Zero Day Weekly: LastPass, Samsung, Baseball Hacks, US Navy kauft Null Tage

Willkommen in der Zero Day’s Week in Security, unsere Zusammenfassung der bemerkenswerten Sicherheitsnachrichten für die Woche, die am 19. Juni 2015 endet. Umfasst Unternehmen, Kontroversen, Reports und mehr.

– Julian Sanchez (@normativ) 17. Juni 2015

– daveaitel (@ daveaitel) 18. Juni 2015

– Cem Paya (@ randomoracle) 18. Juni 2015

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Samsung reagiert schließlich auf einen großen Sicherheitsfehler, der die Tastaturen auf seinen Galaxy Smartphones und Tablets betrifft. Die Sicherheitsfirma NowSecure enthüllte die Ausbeutung früher in dieser Woche, was Hackern die Möglichkeit gibt, Code auf den mobilen Endgeräten von Samsung auszuführen. Bis zu 600 Millionen Geräte sind betroffen.

Baseball-Hack-Angriff: Diese Woche NYT berichtet, dass die FBI und die US-Justizministerium untersuchen, ob St. Louis Cardinals Beamten in den Houston Astros interne Netzwerke gehackt. Forscher erklärten den Zeiten, die sie Beweis zeigten, daß Kardinäle Beamte Astros Datenbanken mit Informationen über Handel, geschützte Statistiken und Pfadfinderinformationen verletzten.

Die Bundesrechnungsprüfer strahlen ein jahrzehntelanges Regierungssystem, das die Einwanderungsgesuche vereinfachen und die nationale Sicherheit verbessern soll. Das 2005 ins Leben gerufene so genannte “Transformationsprogramm” des Departements Heimatschutz sollte papierbasierte Transaktionen bereits vor Jahren in Online-Formulare verwandelt haben. Aber da DHS hat Kurs auf Software-Entwicklungsstrategien umgekehrt, die ursprüngliche $ 536.000 Anstrengung Gesichter ein $ 3,1 Milliarden Preisschild und ein März 2019 Rollout, nach einem neu veröffentlichten Government Accountability Office Bericht.

Schwachstellen, die die Mac OS X- und iOS-Betriebssysteme von Apple betreffen, könnten Angreifern erlauben, Passwörter und andere Anmeldeinformationen zu stehlen, wenn sie erfolgreich ausgenutzt werden. In einem PoC-Papier, Forscher von Indiana University, Peking-Universität und Georgia Institute of Technology gezeigt, dass Cross-App-Ressourcen-Zugang (XARA) Angriffe möglich sind. Die Schwachstellen wurden Apple im Oktober 2014 gemeldet und das Unternehmen sagte, es würde sechs Monate benötigen, um Fixes zu rollen. Obwohl einige Probleme besprochen wurden, bleiben die meisten der Schwachstellen unverändert.

LastPass, eine Cloud-basierte Passwort-Sicherheits-Website, ist nicht immun gegen Datenverletzungen. Der Chef des Unternehmens Joe Siegrist sagte in einem Blog-Post, dass das Konto E-Mail-Adressen, Passwort Erinnerungen, Server pro Benutzer Salze und Authentifizierung Hashes wurden kompromittiert. Aber, sagte er, hat das Unternehmen “keine Hinweise gefunden, dass verschlüsselte Benutzer-Vault-Daten genommen wurden, noch dass LastPass-Benutzerkonten abgerufen wurden.” Doch bevor Sie Panik, gibt es einige Dinge, die Sie wissen sollten.

Rapid7, ein in Boston ansässiger Anbieter von Security Analytics-Software und -Services, hat bei der Securities and Exchange Commission (SEC) eine S-1 Registrierungserklärung für eine vorgeschlagene Börseneinführung seiner Stammaktien eingereicht. Das Unternehmen will in einem Börsengang rund 80 Millionen US-Dollar steigern.

Was Shylock so gefährlich machte, war die Art und Weise, in der es versucht wurde, es zu beseitigen, so Adrian Nish, der in London ansässige Leiter der Cyberthreat Intelligence bei BAE Systems Applied Intelligence, der jahrelang studierte. “Es war in der Lage, sich selbst wieder zu beleben”, sagte er. Es war ein Bank-Trojaner, entworfen, um in einen Computer zu schleichen und Ihr Bankkonto abzulassen, gebrochene Fragmente von Shakespeare, vom Kaufmann von Venedig, wurden in den Programmakten begraben.

Kanadischen Bundesregierung Websites wurden von einem Cyber-Attack Mittwoch und Anonymous hat die Verantwortung für den Angriff. Sites für mehrere Bundesabteilungen – darunter Weather.gc.ca, ServiceCanada.gc.ca und Parl.gc.ca – gingen um die Mittagspause ET Mittwoch.

US-Marine von EFF gefangen bei dem Versuch, Zero-Tage kaufen: Die Electronic Frontier Foundation (EFF) entdeckte die US-Navy öffentlich Menschen zu bitten, Sicherheitslücken zu bekannter Software zu verkaufen. Es scheint, dass die US Navy auch die Zero-Tage als NSA kaufte, um Backdoors in die Software zu bauen.

Die Europäische Union sieht sich in Europa bis 2020 einem riesigen Defizit an qualifizierten IT-Mitarbeitern gegenüber und fordert die EU-Länder auf, ihre Bemühungen um eine Technologieausbildung zu verdoppeln. Es gibt nicht genügend IT-Spezialisten in Europa, die alle Arbeitsplätze abschließen, um eine digitale Kompetenzlücke zu schaffen, die bis zu 825.000 freien Stellen in diesem Sektor in fünf Jahren führen könnte, so die Zahlen der Europäischen Kommission am Donnerstag.

Google am Dienstag hat eine neue Anstrengung, die zahlt, wenn Sie ein Sicherheitsrisiko in Android finden. Jedes verifizierbare Problem in der neuen Android Security Rewards-Programm wird ein Minimum von $ 500 zahlen mit der gesamten Belohnung erreichen 8.000 $ in einigen Fällen.

Die Inverse Path USB-Armory ($ 130) ist ein kleiner USB-Stick mit einem ganzen Computer an Bord (800MHz ARM-Prozessor, 512MB RAM), entworfen, um eine tragbare Plattform für persönliche Sicherheitsanwendungen zu sein. Es steht, um die persönliche Informationssicherheit zu ändern, wie wir es kennen: In seinem aktuellen Zustand ist es ziemlich verträumt für die meisten Hacker und infosec Pros (es ist besonders sexy für Pentesters), aber im Moment ist es ein wenig anspruchsvoll für nicht-technische Menschen.

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter