felállítottak egy szakértői csoportot, akik egy automatikus rendszerre támaszkodva személyesen is ellenőrzik, hogy az alkalmazás megfelel-e a Google által támasztott követelményeknek. A Google ígérete szerint a fejlesztőknek az új rendszerben sem kell sokat várniuk, mert az ellenőrzés néhány óra alatt lezajlik.
Today, Facebook still relies on people to report a violation, and other people within Facebook to determine whether that piece of content truly does violate its guidelines. That’s because no amount of expertly crafted algorithms can substitute for human sensitivity and judgment. But with billions of pieces of content being created every day from all corners of the globe, no amount of rules can adequately address every little judgment call these human moderators are forced to make. And so, the guidelines will always be a work in progress, forever begging to be rewritten.
Közbeékelődéses támadásról van szó (man-in-the-middle): A kliens küld egy üzenetet, kéri a standard, erős RSA-chipert; A támadó megváltoztatja ezt az üzenetet: mintha az gyengített (export) RSA-t kérné; A szerver a gyenge, 512 bites kulcssal válaszol; A kliens elfogadja ezt a bug miatt; A támadó még pár lépésben visszafejti a kulcsot, már nem titkosított kapcsolatot lát, innentől pedig bármit beilleszthet a weboldalba, miközben a böngészőben azt látjuk, biztonságos a kapcsolat.
Michael Lewis könyve a nagyfrekvenciás kereskedőkről (high frequency traders, HFT-k), a Flash Boys bestseller lett tavaly, és sokak figyelmét felkeltette a robotizált tőzsdei kereskedelem iránt. A könyvben arról írt, hogy a kereskedők egy része milyen technológiai trükkökkel próbál jobb helyzetbe kerülni, például hogy a számítógépeit a tőzsdét irányító számítógépek közelébe viszi, hogy a gépek között az információ a lehető leggyorsabban áramoljon. Minden mikroszekundum számít, a gyorsabb adatösszeköttetések minimalizálják a kereskedéshez szükséges időt, a cégek pedig azért harcolnak, hogy az ő gépeik legyenek a legközelebb. Ez pénzbe kerül, a gyorsabb helyek bérlése kb. havi 10 ezer dollárba.
Közzétették a különféle szoftverekben és operációs rendszerekben talált sérülékenységek, biztonsági rések 2014-es összesített statisztikáját. Az előző évek stagnálása után tavaly hirtelen megugrott a felfedezett (és jó esetben befoltozott) lyukak száma a szoftverekben. 2010 és 2013 között 3500-4500 magasságában ingadozott ez a szám, tavaly pedig 7000 fölé emelkedett. Ez azt jelenti, hogy minden áldott nap átlagosan 19 új sérülékenységet fedeztek fel a biztonságtechnikai szakemberek és/vagy a hekkerek.
Ha a TAO hekkereit az NSA öklének neveztük, nehéz mit mondani a most felfedezett hekkercsoportra, aminek tagjai valószínűleg csak információik egy részét adták át az eddig csúcs-kiberfegyverként ismert kártevők fejlesztőinek. Az Equation Groupnak hívott csoport a merevlemezek rejtett részeibe épült be, önmegsemmisítőt használt, és legalább 2001 óta működött. Első támadásaikat még postán kicserélt cédével hajtották végre.
Ha van egy program, ami hatékony a terrortámadások megelőzésében, akkor azt a titkosszolgálatok használni akarják, mert nekik pont az a dolguk, hogy megelőzzék az ilyen támadásokat, és meg akarnak felelni ennek a feladatnak. Amíg a rendszer jó eredményeket produkál, addig a politikusok nem akarják piszkálni, hiszen addig őket sem piszkálják a választók terrortámadások miatt. Minden szereplő abban érdekelt, hogy a megfigyelés folytatódjon, és minél kiterjedtebb legyen. Ha még 100 millió embert lehallgatnak, abból nem lehet baj. Ha pont azt az egyet nem hallgatják le, akit kellene, abból nagy baj lehet. Minden kísérlet a megfigyelés korlátozására a hatékonyságot veszélyezteti, ezért a szereplők elutasítják.
a titkosítási kódok megszerzése pont olyan, mintha valaki ellopná egy irodaház mesterkulcsait, innentől kezdve az adatforgalom lehallgatása gyerekjáték volt a titkosszolgálatok számára. Ráadásul a kódok segítségével a bírói felhatalmazást is meg tudták kerülni a szolgálatok, hiszen az így elkövetett lehallgatás nem hagy semmilyen nyomot.
Why Are People Still Using SMS in 2015? thenextweb.com
Using SMS as an authentication method has been rising in popularity, as a user almost always has a mobile device on them at any given time. The cost of sending an SMS is also very low, while its ease over voice call for 2FA makes SMS more ideal for today’s fast-paced society. Companies using SMS as a step in two-factor authentication (if activated) include Google, Apple, Facebook, Twitter, Dropbox, PayPal and LinkedIn. Today, SMS may be viewed as antiquated technology – but the reality is it that SMS plays a key role in connecting most modern technologies. From its high user engagement rate and 2FA benefits, to its disruption in the A2P sector, we won’t see SMS disappear anytime soon.
Az elmúlt időszakban jelentősen megnövekedett a közösségi oldalakat kihasználó átverések és csalások száma. A legutóbbi, február elején elterjedt piros karikás tartalmat ígérő videóra való kattintáskor például a lejátszónk frissítését kérik egy felugró figyelmeztetésben, de aki rákattint, a frissítés helyett egyből egy kártékony programmal fertőzi meg a gépét és Facebook profilját. A legtöbb ilyen típusú átverés kis odafigyeléssel megelőzhető, így az ezek okozta kellemetlenségek minimalizálhatók. Sok esetben csak különböző spam-oldalak próbálják ezek segítségével begyűjteni a felhasználók e-mail címét, de egyre gyakrabban már a számítógépeket is veszélyeztető kártékony, úgynevezett trójai programok is terjednek ilyen úton.
A 2013 óta tartó akcióban harminc ország több mint száz bankjának rendszerébe jutottak be kifinomult módszerekkel, és 300 millió dollárt, aktuális árfolyamon számolva több mint nyolcvanmilliárd forintot zsákmányoltak. Orosz, japán, amerikai és európai pénzintézetek is voltak köztük, a célpontok listáját eddig nem tették közzé. Az érintett bankok sem verték nagydobra a hírt.
In late 2013, an A.T.M. in Kiev started dispensing cash at seemingly random times of day. No one had put in a card or touched a button. Cameras showed that the piles of money had been swept up by customers who appeared lucky to be there at the right moment. Kaspersky Lab was called to Ukraine to investigate, discovered that the errant machine was the least of the bank’s problems.The bank’s internal computers, used by employees, had been penetrated by malware that allowed cybercriminals to record their every move sending back video feeds and images that told a criminal group how the bank conducted its daily routines, according to the investigators. Then the group impersonated bank officers, not only turning on various cash machines, but also transferring millions of dollars from banks in Russia, Japan, Switzerland, the United States and the Netherlands into dummy accounts set up in other countries.
Laxman Muthiyah biztonsági kutató addig próbálkozott, amíg nem sikerült törölnie programozottan egy albumot a Facebookról. Több módszerrel kísérletezett, a Facebook API-ja (ezen keresztül férhetnek hozzá más programok az oldal bizonyos funkcióihoz) rendre visszadobálta azzal, hogy nincs jogosultsága ilyenre. Egészen addig, amíg meg nem próbálkozott mobilos lekérdezéssel: így már kis trükközéssel, sikerült törölnie a kiválasztott albumot. Aztán valaki másét is, nem kellett hozzá már semmi különösebb. Mivel a Facebook programozottan számozza be az új albumokat, írhatott volna olyan robotot, ami végigmegy rajtuk, és mindet törli. A programozó viszont inkább jelentette a Facebooknak a hibát, amit a cég nagyon gyorsan, két óra alatt javított. A hibajelentést 12500 dollárral (3,3 millió forint) jutalmazta az oldalt. A támadást rövid videóban is bemutatja a hekker.
A legutóbbi, február elején elterjedt piros karikás tartalmat ígérő videóra való kattintáskor például a lejátszónk frissítését kérik egy felugró figyelmeztetésben, de aki rákattint, a frissítés helyett egyből egy kártékony programmal fertőzi meg a gépét és Facebook profilját. Ez automatikusan újra posztolja a bejegyzést, így biztosítva a program terjedését. Pár nap alatt több mint százezer felhasználót sikerült átverni
Az IBM felhőalapú Identity Mixer technológiájának célja, hogy a felhasználók személyes adatai az online szolgáltatások használatakor ne kerüljenek illetéktelen kezekbe. A hiteles adatokat ennek érdekében a rendszer titkosítja, lehetővé téve, hogy az ügyfél mindig csak annyit osszon meg magáról egy harmadik féllel, amennyi feltétlenül szükséges. A probléma mind nagyobb súlyát jelzi, hogy a comScore adatai szerint egy átlagos felhasználó havi 25 órát tölt az internet előtt, és ez alatt tucatnyi olyan online szolgáltatással találkozik, amelyhez személyes felhasználói fiókot kell létrehoznia, vagyis különböző adatokat kell megadnia.
A Biztonságosabb Internet Napján viszont külön említsük meg, hogy fontos és izgalmas problémákról van szó: az egyik rokon már megint benyalt egy Facebook-vírust, és ez percenként osztja a pornót a hírfalunkra, torz lelkű bűnözők pécézték ki a gyermekeinket, és megpróbálják félrevezetni vagy zaklatni őket.
A módszer a szokásos: az adattolvajok emailjében található link egy olyan oldalra vezet, amely nagyon hasonlít a bank Netbankár nevű online banki felületéhez, de valójában a banktól teljesen független adathalász oldalról van szó. Ezzel próbálták rávenni a felhasználókat, hogy megadják nekik a bejelentkezéshez szükséges adataikat.
Mondhatná persze a békésebb felhasználó, hogy ugyan kit érdekel, ha elolvassák az üzeneteit? Hiszen aki nem trükközik, annak nincs mitől félnie. Egyrészt persze ez sem ilyen egyszerű, de a dolog akkor is problémás, ha most félretesszük a magánszféra önmagáért való jelentőségét. A Cameron által javasolt hátsó ajtókon nem csak a „jófiúk” közlekedhetnének ki-be, ugyanezzel a lendülettel hekkerek, korrupt rendőrök, adathalászok is kihasználhatnák ezeket a szándékosan beépített biztonsági réseket. Így végső soron éppen az állami tűzfal tenné sebezhetővé a felhasználókat, akár egy erős falú vár, amelynek a pincéjében nyitva felejtették az utcára nyíló kiskaput. Ráadásul ez még csak a probléma első része, ugyanis ahogy Cory Doctorow sci-fi író, a digitális jogok élharcosa felhívja rá a figyelmet, a bonyodalmak ott kezdődnek, hogy rengeteg titkosító és védelmi program nyílt forráskódú, ingyenes és gyakorlatilag bárhonnan hozzáférhető, nem csak a legnagyobb szerverekről szerezhető be. Az ilyen szabad szoftverek fejlesztőit befolyás alá bírni pedig szinte lehetetlen.
Internet és biztonság-előadási anyag - Safer Internet saferinternet.hu
Az anyag célja, hogy minden iskola, nevelési és művelődési illetve egyéb intézmény számára elérhetővé tegyen egy, a biztonságos internetezés alapszabályait bemutató előadást. Annak érdekében, hogy a témában esetleg kevéssé járatos pedagógusok, könyvtárosok, intézményvezetők stb. is minden további nélkül megtarthassák az előadást, közrebocsátjuk ezt a segédletet is, mely az előadás egyes diáihoz tartalmaz rövid magyarázatokat, megjegyzéseket.
angolszász országok: az USA, Nagy-Britannia, Kanada, Ausztrália és Új-Zéland - digitális kémei már nem csupán az online kommunikációt szeretnék ellenőrizni. Internetes csatákat terveznek, hogy megbéníthassák a számítógépes hálózatokat és az általuk vezérelt rendszereket (áram- és vízellátás, gyárak, repülőterek, pénzintézetek stb.). Ezek derültek ki a SPIEGEL által közölt dokumentumokból, amiket Edward Snowden gyűjtött össze korábban. A digitális fegyverekkel az a legnagyobb probléma, hogy semmilyen nemzetközi konvenció nem vonatkozik rájuk, így pusztán az az elv érvényesül, hogy egy konfliktusban az erősebb fél győz. Az elmúlt években az USA hadserege, légiereje, haditengerészete és tengerészgyalogsága egyaránt létrehozta a saját kiberegységeit, de a vezető szerepet ezen a területen már régóta az NSA tölti be. Nem véletlenül lett az NSA igazgatója egyben az amerikai fegyveres erők kiberparancsnokságának vezetője is.
A New York Times szerint az amerikai Nemzetbiztonsági Ügynökség (NSA) már 2010-ben betört az észak-koreai számítógépes hálózatokba; az így szerzett bizonyítékok győzték meg az Obama-kormányt arról, hogy Észak-Korea áll a Sony Pictures filmstúdió elleni támadás mögött.
Kérdés persze, hogy a Snowden-ügyből kiindulva mondjuk az NSA kéréseivel mi a helyzet. Ahogy egy volt dolgozó szerint Szaúd-Arábiával is szívesen együtt dolgozott volna a cég, ha arról van szó. CIA-s kötődéssel, nemzetbiztonsági ügyfelekkel és ekkora tőkével nem csoda, hogy néhányan inkább a magánélet végét látják a cégben. Egyelőre a wikileakses incidensen kívül nem keveredtek nagyobb botrányba, és valószínűleg a mostani néhány dokumentum sem rengeti meg őket, de az egész sztori mégis nagyon hasonlít arra, ahogy az NSA működött, és ahogy sosem kellett volna működnie.
A nyomozók gyanúja szerint a Sony Pictures rendszerét az észak-koreai kormány által támogatott hackercsoport, a Unit 121 törte fel bosszúból a Phenjant sértő filmért. A kalózokat korábban dél-koreai célpontok elleni támadásokkal hozták kapcsolatba. Az Egyesült Államok ritkán tesz felelőssé nyíltan más országokat amerikai célpontok elleni akciókért. Amennyiben Washington mégis nyilvánosan megvádolná Észak-Koreát, tisztségviselők szerint valamiféleképpen válaszolnia kellene a támadásra, de egyelőre kérdéses, mit léphet az ügyben az ország. Hiszen a phenjani rezsimet már így is büntetőintézkedések sújtják, és az ország teljesen elszigetelt.
így vagy úgy, a Guardians of Peace elérte azt, hogy Az interjú tiltólistára kerüljön, miközben az azt gyártó céget is sikerült a totális összezuhanás szélére taszítani, a dolgozóik minden adatát kiteregetni és a személyi épségüket is veszélyeztetni (többen már tömeges pert terveznek a Sony ellen éppen emiatt).
Incident Aware (kormányzat): ez már tényleg a Különvélemény, vagy a Robotzsaru. A program bűnmegelőzési eszközt farag az iPhone-ból, amin keresztül a rendőrök hozzáférést kapnak az incidenshez kapcsolódó térképekhez és a környéken működő biztonsági kamerák képéhez, hozzájutnak az áldozatokkal kapcsolatos információkhoz, de ennél is durvább, hogy a program képes lesz majd elemezni, hogy mekkora az esélye az eszkalációnak, mivel képes valós időben, a helyzethez igazítva elemezni a bűnelkövetési előtörténeteket.
Sony Reportedly Attempting to Stop Downloads of Stolen Data thenextweb.com
new leaks of Sony’s confidential internal documents have been appearing daily, while the company works with the FBI in an attempt to pin down who the attacker is. Recode reports today that Sony has begun deploying methods to stop or slow down users who attempt to download its documents using peer-to-peer technology. According to the report, Sony is deploying fake “seeds” — instances of shared files — which overwhelm user’s torrent applications with fake traffic. Recode notes that this same method was used many years ago to attempt to block movie downloads. The method is basically a Distributed Denial of Service against those who attempt to download the files, which ultimately slows the download or even brings it to a halt.
az FBI már kiadott egy bizalmas, a vállalatoknak szánt közleményt. Ebben arra figyelmeztetik az amerikai cégeket és szervezeteket, hogy egy támadássorozat zajlik, és ehhez egy rosszindulatú programot (malware) használnak. Azt nem írják, hogy eddig hány vállalatot érinthettek a támadások, és azt sem tudni, hogy a Sony elleni akciót is ezzel a malware-rel hajtották-e végre, de a biztonsági szakértők szerint a leírás egyértelműen erre utal.
Az üzemeltetők elmélete szerint azért küldtek hatalmas forgalmat az oldalra, hogy felfedjék a Tor mögé rejtett szerverek valódi helyét: a szervek beállítottak saját Tor-szervereket, ezeken elvileg nem láthatják, milyen forgalom és hova halad át, ha viszont elég sok kapcsolatot indítottak ugyanabba az irányba egyszerre, a nagy számoknak köszönhetően megfigyelhették, hova csatlakoznak a támadó gépek. Egyelőre más források még nem erősítették meg ezt az elméletet, de ha igaz, az nemcsak a most elfogott drogkereskedőknek rossz, hanem azoknak a besúgóknak, politikai aktivistáknak, újságíróknak, akik inkognitóban próbálnak működni.
A study by the non-profit Digital Citizens Alliance in September found that the six most popular Tor-based markets by total product listings were Silk Road 2, Agora, Evolution, Pandora, Andromeda, and BlueSky. Operation Onymous captured fully half of those top sites. But Agora, Evolution and Andromeda remain online and will likely absorb many of the refugee buyers and sellers from the law enforcement busts.
Túlzás lenne azt állítani, hogy a Google az amerikai hírszerzés félhivatalos alosztályaként működik, de az teljesen nyilvánvaló, hogy személyes, szervezeti és pénzügyi vonalon nyakig benne van a buliban, és a törvényben előírtakat túlteljesítve ápolja a viszonyt a különböző hírszerző és állambiztonsági szervezetekkel. Mi lenne, ha mindehhez még gonosz is lenne? Nagy szerencse, hogy nem az.
How Congress supports the NSA by doing nothing dailydot.com
In May, the House of Representatives passed a “reform” bill so full of holes and weak transparency provisions that it reads as an endorsement of NSA surveillance. Any hope for real reform lies with the Senate’s USA Freedom Act. The bill’s measures—a long way from perfect—are aimed at ending the domestic bulk surveillance program and empowering special privacy and civil liberties advocates to appear before the FISC. As of today, the bill still hasn’t made it out of the Senate Judiciary Committee.
A támadók a klasszikus trükköt, a phishinget használták. Ilyenkor egy levelet küldenek a felhasználónak, ami pont úgy néz ki, mintha hivatalos banki értesítő lenne. A levélben van egy link, amire rákattintva az OTP honlapjára jutunk – pontosabban egy, arra a megszólalásig hasonló oldalra. Bár nem tudunk rajta felhasználónevet és jelszót változtatni, ahogy a levélben kérik, ha a hamis oldalon megadjuk az adatainkat, az a hekkerek kezébe kerül. Az OTP közölte, hogy a levél hamis, nem tőlük származik; ők eddig sem és ezután sem fognak emailben ügyféladatokat kérni. Az ügyfeleket figyelmeztették, hogy aki ilyen levelet kap, ne kattintson a linkre, de főleg ne adja meg az adatait.
The story that this movie tells is incredibly complex. Hundreds of thousands of highly technical documents leaked by a highly capable man are only one part of the story. There’s the entire context of the burgeoning surveillance state of post-9/11 America, a knotted topic that must be understood to firmly grasp Snowden’s importance. And finally—perhaps most importantly—the audience must understand why privacy should personally matter to them.
Nincsenek megjegyzések:
Megjegyzés küldése