Dự án Luật An toàn thông tin do Bộ TT&TT chủ trì soạn thảo hiện đã được Chính phủ thông qua để trình Quốc hội. Dự kiến, Quốc hội sẽ thảo luận về dự án Luật này vào kỳ họp tháng 5/2015 và xem xét thông qua tại kỳ họp tháng 10/2015.

Thông tin trên vừa được Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng chia sẻ tại hội thảo quốc tế chủ đề “An toàn, an ninh thông tin và chủ quyền quốc gia”, một hoạt động trung tâm của sự kiện “Ngày An toàn thông tin Việt Nam 2014” diễn ra sáng 4/12/2014 tại Hà Nội.

Xem thêm tại http://ictnews.vn/cntt/luat-an-toan-thong-tin-se-duoc-xem-xet-thong-qua-vao-thang-10-2015-121695.ict.

Hãng an ninh mạng FireEye vừa công bố một vụ tấn công nhắm vào hơn 100 tổ chức tài chính tại Hoa Kỳ nhằm đánh cắp thông tin nội bộ về các doanh nghiệp trên thị trường chứng khoán. Nhóm tin tặc có tên FIN4 được ghi nhận bắt đầu hoạt động từ giữa năm 2013. 68% công ty nằm trong tầm ngắm của nhóm là các doanh nghiệp trong lĩnh vực y tế - dược phẩm, khoảng 20% khác là các doanh nghiệp tư vấn về chứng khoán, pháp lý, mua bán - sáp nhập.

“FIN4” là cái tên được FireEye đặt cho nhóm này do hãng đánh giá động cơ tấn công là vì mục tiêu tài chính (finance). Ở thời điểm hiện tại, chưa thể xác định được nhóm FIN4 đã trục lợi được bao nhiêu tiền từ hoạt động của mình. Tuy nhiên, FireEye khẳng định, nhóm đã truy cập được một số lượng đáng kể các thông tin nội bộ có giá trị. Những thông tin này có thể giúp ích rất nhiều trên thị trường chứng khoán như giúp biết trước cổ phiếu nào sắp lên giá để mua vào.

Xem thêm tại http://www.eweek.com/security/fin4-hackers-take-aim-at-wall-street.html.

Hai thiếu niên 17 tuổi người Ấn Độ là Indrajeet Bhuyan và Saurav Kar đã nghiên cứu và chứng minh được lỗ hổng trong WhatsApp Message Handler. Trong một video, họ đã chứng minh rằng, bằng cách gửi một tin nhắn dài 2.000 từ (tương đương 2KB lưu lượng) trong bộ ký tự đặc biệt thì có thể làm ứng dụng của người nhận tạm thời ngừng hoạt động.

Những lo lắng về tác động của lỗ hổng là người dùng sẽ phải xóa toàn bộ cuộc trò chuyện của mình và bắt đầu một cuộc trò chuyện mới. Bởi nếu tiếp tục mở các tin nhắn thì WhatsApp sẽ lại bị tấn công và ngừng hoạt động, trừ khi xóa đi hoàn toàn lịch sử chat. Theo 2 thanh niên trên, họ đã thực hiện thành công trên hầu hết các phiên bản của hệ điều hành Android bao gồm Jellybean, KitKat và tất cả các phiên bản Android thấp hơn.

Xem thêm tại http://thehackernews.com/2014/12/crash-your-friends-whatsapp-remotely_1.html.

Ứng dụng Uber trên Android được báo cáo gửi toàn bộ dữ liệu cá nhân bao gồm vị trí hiện tại của bạn đến người đứng đằng sau ứng dụng này. Nhà nghiên cứu bảo mật GironSec đã nghiên cứu độc lập Uber và phát hiện ra điều này.

Dữ liệu bị đánh cắp bao gồm nhật kí cuộc gọi, các ứng dụng mà điện thoại/máy tính bảng đã cài đặt và nhật kí tin nhắn SMS, MMS. Ubers Gods View Tool cũng có thể xác định điện thoại của bạn có thể bị ảnh hưởng trước malware hay không, điện thoại của bạn đã được root chưa và gửi dữ liệu tương tự. Tất cả những việc Uber làm đều không cần sự cho phép của chủ nhân điện thoại.

Xem thêm tại http://www.techworm.net/2014/11/ubers-android-app-caught-reporting-data-back-without-permission.html.

Do khả năng chống spam yếu kém và gây khó khăn cho người dùng của những ô CAPTCHA, Google đã đưa ra một phương pháp xác thực hiệu quả và thân thiện hơn. Phương pháp này thực chất là một hàm API đơn giản và khá tinh tế thông qua những cú nhấp chuột đơn giản.

Trước đây, để chống tình trạng spam, CAPTCHA đã sử dụng những văn bản bị bóp méo để gây khó khăn cho những con robot spam. Tuy nhiên, những nghiên cứu mới đây đã cho thấy rằng, công nghệ trí thông minh nhân tạo ngày nay có thể giải quyết được những văn bản bị bóp méo thậm chí lên đến 99,8%.

Như vậy, những văn bản bị bóp méo này đã không còn tác dụng ngăn chặn được spam mà càng ngày càng gây khó khăn hơn cho người dùng. Thay vì yêu cầu người dùng phải thực hiện nhập các ký tự đã bị bóp méo như trước đây thì hệ thống reCAPTCHA API mới của Google sẽ sử dụng một hệ thống "phân tích rủi ro" để đánh giá hành vi người dùng.

Xem thêm tại http://thehackernews.com/2014/12/Google-reCAPTCHA-code-in-PHP.html.

Một nhóm tin tặc có tên Lizard Squad tuyên bố đó là “món quà Giáng Sinh” gửi tặng Microsoft. Người chơi Xbox Live đã xác nhận dịch vụ bị gián đoạn và không thể đăng nhập vào mạng của Microsoft. Phàn nàn đã được gửi tới Microsoft nhưng không có hồi đáp.

Các nhóm tin tặc thường xuyên sử dụng DDoS lên các máy chủ chơi game. Đầu tháng 9, PlayStation Network của Sony cũng bị DDoS. Vào thời điểm đó, Lizard Squad cũng cảnh báo Microsoft về cuộc tấn công lên máy chủ Xbox Live vào kỳ nghỉ sắp tới.

Một người dùng Pastebin có biệt danh Loadingexe đã đăng tải một paste chứa thông tin cá nhân thành viên nhóm Lizard Squad. Paste này chứa đầy đủ chi tiết bao gồm số điện thoại, địa chỉ và email 5 thành viên chính của Lizard Squad.

Xem thêm tại http://www.techworm.net/2014/12/lizard-squad-take-down-the-xbox-live-gaming-servers.html.

Các chuyên gia bảo mật điện thoại di động cung cấp giải pháp an ninh. Lookout đã tìm thấy bằng chứng về một trojan mới của Trung Quốc được cài sẵn trên điện thoại thông minh cấp thấp phổ biến ở các nước thế giới thứ ba như Việt Nam, Indonesia, Ấn Độ, Nigeria, Đài Loan, và Trung Quốc và các nước châu Phi.

Các nhà nghiên cứu gọi Trojan này là "DeathRing" vì các trojan giả mạo một ứng dụng nhạc chuông. Lookout cho biết họ đã tìm ra bằng chứng về trojan DeathRing được cài đặt sẵn trong điện thoại thông minh Android và máy tính bảng sau khi tìm thấy một phần mềm độc hại được cài sẵn tương tự gọi là MouaBad đầu năm nay.

Xem thêm tại http://www.techworm.net/2014/12/karbonn-gionee-samsung-clones-come-pre-loaded-deathring-trojan-lookout.html.

Liên tiếp những bê bối bảo mật đến từ Sony, họ đã bị đánh cắp mất cả chục ngàn mật khẩu của người dùng bao gồm cả những người nổi tiếng. Một thư mục nữa được hé lộ với tên gọi khá "thật thà" là "Password". Đáng buồn thay, đây không phải là một chiêu trò bảo mật với tác dụng đánh lạc hướng mà là thư mục chứa thông tin về tài khoản của người dùng thực sự. Tất nhiên là với cái tên "khiêu khích" như thế này thì các hacker sẽ chả dại gì mà bỏ qua.

Xem thêm tại http://genk.vn/may-tinh/sony-chua-hang-ngan-mat-khau-trong-mot-folder-mang-ten-password-20141205123428.chn.

Theo nhiều nguồn tin, những kẻ xâm nhập đã đánh cắp hơn 25 GB dữ liệu nhạy cảm trên hàng chục ngàn nhân viên của Sony bao gồm số an sinh xã hội, thông tin y tế và tiền lương. Hơn nữa, những kẻ tấn công có thể đã phá hủy dữ liệu trên và chưa xác định được con số thiệt hại của Sony.

Một số tập tin đang được giao dịch trên mạng torrent bao gồm một danh sách nhân viên trên toàn cầu của Sony, một tập tin Microsoft Excel bao gồm tên, địa điểm, nhân viên ID, tên người dùng mạng, lương cơ bản và ngày tháng năm sinh cho hơn 6.800 cá nhân.

Nhiều nguồn báo cáo rằng các liên kết đến các torrent các dữ liệu bị đánh cắp của Sony đã được đăng tải trên Pastebin tại http://krebsonsecurity.com/wp-content/uploads/2014/12/tree.txt.

Xem thêm tại http://krebsonsecurity.com/2014/12/sony-breach-may-have-exposed-employee-healthcare-salary-data/#more-28882.

QUÂN TẠ (tổng hợp)