Nulladik napi sérülékenységet fedezett fel és tapasztott be az Adobe: a Flash lejátszót érintő hibát egy Excel fájl megnyitásával lehet előidézni. Noha a tervek szerint a több sebből vérző Flash-t az Adobe 2020-ban nyugdíjazza, elepítsük a frissítést!

Az Adobe már ki is adta a hibajavítást a Flash sérülékenység ellen, melyet június 7-én jeleztek először a biztonsági szakemberek. A támadás újdonsága, hogy nem is kell már böngésző ahhoz, hogy ezt a hibát előidézzék a támadók, egy Excel megnyitása már elegendő.

Az elfogadható (vagy hihető) tagadás (plausable deniability) elve évszázadok, évezredek óta is létezett, de talán a TrueCrypt titkosított konténerekkel együtt épült be a szakmai köztudatba. Az elv abból indul ki, hogy ha tudsz valamit, amiről hihetően letagadod, hogy tudod, akkor a másik fél szempontjából valójában nem tudod.

Ez persze nagyon pongyola értelmezése az elvnek, de nincs kedvem hosszas filozófiai vitákba keveredni. Persze a bölcsészvér felserken bennem és kikívánkozik belőlem, hogy hasonlatos ez a régi bölcsész-művészettörténész vitához, ahol azon megy a vita, hogy ha Pompeiben megalkotják a világtörténelem legtökéletesebb, abszolút értelembe vett legszebb műtárgyát, amelyet aztán belepett és örök időkre ellepett a vulkáni törmelék, akkor valójában a legtökéletesebb szépség létezik-e, ha senki nem tud róla. Kicsit hasonlatos Schrödinger macskájához, aki egyszerre élő vagy holt, attól függően, hogy kinyitjuk-e a dobozt vagy sem.

Május 25-e óta alkalmazandó a GDPR (Általános Adatvédelmi Rendelet), de a jogalkalmazáshoz kapcsolódó kérdések száma még mindig nagyon magas (sőt talán növekszik). Éppen ezért minden hatósági iránymutatásnak, ajánlásnak nagy jelentősége van. A NAIH az elmúlt időszakban újabb állásfoglalásokat jelentetett meg a honlapján, amelyek közül néhányat az alábbiakban röviden ismertetek. 

Hosszas előkészületek után elérkeztünk a GDPR fémjelezte, új adatvédelmi korszakba. A bűvös május 25-i napot megelőzően tetőfokára hágott a hangulat és mindenki vérmérsékletének megfelelően rágta a körmeit vagy éppen kínjában nevetett a kialakult adatvédelmi pánikon. (Új műfaj is született, megjelentek az "adatvédelmi viccek", sőt aki zenében is az adatvédelmet keresi, egyes szolgáltatóknál, GDPR playlisttel is találkozhatott. Lehet, hogy a magyar költők adatvédelmi antológiáját is össze lehetne állítani, benne Petőfitől a "Minek nevezzelek?" és Karinthytól a "Nem mondhatom el senkinek" c. versekkel.)

Max Schrems adatvédelmi aktivista (aki pár éve az EU és az USA közötti adattovábbításokat lehetővé tevő Safe Harbor mechanizmust is megbuktatta) sem vesztegette az időt és már május 25-én panaszt nyújtott be az internetes óriások (Google és Facebook) ellen. 

Pár napig téma volt, hogy az IBM letiltotta az USB adattároló eszközök (pendrive, diszk) csatlakoztatási lehetőségét, azaz, hogy az IBM világában élő munkavállalók már semmilyen USB adattárolót nem tudnak használni a munkaállomásaikon.

Elég vegyes reakciók és kommentek jelentek meg a témában, úgyhogy azt gondoltam, talán nem ártana megnézni egy kicsit szakmai szemmel az esetet, nem feltétlenül GDPR szemüvegen keresztül, de sokkal inkább információ- és IT biztonság vonatkozásában.

Milyen kockázatai vannak a külső, USB (adattároló) eszközöknek?