Zero Day Weekly: Kaspersky och KGB, Cisco undanflykt, Yahoo on-demand lösenord

Välkommen till Zero Day s Vecka Inom Security, vår roundup av anmärkningsvärda säkerhet nyheter för veckan som slutade den 20 mars 2015. Skydd företag, kontroverser, rapporter och mycket mer.

Tack och lov, nya OpenSSL sårbarheter, medan många, främst DoS, inte info / nyckel avslöjande. Fortfarande, uppgradera! https://t.co/Z0Ogd17sWF

– Ryan Lackey (@octal) Mar 19, 2015

Falska uppgifter + vilseledande fakta + anklagelser + anonyma källor = känsla? Mitt svar kommer.

– Eugene Kaspersky (@e_kaspersky) 19 mars 2015

Som stora uppgifter, sakernas internet, och sociala medier sprida sina vingar, de få nya utmaningar för informationssäkerhet och användarnas personliga integritet.

Ser ut som kinesiska och koreanerna nu fastställa våra fel på # Pwn2Own eftersom västerlänningar komma in juridiska problem för det. #wassenaar

– Stefan Esser (@ i0n1c) 18 mars 2015

De Edward Snowden avslöjanden har skakat regeringar, globala företag, och tekniken världen. Här är vårt perspektiv på fortfarande utspelas konsekvenser tillsammans med IT-säkerhet och riskhantering bästa praxis som teknikledare kan komma till god användning.

Med Windows 10, kommer senare i höst, planerar Microsoft att gå stort med biometrisk teknik. Vid WinHEC konferens i Kina denna vecka, Microsoft befattningshavare visade upp den nya funktionen, som kallas Windows Hej. Vid en första anblick, det låter som Microsofts svar på TouchID – biometrisk autentisering som kan använda en fingeravtrycksläsare, upplyst IR-sensor eller annan biometrisk sensor för att ge omedelbar tillgång till en Windows 10-enhet. Visa ditt ansikte eller röra ett finger, säger Microsoft, och du kommer att omedelbart autentiseras på den lokala enheten.

Steven J. Vaughan-Nichols förklarar att “Vid första anblicken kan du inte tror att den senaste uppsättningen av OpenSSL säkerhetskorrigeringar är så viktigt. Visst, det finns ett dussin av dem och två är allvarliga, men de är verkligen så illa? Ja de faktiskt är inte bara dåligt, de är fruktansvärda. ” Amazon sade problem påverkar inte AWS tjänster eller tjänster som har mitigations på plats.

Hur man inte att kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”)

Re-thinking säkerhets grunderna: Hur man gå bortom FUD

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

Kaspersky och KGB? När Bloomberg Business publicerade en artikel som säger att företaget Skydda Internet har nära band till ryska spioner, var Mr Eugene Kaspersky inte höras – inte heller var han glad över anklagelserna. Sex nuvarande och tidigare anställda berättade Bloomberg att Kaspersky anställda “aktivt stöd [s] brottsutredningar från FSB, KGB: s efterträdare, med hjälp av data från några av de 400 miljoner kunder som litar på Kaspersky Lab programvara.” ;; Säkerhet och integritet: New utmaningar, som stora data, IoT och sociala medier sprida sina vingar, de få nya utmaningar för informationssäkerhet och användarnas personliga integritet,. Läs mer

Obama-administrationen söker ytterligare myndighet för att bekämpa botnät: Den här veckan det uppdagades att språket Vita huset vill använda för att ändra Computer bedrägeri och missbruk lagen gör det olagligt att använda mer än 100 datorer “utan tillstånd.” Det kriminaliserar även lösenord “trafficking och utbyte av några” sättet att få tillgång “till datorer” utan tillstånd. “Legitim användning för botnät skulle bli olagligt om lagen revideras.

Fyra olika forskargrupper på onsdag spruckna fyra produkter – Adobe Flash, Reader, Mozilla Firefox och Microsoft Internet Explorer – den första dagen av Pwn2Own 2015. Den årliga hacking tävling, som startade onsdag i Vancouver, sprang samtidigt med CanSecWest och är värd av HP: s Zero Day Initiative och Googles Project Zero, fanns det 1 3 buggar som beskrivs och 317,5 K betalats ut.

Cisco har levererats utrustning till adresser som inte är relaterade till en kund, säger John Stewart, Ciscos chef säkerhet och förtroende officer, på onsdag under en panel session på Cisco Live konferens i Melbourne. I teorin, gör att det blir svårare för NSA att rikta ett enskilt företag och skopa upp deras paket. Men försörjningskedjor är svåra att säkra, Stewart sa, och när en del av utrustningen lämnas från Cisco till DHL eller FedEx, det är borta.

Yahoo gjort stora meddelanden kring dess säkerhetsprotokoll: I första hand, meddelade bolaget sin nya “on-demand” lösenord, och följde upp med nyheten att dess end-to-end-kryptering källkod för Yahoo Mail fanns på GitHub. Användarna kommer inte att behöva använda ett förutbestämt lösenord för att logga in på ett konto i stället varje gång de vill logga in, kommer de att få ett textmeddelande med en verifieringskod ;; IT-säkerhet i Snowden Era,. Edward Snowden avslöjanden har skakat regeringar, globala företag, och tekniken världen. Här är vårt perspektiv på fortfarande utspelas konsekvenser tillsammans med IT-säkerhet och riskhantering bästa praxis som teknikledare kan komma till god användning,. Läs mer

$ 10 miljoner Settlement i Target dataintrång: En federal domare på torsdag gav preliminärt godkännande till en $ 10 miljoner uppgörelse av en stämning som väckts av kunder från Target, som upplevde en online angrepp med konfidentiella kunddata under semesterperioden 2013. Man tror att få Target dataintrång offer kommer sannolikt få något, och ännu färre kommer att få maximal $ 10,000 de är berättigade till

Premera Blue Cross avslöjade på tisdagen att det var målet för en cyberattack förra året som kan ha påverkat 11 miljoner kunder. Washington-baserade sjukförsäkringsbolag, som är licensierat av Blue Cross Blue Shield, sade dataintrång inträffade i maj, men det var inte upptäcktes förrän 29 januari i år. Mer än två veckor före, den 18 april, 2014 fick Premera en revisionsrapport och rekommenderades – 10 rekommendationer – att ta itu med sårbarheter som skulle kunna utnyttjas av angripare att kompromissa känsliga uppgifter.

En hög nivå kinesisk militär organisation har för första gången erkände formellt att landets militära och underrättelse har specialiserade enheter för att föra krig mot datornätverk. Bekräftelsen kan ha politiska och diplomatiska konsekvenser för Kinas förbindelser med USA och andra västmakter. “Det betyder att kineserna har kasseras deras fikonlöv av kvasi-trovärdigt förnekande” forskaren Joe McReynolds berättade dagligen Beast.

Totalt 1228 populära Android-appar som finns i Google Play butiken är fortfarande utsatta för en FREAK attack, enligt FireEye säkerhetsgrupp.

Forresters 2015 “Planering för Failure” visar att brott är lika oundviklig som dåligt väder, men träffar en sura anmärkning när det karakteriserar företag organisationer som oförberedd. Den whitepaper, upprättats i samband med Veracode, funnit att det är MOT en fråga om om, men när företaget Orgs drabbas av en allvarlig cyberattack – och att 60 procent av företagen kommer att drabbas av en spricka i 2015.

På tisdag, var säkerhets journalisten Steve Ragan personliga konto på GoDaddy äventyras. När han i detalj det sätt på vilket en kombination av ett telefonsamtal och en Photoshopped ID användes för att göra det genom Vinny Troia, VD för Night Lion Security, GoDaddy var inte nöjd.

Säkerhet, Så att inte kontrollera ett dataintrång (och varför vissa verkligen vill att du ska få “pwned”), säkerhet, nytänkande säkerhets grunderna: Hur man gå bortom FUD, Innovation, M2M marknaden studsar tillbaka i Brasilien, säkerhet;? FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska gov’t tjänstemän