aug 24, 2024 | Blog
A Microsoft egy kiemelt biztonsági csúcstalálkozót tervez megrendezni 2024. szeptember 10-én, ahol kulcsfontosságú partnereivel és kormányzati képviselőkkel együtt keresik a válaszokat a technológiai válsághelyzetek megelőzésére. A közelmúltban történt CrowdStrike frissítés, amely ideiglenesen károsította több mint 8,5 millió Windows alapú számítógépet, rávilágított a sürgős intézkedések szükségességére.
Az esemény a Microsoft redmondi központjában kerül megrendezésre, ahol a Windows Endpoint Security Ecosystem Summit keretei között összegyűlnek az érintettek. Itt tárgyalják meg azokat a lépéseket, melyekkel közösen javíthatók a végfelhasználók biztonsága és az operációs rendszerek ellenálló képessége. A Microsoft az eseményen kormányzati tisztviselők jelenlétét is biztosítja.
A CrowdStrike júliusi frissítése után több iparág, köztük a légi közlekedés is komoly zavart szenvedett. A Microsoft ezért különösen érdekelt abban, hogy megelőzze az ilyen események ismétlődését, amelyek alááshatják a Windows operációs rendszerbe vetett bizalmat és jelentős jogi következményekkel terhelhetik a vállalatot.
A Microsoft a 2024 júliusi CrowdStrike-kiesésből származó tanulságokat kívánja alkalmazni, amelyeket az egész technológiai ökoszisztémában szükséges bevezetni. A cég szerint a szeptemberi találkozón megfogalmazásra kerülnek a rövid- és hosszú távú intézkedések, amelyek célja a rendszerek stabilitásának növelése. Ezek között szerepelhet a Windows operációs rendszer zártabbá tétele, hasonlóan az Apple macOS rendszeréhez, valamint a harmadik fél szoftvergyártóinak a Windows kernelhez való hozzáférésének korlátozása.
Ez utóbbi lépés különösen fontos, tekintettel arra, hogy a CrowdStrike hibás frissítése a kernel szintjén okozott problémákat. Az antivírus szoftverek kernel-szintű hozzáférésének korlátozása aggodalmat válthat ki a biztonsági szoftverek gyártói körében, hiszen ez korlátozhatja képességüket a rendszerben történő rosszindulatú változások korai észlelésére. Ez versenyjogi kérdéseket is felvethet.
A Microsoft a Financial Times-nak nyilatkozva kifejtette, hogy több opciót is mérlegel a rendszerek stabilitásának növelése érdekében, és nem zárja ki a kernelhez való hozzáférés teljes megtiltását. Emellett szóba került, hogy a harmadik fél biztonsági szolgáltatóit szigorúbb tesztelési eljárásoknak vessék alá, ezzel is növelve a rendszer általános biztonságát.
Forrás: www.pcmag.com
aug 21, 2024 | Blog
Új macOS malware-t azonosítottak, mely észak-koreai hackercsoportokhoz köthető. A TodoSwift nevű új macOS malware felfedezéséről számoltak be kiberbiztonsági kutatók, amely számos hasonlóságot mutat más Észak-Koreából származó, ismert malware-ekkel.
„Az alkalmazás több olyan dolgot is mutat, amelyet korábban Észak-Koreából (KNDK) származó malware-eknél láttunk – különösen a BlueNoroff hacker csoporttól ismert KANDYKORN és RustBucket esetében” – mondta Christopher Lopez, a Kandji biztonsági kutatója.
A RustBucket, amely először 2023 júliusában tűnt fel, egy AppleScript-alapú hátsó ajtót jelöl, amely képes parancs- és vezérlő (C2) szerverről további terheléseket beolvasni. Az előző év végén az Elastic Security Labs szintén felfedezett egy másik macOS malware-t, a KANDYKORN-t, amelyet egy nevesítetlen kriptovaluta-tőzsde blockchain mérnökeit célzó kibertámadás során vetettek be.
A KANDYKORN egy kifinomult, több lépésből álló támadási mechanizmus révén kerül telepítésre, amely lehetővé teszi az adatok elérését és kiszivárogtatását az áldozat számítógépéről. Emellett képes bármilyen folyamat leállítására és parancsok végrehajtására a célgépen. Ez a támadási módszer jól mutatja a KANDYKORN fejlettségét, és az általa jelentett komoly kiberbiztonsági fenyegetést.
A két malware-családot összekötő közös jellemző a linkpc[.]net domainek használata a C2 céljaira. Mind a RustBucket, mind a KANDYKORN a Lazarus csoport (és annak egyik al-csoportja, a BlueNoroff) munkájának tekinthető.
„A KNDK, mint a Lazarus csoporton keresztül, folyamatosan kriptoipari cégeket céloz meg azzal a szándékkal, hogy kriptovalutát lopjanak, ezzel is kijátszva a gazdasági növekedésüket és ambícióikat gátló nemzetközi szankciókat” – állapította meg az Elastic abban az időben.
„Ebben a behatolásban a blockchain mérnököket célzó, nyilvános csevegőszerveren keresztül csalták csapdába, kifejezetten a képességeikre és érdeklődési körükre szabott csalétekkel, anyagi nyereség ígéretével.”
A legfrissebb eredmények szerint a TodoSwift a TodoTasks nevű formában terjed, amely egy cseppentő komponenst tartalmaz. Ez a modul egy SwiftUI-ben írt GUI alkalmazás, amely egy fegyverzett PDF dokumentumot jelenít meg az áldozatnak, miközben titokban letölti és végrehajtja a második szakasz binárisát, egy olyan technikát, amelyet a RustBucket is alkalmaz.
A „csali” PDF egy ártalmatlan, Bitcoin-nal kapcsolatos dokumentum, amely a Google Drive-on található, míg a rosszindulatú terhelés egy színész által irányított domainről („buy2x[.]com”) származik. A bináris pontos részleteinek további vizsgálata folyamatban van.
„A Google Drive URL használata és a C2 URL átadása indítási argumentumként a második szakasz binárisához összhangban van az előző, macOS rendszereket érintő KNDK malware-ekkel” – mondta Lopez.
Forrás: www.thehackernews.com
aug 8, 2024 | Blog
Egy új kutatási projekt eredményei szerint jelentős biztonsági hiányosságok kerültek felfedezésre a világszerte elterjedt 5G alapállomásokban. A Pennsylvániai Állami Egyetem szakemberei a neves Black Hat kiberbiztonsági konferencián, amely Las Vegasban került megrendezésre, tették közzé a tanulmány eredményeit. A tanulmány részleteit egy tudományos publikációban is bemutatták. A kutatók a 5GBaseChecker nevű analitikai szoftverrel vizsgálták meg a Samsung, MediaTek és Qualcomm gyártotta eszközöket, melyeket számos ismert mobiltelefon gyártó, mint például a Google, OPPO, OnePlus, Motorola és Samsung, használ saját készülékeiben.
A kutatási csapat tagjai, köztük Kai Tu, Yilu Dong, Abdullah Al Ishtiaq, Syed Md Mukit Rashid, Weixuan Wang, Tianwei Wu és Syed Rafiul Hussain, a GitHubon közzétették az elemző eszközt, hogy lehetővé tegyék más kutatók számára is a 5G hálózatok sebezhetőségeinek felderítését.
Syed Rafiul Hussain, a kutatócsoport egyik vezetője a TechCrunch tech híroldalnak elmondta, hogy a kutatás során sikerült megtéveszteniük a sebezhető 5G alapállomásokat úgy, hogy azok egy hamisított bázisállomáshoz csatlakoztak, amelyről aztán támadásaikat indították. Ezek a támadások rejtett módon történtek, és olyan mértékű biztonsági résekhez vezettek, amelyek lehetővé tették az adathalász üzenetek küldését és a hamis bejelentkezési oldalakon keresztül történő adatlopást. Kai Tu hozzáteszi, hogy a támadók képesek voltak a kapcsolatok leminősítésére 5G-ről régebbi protokollokra, mint például a 4G, amivel könnyebben lehallgathatóvá vált a kommunikáció.
A kutatásban részt vevő alapállomásokat gyártó cégek közül többen már léptek a problémák orvoslására. A Samsung képviselője, Chris Langlois megerősítette, hogy a cég szoftverfrissítéseket bocsátott ki, míg a Google képviselője, Matthew Flegal megerősítette, hogy a hibákat már kijavították. A MediaTek és a Qualcomm részéről viszont még nem érkezett válasz a megkeresésekre. A kutatók szerint a sebezhetőségek javítása már több mint tizenkét különböző 5G alapállomásnál megtörtént, ami jelentős előrelépést jelent a hálózati biztonság javításában.
Forrás: www.techcrunch.com
júl 31, 2024 | Blog
Sok szervezetnél a technológiai és biztonsági csapatok közötti megosztottság jelentősen akadályozza az hatékony incidenskezelést.
Hagyományosan a technológiai és biztonsági csapatok különálló egységekként működtek, mindegyikük más-más szervezeti védelmi aspektusokra összpontosítva. A technológiai csapatok a rendszerfüggetlenség fenntartására és a felhasználói hibák, alkalmazások meghibásodása és katasztrófák utáni helyreállításra koncentrálnak, míg a biztonsági csapatok a határvédelemre és termelésbiztonságra fókuszálnak.
Egy kibertámadás során ez a koordináció hiánya kaotikus versenyfutáshoz vezethet az események megértése érdekében, ami meghosszabbíthatja az incidens idejét és súlyosbíthatja annak hatásait.
Az egységes megközelítés szükségessége
Az egységes incidenskezelési megközelítés racionalizálhatja a tevékenységeket, minimalizálhatja a károkat és javíthatja az átfogó biztonsági helyzetet. A csapatok közötti együttműködés elősegítése és az adatok betekintésének integrálása áthidalhatja ezt az operatív szakadékot. Egy hatékony incidenskezelés közös terminológiát és megértést igényel az adatkörnyezetről, lehetővé téve a technológiai és biztonsági csapatok zökkenőmentes együttműködését.
A Druva nemrég bejelentett egy új fenyegetésfelderítő funkciót, amely felgyorsítja az incidenskezelést az adatbiztonsági képességek növelésével.
Stephen Manley, a Druva CTO-ja egyetértett azzal, hogy a technológiai és biztonsági csapatok közötti hatékonyabb együttműködés elengedhetetlen, de hangsúlyozta az adatközpontú stratégiák fontosságát is, mondván: „Olyan jeleket látunk, amelyek segítenek jobban azonosítani a támadásokat és gyorsabban elhárítani a problémákat. Így a helyreállítás is könnyebbé válik, mert kevesebbet kell helyreállítani.”
Adatközpontú biztonsági stratégiák
A hagyományos határterület évekkel ezelőtt homályba merült, de a szervezetek által alkalmazott alapvető védelmi megoldások még mindig ezt a „vár és árok” filozófiát követik. Ezek a megoldások egyre kevésbé elegendőek a mai fenyegetési tájban.
Manley szerint a szervezeteknek prioritást kell adniuk az adatközpontú biztonsági stratégiáknak, amelyek az adatok teljes életciklusa során védelmezik és szabályozzák azokat. Ez a váltás lehetővé teszi az adatmozgások jobb láthatóságát, a fenyegetések hatékonyabb észlelését és az incidenskezelés javítását.
Az adatok egyedülálló perspektívát kínálnak, mintegy „kanári a szénbányában” korai figyelmeztető rendszert. „Az adatokra vonatkozó egyedi nézőpontunk lehetővé teszi, hogy értékes információkat adjunk vissza a biztonsági eszközöknek és az incidenskezelő csapatoknak,” jelentette ki Manely. „Ez segít nekik megérteni a támadások terjedését és pontosan feltérképezni azokat, ami végül hatékonyabb helyreállításhoz vezet.”
Automatizálás és mesterséges intelligencia kiaknázása a kiber védelemben
A fenyegetésfelderítés és az incidenskezelés jövője az automatizálás és a mesterséges intelligencia integrációjában rejlik. Ezek a technológiák forradalmasíthatják, hogy a szervezetek hogyan észlelik és kezelik a kiberfenyegetéseket, rejtett fenyegetéseket tárnak fel és lehetővé teszik a gyors válaszokat.
Az MI szerepe az IT-ban és a kiberbiztonságban gyorsan fejlődik. A rosszindulatú szereplők generatív MI-t használnak a társadalmi manipulációhoz és a környezetek jobb megértéséhez. A szervezeteknek az MI-t kell alkalmazniuk a valós idejű válaszadás érdekében.
Bár az emberi szereplők jelentős szerepet játszanak, az MI egyre inkább irányítja az észlelést és az elsődleges válaszadást.
Gyakorlati megvalósítás és előnyök
Egy egységes, adatközpontú megközelítés megvalósítása gyakorlati lépéseket és stratégiai beruházásokat igényel. A szervezeteknek a folyamatos monitorozásra, az MI integrálására a gyors válasz érdekében és az IT és biztonsági csapatok közötti együttműködés elősegítésére kell összpontosítaniuk.
Manley kiemeli ennek a megközelítésnek a gyakorlati előnyeit: „Ezt úgy látjuk, mint egy lehetőséget az ügyfelek számára, hogy elkezdjék használni a generatív MI-t anélkül, hogy jelentős infrastrukturális beruházásokra lenne szükségük. Bízzanak meg minket az adataik és biztonsági monitorozásukkal, és segíthetünk nekik gyorsabban és hatékonyabban válaszolni az incidensekre.”
Az incidenskezelés jövője
Az IT és biztonsági csapatok közötti szakadék áthidalása elengedhetetlen az hatékony incidenskezeléshez.
Ez a proaktív stratégia nemcsak racionalizálja az incidenskezelést, hanem biztosítja az adatgazdálkodás és védelem robustus voltát egy egyre összetettebb fenyegetési tájban.
Ahogy Manley tömören fogalmazza, „Nem elég riasztásokat generálni; a megfelelő információkat és az azonnali cselekvést kell biztosítanunk a fenyegetések megállításához.
Forrás: www.forbes.com
júl 31, 2024 | Blog
Hatalmas bátorság kellett ahhoz, hogy a Wiz elutasítsa a Google 23 milliárd dolláros ajánlatát
A Google múlt héten jó és rossz hírekkel szolgált. A jó hír az volt, hogy a felhőszolgáltatási divízió — beleértve a Google Workplace szoftvert és a Google Cloud infrastruktúrális szolgáltatásokat — először érte el a negyedéves 10 milliárd dolláros bevételt. Ez valamelyest enyhíthette a csalódást, amiért a vállalat egy hónapon belül másodszor maradt le egy 20 milliárd dollárt meghaladó potenciális felvásárlásról.
Az első sikertelen akvizíció a régóta pletykált ügylet volt, hogy megvásárolják a bostoni székhelyű CRM és marketing szoftvereket gyártó HubSpot vállalatot. Az ügylet pontos összegét soha nem hozták nyilvánosságra, de a cég piaci értéke 30 milliárd dollár körül mozog. A pletyka áprilisban indult és több hónapon át tartott, mígnem a Bloomberg július 10-én arról számolt be, hogy a cégek külön útjukra lépnek.
Nem sokkal később újabb pletyka látott napvilágot, miszerint a Google figyelme a Wiz felé fordult, ami egy forró felhőbiztonsági startup 12 milliárd dolláros értékeléssel. A Google, amely soha nem fizetett többet 12,5 milliárd dollárnál egy felvásárlásért, állítólag 23 milliárd dollárt ajánlott a Wizért, ami a legnagyobb ajánlat volt, amit valaha startupnak tettek.
Miért mondhatott volna nemet egy cég egy ilyen óriási ajánlatra (feltételezve, hogy a pletykált szám közel áll a valósághoz)? Egy emailben, amit a Wiz alkalmazottainak küldött, Assaf Rappaport vezérigazgató azt írta, hogy ő és a társalapítók hisznek abban, hogy a cég még nagyobb lehet, és készek nagy tétben fogadni magukra.
„Bár hízelgőek azok az ajánlatok, amiket kaptunk, úgy döntöttünk, hogy folytatjuk a Wiz építését. Térjünk a lényegre: a következő mérföldköveink az 1 milliárd dolláros éves ismétlődő bevétel (ARR) és egy tőzsdére lépés. Nehéz nemet mondani ilyen megtisztelő ajánlatokra, de kiváló csapatunkkal magabiztosan hozom meg ezt a döntést.”
Számos ok állhat egy ilyen nagyságrendű üzlet meghiúsulása mögött. Egy forrás a TechCrunch-nak azt mondta rögtön a pletyka után, hogy 50%-os esély van arra, hogy az üzlet meghiúsul, tehát már az elejétől fogva számos akadály állt fenn.
Chirag Mehta, a Constellation Research elemzője három lehetséges forgatókönyvet lát, amiért az üzlet nem jött létre: a Wiz várhatott volna egy lehetséges tőzsdei bevezetés előtt, úgy gondolva, hogy még többet kaphat a 23 milliárd dollárnál; a Google találhatott valamit a követelmények ellenőrzése során, ami nem tetszett nekik; vagy az ár valójában kevesebb volt, mint a pletykált 23 milliárd dollár. „A Wiz ezt az alapot felhasználhatja, hogy felkeltse más szereplők M&A iránti érdeklődését vagy akár jövőbeli VC köröket megcélzó kilépése előtt,” mondta Mehta a TechCrunch-nak.
Bármilyen is volt az oka, úgy véli, hogy a Google-nek át kell alakítania M&A egységét, hogy megfeleljen méretének és pénzügyi erejének. „A hatékony versenyhez és a növekedési, valamint bevételi diverzifikációs célok eléréséhez a Google-nak teljes mértékben át kell alakítania M&A megközelítését és műveleteit.
júl 28, 2024 | Blog
Az Apple iCloud Private Relay szolgáltatása, amely az iCloud+ előfizetők adatvédelmének megerősítésére szolgál az online nyomkövetőkkel szemben, világszerte jelentős üzemzavarokkal küzd. Ezek a kimaradások érintik a felhasználókat olyan fontos régiókban, mint Európa, India, Japán és az Egyesült Államok, és legalább csütörtök óta tapasztalhatók.
A TechCrunch értesülései szerint az iCloud Private Relay leállásai komoly akadályt jelentenek a felhasználók számára, amikor webes szolgáltatásokhoz vagy internetkapcsolatot igénylő alkalmazásokhoz szeretnének hozzáférni. A problémák különösen a Safari böngésző használata során jelentkeznek, de más telepített alkalmazások esetében is, amelyek internetkapcsolatot igényelnek, hasonló nehézségekkel kell szembenézniük a felhasználóknak.
Az Apple hivatalos rendszerállapot weboldala megerősíti az iCloud Private Relay legújabb kimaradását, jelezve, hogy a szolgáltatás bizonyos felhasználók számára „lassú vagy elérhetetlen” lehet. Az Apple azonban nem adott ki hivatalos nyilatkozatot az ügyben és nem reagált a megkeresésekre sem.
Az iCloud Private Relay szolgáltatás 2021-ben indult, kifejezetten az iCloud+ előfizetők számára. Az Apple célja ezzel az, hogy megvédje felhasználóit az online követőktől és megfigyelésektől. A DNS szolgáltatás úgy működik, hogy a felhasználói forgalmat két különálló internetes relay segítségével küldi tovább, ezzel korlátozva a webes követők és internet szolgáltatók lehetőségét arra, hogy a felhasználók IP címét, tartózkodási helyét és böngészési tevékenységét kombinálva profilt készítsenek róluk. Ezen technológia alapja az Oblivious DNS-over-HTTPS protokoll, amelyet az Apple a Cloudflare-rel közösen fejlesztett ki 2020-ban.
Amennyiben Ön is érintett az iCloud Private Relay jelenlegi üzemzavarában, ideiglenesen kikapcsolhatja a szolgáltatást a Beállítások menüben a Profil > iCloud > Private Relay útvonalon.
Összességében, az iCloud Private Relay kimaradása jelentős problémákat okoz világszerte, különösen az internetkapcsolatot igénylő alkalmazások és a webes böngészés terén. Az Apple részéről egyelőre nem érkezett hivatalos tájékoztatás a helyzet megoldásáról vagy annak okairól.
Forrás: www.techcrunch.com
