Geopolitické hry

Americký senát odhlasoval DEFIANCE Act, zákon, ktorý umožňuje obetiam obrazového materiálu generovaného s AI bez ich vedomia, tzv. deepfake, súdiť sa s autorom a žiadať o náhradu škody.

Nemecký europoslanec Daniel Freund sa dva týždne pred európskymi voľbami stal terčom štátom sponzorovaného trójskeho koňa Candiru. Poslanec obdržal phishingový email, na link v emaily však neklikol.

Spoločnosť Google začala ponúkať izolovaný cloud & AI produkt, Google Distributed Cloud, ktorý spĺňa kritéria nasadenia armádou či záchrannými zložkami.

Bidenová administratíva zakázala použitie softvérového produktu spoločnosti Kaspersky Lab na území Spojených štátov. Dôvodom je bezpečnostné riziko.

Research & Engineering

Bezpečnostný softvér od spoločnosti CrowdStrike tento mesiac spôsobil rozsiahly výpadok zariadení bežiacich operačný systém Windows. Chybná aktualizácia softvéru spôsobila na miliónoch zariadení pád systému a známu modrú obrazovku. Škody spôsobené výpadkom sú obrovské s dopadom či už na leteckú dopravu, fungovanie nemocníc alebo bankový sektor.

Výskumníci z Ghent University publikovali výskum v ktorom používajú štrukturálne podobnosti v softvéri na detekciu chýb v implementáciách. S ich technikou nahlásili až 46 chýb v populárnom softvéri ako je OpenSSL, OpenSSH, PHP, zlib, libpng, freetype2 či libwebp, ktoré boli následne opravené.

Andrew Lemon na svojom blogu píše o technológiách a zraniteľnostiach v systémoch riadenia dopravy. Blog má momentálne dve časti.

Eugene Lim na svojom blogu popisuje ako zreťazením rôznych API rozhraní na odosielanie správ v prehliadačoch a rozšíreniach prehliadača dosiahne „univerzálne spúšťanie kódu“, ktoré obchádza Same Origin Policy aj sandbox prehliadača.

Zločin a úniky informácií

Hackeri zo skupiny NullBulge použili herný mód pre hru BeamNG.drive infikovaný backdoorom na získanie prístupových údajov zamestnanca spoločnosti Disney. Tie boli neskôr použité pri masívnom úniku dát zo spoločnosti.

Americký telefónny gigant AT&T oznámil, že zločinci ukradli telefónne záznamy takmer všetkých 110 miliónov zákazníkov.

Vedúci pracovník spoločnosti Ferrari bol cieľom sofistikovaného deepfake útoku, kedy sa útočník počítačovo generovaným hlasom vydával za výkonného riaditeľa spoločnosti, Benedetto Vigna a žiadal pracovníka o finančnú transakciu. Ten ho však konfrontoval protiotázkou na ktorú vedel odpoveď len skutočný riaditeľ.

Poštová služba Spojených štátov amerických USPS zdieľala poštovú adresu zákazníkov so reklamnými gigantmi Meta, LinkedIn a Snap použitím skriptu na svojich webových stránkach. Spoločnosť sa vyjadrila, že zdieľanie nebolo neúmyselné.

Spoločnosť Wiz na svojom blogu popísala, ako sa dokázala nabúrať firme SAP do interných systémov zneužitím AI funkcionality, ktorú SAP ponúka svojim zákazníkom.

Google opravil zraniteľnosť, ktorou hackeri obchádzali overovanie použitej domény pri registrácii Google Workspace účtov, čo im neskôr umožnilo pristupovať z službám za „Sign in with Google“ login stránkou.

Ostatné

Certifikačná autorita DigiCert oznámila incident v ktorom nesprávne overovala vlastníctvo domén pomocou DNS CNAME záznamov. Z tohto dôvodu revokovala ~0,4% vydaných certifikátov. Žiadne úmyselné zneužitie chyby vo validácii nebolo objavené.

Chyba v OpenSSL odosiela 255 bajtov z pamäte SSL klienta na server. Chyba existovala v knižnici od roku 2011 a vyžaduje použitie technológii ako Next Protocol Negotiation Extension (NPN), ktoré sú roky nepodporované.

Automatizovaná certifikačná autorita Let’s Encrypt ukončuje podporu online overovania validity certifikátov (OCSP) v prospech revokačných listov. Hlavným dôvodom je súkromie používateľov.

OpenSSH server bežiaci na Linux systéme používajúcom glibc obsahuje zraniteľnosť vzdialeného spustenia kódu (CVE-2024-6387).

Guardian publikoval článok v ktorom vysvetľujú, ako je možné rozpoznať deepfake videá generované súčasnými technológiami.

Tento newsletter je rozosielaný odberateľom newsletteru kratkespravy.sk, členom Asociácie kybernetickej bezpečnosti a členom ISACA Slovensko.