collaboration
9.8K views | +0 today
Your new post is loading...
Your new post is loading...
Scooped by Pál Kerékfy
Scoop.it!

Lépre csalnak?

Lépre csalnak? | collaboration | Scoop.it
Managing machine identities is looming as the next big security challenge, a study reveals, with few organisations capable of protecting them as they increasingly form the basis of online communications.

The majority of global IT decision makers believe protecting machine identities is as important to security as protecting human identities – and potentially even more important, a survey shows.

Pál Kerékfy's insight:

Már nem a jövő zenéje, hanem itt történik a szemünk előtt: gépek kommunikálnak egymással - sőt olyasmik is, amik nem számítógépek (pl.: gyártó gépek, liftek, autók, ajtózárak, termosztátok). Ezekben nincs kellő alapossággal megtervezett szoftver, és elég könnyű lépre csalni őket.

Ez a cikk arról a problémáról ír, hogy a gépek személyazonosságát nehéz ellenőrizni. Elsősorban a számítógépekre és azok komponenseire van kihegyezve a cikk, de ez csak a jéghegy csúcsa!

Még nem is igazán indult be a dolgok internete (IoT), de már most is ott tartanak a cégek, hogy nem tudják követni, nem tudják ellenőrizni azoknak az eszközöknek az identitását, amikkel kommunikálnak, amiknek hisznek a saját eszközeik.

#IoT #security #identitymanagement #machineidentity #Forrester #Venafi @forrester @Venafi #IAM

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Hosszú hétvége = kirámoljuk a bankot?

Hosszú hétvége = kirámoljuk a bankot? | collaboration | Scoop.it

Organized cybercrime gangs that coordinate unlimited attacks typically do so by hacking or phishing their way into a bank or payment card processor. Just prior to executing on ATM cashouts, the intruders will remove many fraud controls at the financial institution, such as maximum ATM withdrawal amounts and any limits on the number of customer ATM transactions daily.

Pál Kerékfy's insight:

Ez nagyon emlékeztet a “Carbanak” vagy “Anunak”néven ismert támadásra, amiben 1 milliárd dollárt rámoltak ki bankokból 30 országban. Az akkor kihasznált sérülékenységek és hibák mind kijavíthatók és elkerülhetők lettek volna – de valamiért még a könnyen és olcsón kezelhetők is megmaradtak.

 

A támadás egyik lényeges eleme az volt, hogy nem nem ügyfelek pénzét vitték el. Hamis számlaegyenlegeket hoztak létre, és azokat csapolták meg.

 

Most azt írja az FBI, hogy várható egy hasonló támadásssorozat: világszerte támadnak meg bankokat közel egy időben. A támadás tipikusan a pénteki zárás után indul, és hétfőn (hosszú hétvége esetén kedden) ér véget, így kisebb eséllyel veszik időben észre. (A csapos közbeszól: Hogy a bánatban van az, hogy a banki biztonság hétvégén takarékon jár?!?)

 

A cikk végén ott vannak az FBI tanácsai. Csupa olyan, aminek már tíz-húsz éve is magától értetődőnek kellett volna lennie. Lassan tanulnak a bankok (is). (Ismét a csapos: Hogy a csodában mennek át évente az auditon ezek a bankok?!?)

 

#Carbanak #Anunak #FBI #bank #ATM #fraud #cashout @briankrebs @FBI #security #cyber

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Nemzetbiztonság vs. bűnügy

Nemzetbiztonság vs. bűnügy | collaboration | Scoop.it
An OIG report said the FBI had a 90% complete San Bernardino iPhone unlock method when the agency took Apple to court, but no one testifying for the FBI knew at the time.

A new government report claims poor communication was to blame for the FBI's court case being filed against Apple despite a San Bernardino iPhone unlock method being almost ready at the time.

Pál Kerékfy's insight:

Emlékszünk, ugye, hogy a 2015. decemberi San Bernardino-i tömeggyilkosság után az FBI nem tudta feltörni az elkövető telefonját? Az Apple nem volt hajlandó kifejleszteni a szükséges eszközt, ezért beperelte az FBI. Nem sokkal később kiderült, hogy meglett a megoldás, egy cég elvégezte a fejlesztést.

Az FBI belső vizsgálata most azt állapította meg, hogy az igazgató nem hazudott, amikor azt mondta a bíróságon, hogy nem tudják feltörni a telefont. Ő még nem tudta március 1-jén, hogy három hét múlva a fejlesztő már demózni fogja a szoftvert. Azt sem tudta, hogy az FBI nemzetbiztonsági részlege (Remote Operations Unit, ROU) megbízást adott erre a munkára, és már 90%-os készültségi szintről tudott.

Miért nem tudta ezt az igazgató? Egyszerű a választ, nem kérdezte meg a ROU vezetőjét. Az meg nem jelentkezett, hogy nem kell bíróságra menni, mindjárt meglesz az eszköz. Miért nem szólt a főnöknek? Idézek: “ROU's classified techniques could not be used in criminal cases”. A titkos nemzetbiztonsági eszközöket nem használhatták bűnügyekben.

Ebben nincs semmi különös, így működnek a titkosszolgálatok. Nem avatkoznak bele egyszerű bűncselekmények nyomozásába, mert akkor kiderülnének az eszközeik, módszereik, forrásaik, amik ettől kezdve értéktelenné válnak - hiszen az ellenség megismeri őket.

Azért mégsem ennyire egyszerű az eset. A vizsgálat szerint feltehető, hogy a titkosítással foglalkozó részleg (Cryptographic and Electronic Analysis Unit) vezetője az esettől függetlenül is akart szerezni egy példa értékű bírósági ítéletet, ami a fejlesztőket együttműködésre kényszeríti.

#FBI #Apple #encryption #security #CEAU #ROU #iPhone

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Így lesz olcsón a buta kocsiból okosautó

Így lesz olcsón a buta kocsiból okosautó | collaboration | Scoop.it
Olcsó, de minőségi kínai kütyükkel a végtelenségig lehet pimpelni az autókat.

 

Android 4.4 fut, hogy széleskörűen felhasználható legyen a gyári “okosakkal” szemben. A rendszer ugyan régi, de mivel egy autóban van, mindegy, mi fut rajta, ha normálisan fut.

Pál Kerékfy's insight:

Valóban mindent fog tudni az így felokosított autó. Talán olyasmit is, amit nem tervezett a tulaj…

 

Éppen a napokban került nyilvánosságra az a támadási lehetőség, ami ellen nincs (és a közeljövőben sem lesz) védekezés. A CAN (az autókban mindent összekötő busz) szabványban rögzített hibája teszi lehetővé a támadást. Ha egy internetre kötött 4.4-es Androidot futtató rendszert kötünk rá, akkor sokat segítünk a potenciális támadónak. További részletek:

http://www.scoop.it/t/cio-by-pal-kerekfy/p/4083417272/2017/08/23/researchers-find-potentially-lethal-car-hack-with-no-quick-fix

 

#okosautó #Ownice #OL-8992T #CAN #ISO11898 #security #Android #smartcar 

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Attackers have no need of zero-days, breach data shows

Attackers have no need of zero-days, breach data shows | collaboration | Scoop.it

Cyber attackers do not have to use previously unseen or extremely sophisticated attacks to bypass defences, analysis of publicly reported breaches in the past year reveals. 

Cyber defenders need to do a better job when it comes to basic security hygiene because most breaches are due to the fact that something that should have been part of a definable, repeatable process was not done.

Pál Kerékfy's insight:

Már évek óta aggódunk a "zero day" támadások miatt (Ezek olyan hibát használnak ki a rendszerekben, ami épp ma vált ismertté, és még nincs ellene specifikus védelem.) Annyira aggódunk, hogy főleg ezektől félünk, és közben az évek óta ismert sérülékenységekkel (hibákkal) nem foglalkozunk, és nem fordítunk figyelmet a gyorsan, egyszerűen és olcsón megtehető javításokra. Ez hasonlít ahhoz, amikor az életmódunkra nem figyelünk, hanem a betegségeket próbáljuk vegyszerekkel meggyógyítani. A jól kialakított napi rutin az ember és az IT esetében is az egészség első és legfontosabb elősegítője.

Ezt látja ez egyik problémának a szerző: "they have moved away from that as they have been caught up in all the new exciting technologies, and the tendency to focus on innovation, without having the necessary resources to do that and keep the basics going at the same time"

Ennek az lesz az eredmény, hogy évtizedes támadási módszerek is működnek. Ne felejtsük el azt se, hogy sokszor épp ezek a régen létező lyukak segítenek bejuttatni az újabb, rafináltabb károkozókat. Szóval: vissza az alapokhoz!

#ComputerWeekly #Akamai #cybersecurity #security #zero-day #SQL #patching

@computerweekly @Akamai

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

MobileIron adding IoT management to its arsenal

MobileIron adding IoT management to its arsenal | collaboration | Scoop.it

Where it gets tricky is around authentication because instead of a human logging onto a device, it’s a machine talking to a machine, and often moving critical data in the process. MobileIron is using a certification system to work around this passwordless data handoff from device to device.

Pál Kerékfy's insight:

Ahogy egyre több és egyre többféle cucc kapcsolódik a világhálóhoz, nem csak elméletben, hanem a konkrét, napi eseményekben is gondot jelent az azonosítás. Honnan tudjuk, hogy tényleg a jogos távirányító indítja el az eseményeket, tényleg azt az inzulinpumpát kapcsokjuk be, amelyiket kell? Sok ilyen kérdést lehet feltenni.
A mobil eszközök területén szerzett tapasztalatát ülteti át a MobileIron ezeknek a kütyüknek a területére. Érdekel, mire jutnak! A hír szerint idén már termék is lesz...

#IoT #MobileIron #security #authentication

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Ötszemközt: Kérjük, adjanak lehetőséget a titkosított anyagok elolvasására!

Ötszemközt: Kérjük, adjanak lehetőséget a titkosított anyagok elolvasására! | collaboration | Scoop.it

In the "Statement of Principles on Access to Evidence and Encryption," Five Eyes claimed "encryption is vital" to economies and for protecting information, but added that these protections are also being abused by "child sex offenders, terrorists and organized crime groups to frustrate investigations and avoid detection and prosecution."

"Privacy laws must prevent arbitrary or unlawful interference, but privacy is not absolute," the Five Eyes partners wrote. "It is an established principle that appropriate government authorities should be able to seek access to otherwise private information when a court or independent authority has authorized such access based on established legal standards."

"Governments should not favor a particular technology; instead, providers may create customized solutions, tailored to their individual system architectures that are capable of meeting lawful access requirements."

Pál Kerékfy's insight:

Azt kéri a Five Eyes 5 országa (Amerikai Egyesült Államok, Egyesült Királyság, Ausztrália, Kanada és Új-Zéland), hogy a gyártók önként adjanak lehetőséget a törvényes hozzáférésre a titkosított adatokhoz.

Nem szólnak konkrét technológiáról, sőt, ki is emelik, hogy nem akarnak ilyet előírni, hanem rábízzák a gyártókra a megoldást.

Mi van, ha nem? Akkor jönnek majd szigorú törvények!

Nehéz kérdés ez… Nyilván nem akarhatjuk, hogy semmibe vehessék a bűnözők a törvényeket – tehát módot kell találni a titkos anyagaik elolvasására.

Mi a baj ezzel? Ha teljesen megbízom az államban, hogy nem fog jogtalanul kutakodni, akkor is maradnak komoly aggályaim. Az egyik: a jogértelmezés, ami időnként tud nagyon “rugalmas” lenni. A másik: a legnagyobb titkosszolgálatoktól is ki szoktak szivárogni információk és eszközök. Ha nekik van kulcsuk, akkor előbb-utóbb másoknak is lesz. Ebből a szempontból tetszik, hogy a gyártóra bízzák a megoldást. Ha más és más módszert választanak, kevesebb kárt okoz a kiszivárgott bejutási módszer.

Jó megoldás nincs…

#FiveEyes #Australia #UK #USA #NewZealand #Canada #backdoor #security #encryption

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Hiányzik a bizalom Alexa iránt

Hiányzik a bizalom Alexa iránt | collaboration | Scoop.it

In Q1 2018, only 3 in 10 smart speaker owners have ever placed an order using the device. The reasons for this are manifold, but security concerns are the biggest inhibitor to broader adoption of smart speaker shopping. Interestingly, this seems to be where smart speaker owners, apparently unconcerned with placing a listening device in their home, draw the line.

Pál Kerékfy's insight:

Valóban érdekes, hogy egy állandóan fülelő (és internetre kötött) eszköz nyugodtan élhet a lakásunkban, akár minden szobában, de az online vásárlást már nem merjük rábízni.

 

Mi lehet emögött? Talán nem gondoljuk át alaposan a helyzetet?

 

#Amazon #Echo #Alexa #security #privacy #shopping

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Human-machine teaming key to cyber defence, says Intel Security

Intel Security is working with a select group of customers on developing systems to enable human-machine teaming to get the best of both worlds in applying cyber threat intelligence.

 

We are working towards a world where you can get the best of what both humans and machines have to offer for outcomes that will yield security that is as dynamic, resilient and elastic as the cloud infrastructure everyone has.

Pál Kerékfy's insight:

A McAfee is azon dolgozik, hogy ember és robot egymást kiegészítő jó kolléga legyen. Ők az internetes támadások elleni védekezésben akarnak így eredményeket elérni.

 

Nincsenek egyedül, már bejelentkezett az IBM is a Watsonnal.

http://www.scoop.it/t/cio-by-pal-kerekfy/p/4083280572/2017/08/21/bringing-the-power-of-watson-and-cognitive-computing-to-the-security-operations-center-soc

 

#Intel #McAfee #cyber #security #IoT #AI #robot

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Prepare To Be Terrified -- Watch A Hacked Robot Stab A Tomato With A Screwdriver

Prepare To Be Terrified -- Watch A Hacked Robot Stab A Tomato With A Screwdriver | collaboration | Scoop.it
Hackers can turn home assistants into killer robots, researchers warn.

If Elon Musk is scared of a murderous robot uprising, maybe everyone else should at least ponder our possible mechanized apocalypse. To get everyone in the spirit, researchers from cybersecurity consultancy IOActive have hacked a home assistance robot to turn it from a friendly Jarvis into a psychopathic Chucky.

Pál Kerékfy's insight:

Amit ebben a videóban látunk, csak “játék” - semmi köze ahhoz a robotháborúhoz, amit Elon Musk és több más nagyvállalati vezető tragikus lehetőségként vizionál.

http://www.scoop.it/t/collaboration-by-pal-kerekfy/p/4083419920%2F2017/08/25/company-founders-demand-un-action-on-killer-robots-campaign-to-stop-killer-robots

 

Több lyuk is van a helyes kis robot szoftverében, pl.: nem ellenőrzi a letöltött szoftvert, titkosítás nélkül tárol jelszót (QR kódban).

 

A fejlesztő válasza: “UBTECH encourages its developer community to code responsibly and discourages inappropriate robot behavior.” (Vagyis: ne írjunk ilyen programot!)

 

#robot #hack #Forbes @Forbes @OfficialElonMusk @IOActive @ubtechroboticscorp

No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Bridging the gap between innovation and regulation in IoT - IoT Agenda

Building security into embedded system hardware helps regulators lock down specific functions while allowing consumers to tweak other parts of their product.
Pál Kerékfy's insight:

Nem is tudom... A cikk arról szól, hogy létezik olyan megoldás, ami egyszerre biztonságos és rugalmas. Biztonságos lehetne az a sok-sok mindenféle, amik csak úgy ömlenek a nyakunkba, és közben jól használható és rugalmas. Mi lehet a gond? Talán túl drága lenne...?

#IoT #security 

No comment yet.