Geopolitické hry
Írska Rada pre Občianske Slobody (ICCL) publikovala správu o reklamnej technológii Real-Time Bidding (RTB), ktorú vyhodnocuje ako bezpečnostnú hrozbu. V publikácii autori poukazujú, ako sa obchodovanie s údajmi určenými na reklamné účely dostalo do centra záujmu národných bezpečnostných agentúr. Publikácia hovorí tiež o súkromnom systéme masového sledovania s názvom Patternz, ktorý sprístupňuje klientom používateľské profily 5 miliard ľudí z 87 reklamných búrz.
Jaap-Henk Hoepman, hosťujúci profesor švédskej Karlstad University, publikoval krátku analýzu konečnej verzie nariadenia eIDAS, ktoré vytvára rámec pre európsku digitálnu identitu. V analýze kritizuje článok 45, ktorý internetovým prehliadačom nariaďuje akceptovať certifikáty, ktoré sú v súlade s eIDAS, no berie im právo mať ďalšie požiadavky, napríklad existujúce striktné požiadavky CA/Browser fóra. Článok sa tiež zaoberá otázkou súkromia pri autentifikovaní používateľov digitálnou identitou.
Spoločnosť Meta, prevádzkovateľ služby Facebook a Instagram, potrebuje od používateľov v Európe súhlas na zobrazovanie cielenej reklamy. Z tohto dôvodu musí spoločnosť poskytnúť používateľom spôsob, ako sa odhlásiť z behaviorálnej reklamy, inak čelí pokute 100 000 USD denne.
Tajný projekt s názvom Hemisphere Project umožňuje americkým orgánom činným v trestnom konaní prehľadávať miliardy telefónnych záznamov bez potreby súhlasu súdu.
Spoločnosti Lockheed Martin a HawkEye 360 oznámili svoju spoluprácu, ktorá zbrojovke umožňuje sledovať vysielanie telefónnych zariadení či vysielačiek použitím družicovej technológie.
Research & Engineering
Trail of Bits na svojom blogu publikovali bezpečnostnú analýzu YOLOv7, populárneho frameworku pre strojové rozpoznávanie objektov. Identifikovali 11 bezpečnostných zraniteľností vrátane zraniteľnosti vzdialeného spustenia kódu či DoS.
Na žiadosť Microsoftu výskumníci zo spoločnosti Blackwing Intelligence analyzovali bezpečnosť troch najlepších snímačov odtlačkov prstov zabudovaných v prenosných počítačoch a ich použitie na overovanie odtlačkov prstov nástrojom Windows Hello. Výskumníci odhalili viacero zraniteľností a podarilo sa im kompletne obísť autentifikáciu na všetkých troch notebookoch.
Výskumníci z Google odhalili ďalšiu CPU zraniteľnosť pomenovanú Reptar.
Novo-publikovaný výskum ukazuje ako dokáže pasívny útočník na sieti získať privátny SSH kľúč za predpokladu, že pri výpočte digitálneho podpisu nastala chyba.
Zločin a úniky informácií
V Indii uniklo viac ako 815 miliónov osobných údajov občanov. Únik obsahuje telefónne čísla, mená, ale aj informácie o cestovných dokladoch či unikátne identifikátory z národného systému Aadhaar.
Spoločnosť Okta aktualizovala informácie o incidente, ktorý začala riešiť v priebehu októbra. Pri incidente bolo zasiahnutých 134 zákazníkov, medzi nimi aj spoločnosti ako Cloudflare a 1Password. Spoločnosť počas vyšetrovania odhalila 5 úspešných „session hijacking“ prípadov.
Po tom čo spoločnosť Boeing odmietla zaplatiť výkupné, ransomvér skupina LockBit publikovala 45 GB exfiltrovaných údajov.
Europol zatkol v medzinárodnej operácii vedúce osobnosti ransomvér skupiny, ktorá stála za devastujúcim útokom na Norsk Hydro v roku 2019.
Ostatné
OpenSSL vydalo verziu OpenSSL 3.2.0. Vydanie obsahuje niekoľko noviniek, ako napríklad podporu Windows certificate store na načítanie systémových certifikačných autorít, podporu Argon2, či podporu QUIC na strane klienta.
Vyšlo tretie číslo e-zine tmp.0ut, ktorý sa venuje výskumu ELF formátu, virológii na platforme Linux a obdobným témam.
UEFI Fórum publikovalo návrh, čo by mal obsahovať Firmware Software Bill of Materials (SBoM).
Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.