το ξεσκέπασμα (καθώς φαίνεται) του ανθρώπου που είναι πίσω από την αγορά και αλλαγή δημοφιλών plugins ώστε να τα φορτώνει με malware:

https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-200-000-installations/

και το ψάξιμο του ενόχου:

https://www.wordfence.com/blog/2017/09/man-behind-plugin-spam-mason-soiza/

 

 

Link to comment
Share on other sites

  • 2 weeks later...

In spectacular fail, Adobe security team posts private PGP key on blog

 

Quote

Having some transparency about security problems with software is great, but Adobe's Product Security Incident Response Team (PSIRT) took that transparency a little too far today when a member of the team posted the PGP keys for PSIRT's e-mail account—both the public and the private keys. The keys have since been taken down, and a new public key has been posted in its stead.

 

public_key.png

 

:p

  • Like 1
Link to comment
Share on other sites

Deloitte hit by cyber-attack revealing clients’ secret emails

 

Quote

The hacker compromised the firm’s global email server through an “administrator’s account” that, in theory, gave them privileged, unrestricted “access to all areas”. In addition to emails, the hackers had potential access to usernames, passwords, IP addresses, architectural diagrams for businesses and health information. Some emails had attachments with sensitive security and design details. [...] In 2012, Deloitte, which has offices all over the world, was ranked the best cybersecurity consultant in the world.

 

  • Like 2
Link to comment
Share on other sites

Νεότερα από την Avast για την πρόσφατη προσβολή του CCleaner με malware.

https://blog.avast.com/additional-information-regarding-the-recent-ccleaner-apt-security-incident

 

Δίνουν ιδιαίτερη έμφαση στους υπολογιστές που προσβλήθηκαν από το στοχευμένο δεύτερο πακέτο επίθεσης, που ανέρχονται στους 40, όλοι από γνωστές εταιρείες τεχνολογίας. Επίσης κάνουν μια απόπειρα να ψηλαφίσουν πιθανές χώρες προέλευσης της ομάδας που ήταν υπεύθυνη για την επίθεση...

  • Like 2
Link to comment
Share on other sites

  • 3 weeks later...

Το κοίταγα νωρίτερα το πρωί και αναρωτιόμουν τι θα γίνει με όλα τα κινητά που έχουν σταματήσει να παίρνουν ενημερώσεις. :hmm:

 

Θα με αναγκάσουν να είμαι συνέχεια με VPN ή να αλλάξω κινητό, μου φαίνεται...

Link to comment
Share on other sites

  • 3 weeks later...

Flaw crippling millions of crypto keys is worse than first disclosed

 

Quote

A crippling flaw affecting millions—and possibly hundreds of millions—of encryption keys used in some of the highest-stakes security settings is considerably easier to exploit than originally reported, cryptographers declared over the weekend.

 

The critical weakness allows attackers to calculate the private portion of any vulnerable key using nothing more than the corresponding public portion.

 

When researchers first disclosed the flaw three weeks ago, they estimated it would cost an attacker renting time on a commercial cloud service an average of $38 and 25 minutes to break a vulnerable 1024-bit key and $20,000 and nine days for a 2048-bit key.

 

In an e-mail, Dan Cvrcek, CEO of Enigma Bridge, one of the outside organizations that helped in the original research, said he, too, believes much faster and less expensive attacks are possible. One way to improve the attack is to use fast graphics cards, which have the potential to shave the average cost of factorizing a vulnerable 2048-bit key to $2,000.

 

Έγινε επεξεργασία από acct
Τίτλος, απόσπασμα
  • Like 2
Link to comment
Share on other sites

  • 2 weeks later...

Μερικές πιο πρόσφατες πληροφορίες για τις ευπάθειες της Intel Management Engine:
http://www.zdnet.com/article/intel-weve-found-severe-bugs-in-secretive-management-engine-affecting-millions/

Μεταξύ άλλων, τρέχει MINIX με IP stack και web server :).

  • Like 2
Link to comment
Share on other sites

  • 3 months later...

https://www.wired.com/story/github-ddos-memcached/

 

Akamai_graph.jpg

 

Quote

[...]1.35 terabits per second of traffic hit the developer platform GitHub all at once. [...] Known as an amplification attack, this type of DDoS has shown up before. But as internet service and infrastructure providers have seen memcached DDoS attacks ramp up over the last week or so, they've moved swiftly to implement defenses to block traffic coming from memcached servers.

 

  • Like 1
Link to comment
Share on other sites

Ας προσθέσουμε κάτι και στην κατρακύλα της κακοδιαχείρισης πιστοποιητικών ασφαλείας.

Μου λείπουν ακόμη αρκετές λεπτομέρειες στην υπόθεση, αλλά τα μέχρι τώρα:

 

H Trusticο (εταιρεία μεταπώλησης πιστοποιητικών, μεταξύ άλλων και της Symantec) ανέφερε στην DigiCert (εταιρεία έκδοσης πιστοποιητικών που ανέλαβε την υπηρεσία της Symantec) ότι πρέπει να αποσυρθούν ~50.000 πιστοποιητικά που είχαν εκδοθεί παλιότερα. Μετά έστειλε με email ιδιωτικά κλειδιά πελατών, τα οποία κανονικά δεν έπρεπε να έχει. Τέλος, ανακαλύφθηκε ότι το site της είχε πρόβλημα ασφαλείας στη διαδικασία έκδοσης πιστοποιητικών, το οποίο επέτρεπε την εκτέλεση κώδικα με δικαιώματα διαχειριστή.

https://arstechnica.com/information-technology/2018/03/23000-https-certificates-axed-after-ceo-e-mails-private-keys/

 

 

  • Like 3
Link to comment
Share on other sites

Όπως έγραψε κάποιος στο πρώτο σχόλιο, τα private keys δεν πρέπει να φεύγουν από το μηχάνημα που τα χρησιμοποιεί. Υπάρχει ο μηχανισμός να παραχθεί ένα csr από το private key για να υπογραφεί από τον ca και να έχουμε το public key. Τι στα κομμάτια σκέφτονταν...

Link to comment
Share on other sites

Έτσι για να δέσει το γλυκό σήμερα, στη Γερμανία ανακοινώθηκε ότι επί ένα χρόνο ήταν εγκατεστημένο malware στο κυβερνητικό intranet, μάλλον Ρωσικής προέλευσης.

http://www.dw.com/en/germany-admits-hackers-infiltrated-federal-ministries-russian-group-suspected/a-42775517

Θύματα ήταν σίγουρα τα Υπ. Εξωτερικών και Άμυνας.

  • Like 3
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.