Zo sveta IT bezpečnosti, 1/2020

Zo sveta IT bezpečnosti, 1/2020

Odber mesačného newslettra IT bezpečnosti nájdete v menu napravo. 

Geopolitické hry

Americkej brigáde výsadkárov nasadenej na blízky východ vedenie prikázalo používať na vládnych telefónoch šifrovacie aplikácie Signal a Wickr.

Citizen Lab publikoval výskum o tom ako sa stal novinár Ben Hubbard pracujúci pre New York Times terčom útoku s použitím malvéru Pegasus, ktorý vyvinula spoločnosť NSO Group. Telefón bol kompromitovaný pomocou SMS správy, ktorá obsahovala link na servery spájané so Saudskou Arábiou.

Ako ukazuje vyšetrovanie, telefón najbohatšieho muža na planéte, Jeffa Bezosa, bol hacknutý cez chybu v aplikácii WhatsApp, po tom čo mu bol poslaný súbor z účtu Saudského princa.

Research & Engineering

Univerzita Princeton spravila výskum v ktorom sa pokúsili zmeniť majiteľa SIM karty u mobilných operátorov v USA. U 5 rôznych operátorov, ako T-Mobile, AT&T či Verizon, uskutočnili po 10 pokusov a výsledky hovoria, že operátori používajú nedostatočné overovacie mechanizmy aby podvodu zabránili.

Pre kontajnerový orchestrátor Kubernetes bol tento mesiac ohlásený bug bounty program, kde dostanete zaplatené za nájdené zraniteľnosti.

Na kryptografickú hašovaciu funkciu SHA-1 bola publikovaná prvá kolízia s voliteľnou premennou a je teda možné pokladať SHA-1 za kompletne prelomenú.

Google uviedol OpenSK, open-source kľúče pre bezpečné prihlasovanie s podporou FIDO U2F a FIDO2.

Procesory od Intelu obsahujú ďalšiu zraniteľnosť s názvom CacheOut. Zneužitím zraniteľnosti je možné získavať z procesora citlivé informácie.

Tím Cisco Talos objavil dve kritické zraniteľnosti v populárnej knižnici OpenCV používanej na spracovanie obrazu.

Zločin a úniky informácií

Podľa uniknutých dokumentov dcérskej spoločnosti Jumpshot antivírusového giganta Avast, spoločnosť predáva tretím stranám citlivé údaje o svojich používateľov. Ide o kliknutia, návštevy webových stránok, lokácie na mapách, navštívené LinkedIn profily a iné.

Rok stará zraniteľnosť v SharePointe bola zneužitá na infikovanie 40 serverov Organizácie Spojených Národov. Útočníci kompromitovali citlivé záznamy zamestnancov OSN v Ženeve a Viedni, ako aj zmluvy s tretími stranami.

Chyba vo Facebooku sprístupnila verejnosti údaje o používateľských kontách, ktoré spravujú Facebook Pages. Ktokoľvek sa mohol dozvedieť, kto stojí za príspevkami v populárnych skupinách.

Ostatné

Indický parlament schválil zákon, ktorý navrhuje väzenské tresty pre vedúcich zamestnancov spoločností a obrovské pokuty pre spoločnosti, ktorým sa preukáže zneužívanie informácií, ktoré majú pod kontrolou. Pod zneužívaním rozumejú napríklad priraďovanie identifikačných údajom k anonymným zákazníckym dátam.

Microsoft zaplátal extrémne nebezpečnú zraniteľnosť v kryptografickej knižnici na všetkých systémoch Windows. Chyba sa týka kľúčov na báze eliptických kriviek a prejaví sa pri overovaní podpisu certifikátu, kedy kryptografická knižnica nevezme do úvahy, že digitálny podpis je vytvorený privátnym kľúčom odvodeným z iných parametrov krivky. Vyrobiť privátny kľúč, ktorý pasuje k známemu verejnému kľuču, no je na inej krivke, je pritom jednoduché.

Clearview AI je spoločnosť poskytujúca službu na rozpoznávanie ľudí, ktorá je opretá o databázu fotiek zo svetových sociálnych sietí. Služba dokáže v reálnom čase prideľovať tváram identity. NA spoločnosť sú napojené stovky vládnych agentúr.

Policajné zložky v Londýne začali používať nástroje na rozpoznávanie tváre a okamžité priradenie identity ľudí na uliciach.

Európska Únia zvažuje päť ročný zakáz na nasadzovanie technológií rozpoznávania tváre vo verejnom priestore. Zákaz má získať čas na vyriešenie bezpečnostných rizík spojených so zneužitím tejto technológie.

V oblasti Toronta v Kanada vláda počas cvičenia omylom poslala ľuďom v 10 kilometrovom rozsahu na telefóny výstražnú správu o jadrovej havárií miestnej elektrárne.

Spoločnosť Objective-See zmapovala škodlivé kódy, ktoré v roku 2019 napádali zariadenia Mac od spoločnosti Apple.

Ziskuchtivá firma si nechala patentovať šifrovaciu schému, ktorá je bežne známa a používaná pod názvom Signal protokol, no pridali k nej použitie post-kvantovej kryptografie.

Cisco zaplátalo bezpečnostnú zraniteľnosť vo Webexe, nástroji pre uskutočňovanie videohovorov.

Spoločnosť Mozilla publikovala bezpečnostné záplaty pre prehliadač Firefox, ktoré  opravujú aktívne zneužívanú zraniteľnosť CVE-2019-17026.

Microsoft oficiálne ukončil podporu pre operačný systém Microsoft Windows 7. Systém už nebude dostávať ani žiadne bezpečnostné aktualizácie.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *