:

Szerző: Koi Tamás

2021. augusztus 18. 14:05

El akarta tussolni a QNX sebezhetőségét a BlackBerry

Többek közt autók (tíz)millióinak fedélzeti rendszere, illetve orvosi berendezések lehetnek kibertámadásnak kitéve egy a QNX operációs rendszert is érintő sebezhetőség révén. A biztonsági rés létezését a rendszer tulajdonosa, az egykori okostelefon-gyártó BlackBerry először tagadta, majd hónapokig halogatta a nagy nyilvánosság tájékoztatását.

Nevéhez, illetve eddig képviselt személetéhez, értékrendjéhez kevéssé méltó kiberbiztonsági kálváriába keveredett az egykori okostelefon-nagyágyú, a BlackBerry egy a QNX operációs rendszert (is) érintő biztonsági rés kommunikációja kapcsán. A cég hosszú hónapokon keresztül igyekezett eltussolni a nagy nyilvánosság előtt, hogy a többek közt autók fedélzeti számítógépét, orvosi eszközöket, illetve akár nukleáris reaktorokat vezérlő szoftverben súlyos sebezhetőséget találtak

Az ominózus, több operációs rendszert is érintő BadAlloc nevű sebezhetőség kapcsán számos szoftvercég, így egyebek mellett a Microsoft is figyelmeztetést adott ki idén májusban, a kritikus infrastruktúrák biztonságáért felelős Cybersecurity and Infrastructure Security Agentcy (CISA) nevű, az Egyesült Államok belügyminisztériumához tartozó ügynökséggel együttműködésben.

qx-hq

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

A Politico információi szerint az ügynökség a BlackBerryt is megkereste az év első felében, mint a QNX operációs rendszer tulajdonosát, ám a kanadai vállalat először nem ismerte el, hogy a magas biztonsági kockázatú rendszereknél használt QNX támadható lenne a BadAlloc segítségével, majd közölte a CISA-val, hogy nem ad ki publikus figyelmeztetést a sebezhetőségről, hanem arról egyenként, privát csatornán keresztül értesíti ügyfeleit.

A kanadai cég végül belátta, hogy maga sem tudja pontosan meghatározni a QNX-végfelhasználók körét, így részben a CISA nyomására a publikus sérülékenységi figyelmeztetés közzététele mellett döntött.

A döntéshez tevékenyen hozzájárult, hogy az ügynökség a kanadai vállalattal történő tárgyalások során közölte, az ügy nemzetbiztonsági kockázatot vet fel, és az Amerikai Védelmi Minisztérium szükség esetén elő fogja írni a kanadaiak számára, hogy megadott határidőig tegyék közzé a publikus figyelmeztetést.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról