Titkosítás, biztonság

A Mozilla elkezdte blokkolni a Flash-t a Firefox-ban

 ( trey | 2015. július 14., kedd - 15:17 )

A hétvégén a Facebook biztonsági igazgatója, Alex Stamos kifakadt és arról tweetelt, hogy itt az ideje annak, hogy az Adobe bejelentse a Flash életciklusának végét és arra kérje a böngészőgyártókat, hogy azok állítsák be a killbiteket az adott napra.

A Firefox support team vezetője komolyan vette a kérést. Olyannyira, hogy meg sem várta az Adobe-ot, már tegnap bejelentette, hogy a Flash összes verziója alapértelmezetten blokkolt a Firefox-ban tegnaptól.

LibreSSL 2.2.1

 ( trey | 2015. július 9., csütörtök - 11:56 )

Brent Cook bejelentette, hogy elérhető az OpenBSD-s OpenSSL-fork, a LibreSSL 2.2.1-es kiadása. A kiadást szélesebb körű operációs rendszer támogatás, kódminőség javulás és egyes funkciók eltávolítása jellemzi. A kiadásban megjelent a (feltehetően) Windows 2008 (a bejelentésben Windows 2009 szerepel), Windows 2003 és Windows XP támogatás.

Részletek a bejelentésben.

OpenSSH 6.9

 ( trey | 2015. július 3., péntek - 9:16 )

Damien Miller bejelentette az OpenSSH 6.9 elérhetőségét. A 6.9-es kiadás főként bugfix kiadás, így főként hibajavításokat tartalmaz néhány új funkció társaságában. A bejelentés megemlíti, hogy a július végére tervezett OpenSSH 7.0-s kiadásban néhány funkció deprecated állapotba kerül és ezek érinthetik a kompatibilitást és a meglevő konfigurációkat.

Részletek a bejelentésben.

"Pehelysúlyú SSL-implementációt készített az Amazon"

 ( trey | 2015. július 2., csütörtök - 7:56 )

"Vadonatúj, pehelysúlyú SSL/TLS implementációt mutatott be az Amazon. Az S2N fantasztikusan kis kódbázissal valósítja meg a titkosítási protokollt, emiatt a készítők szerint könnyebben fenntartható, mind az alternatívák (például OpenSSL). Az S2N szabad szoftver, amely kimondottan az OpenSSL egyik fő könyvtárának, a libssl-nek kiváltására készítettek az Amazon fejlesztői. [...] az implementáció egészében szabad szoftver, a forráskód és a dokumentáció is elérhető a projekt GitHub-oldalán. Az Amazon által használt licenc Apache 2.0, a fejlesztők a külső hozzájárulásokat is nagyon szívesen veszik."

A teljes cikk itt olvasható.

Engedtek a fejlesztők, nem fogja letölteni le a Chromium a "hotwording" blobot

 ( trey | 2015. június 26., péntek - 12:17 )

Nemrég volt szó arról, hogy Debian fejlesztők észrevették, hogy a Chromium újabb verziója csendben blobot tölt le. Zúgolódás kezdődött. A Chromium fejlesztők a nyomásnak engedve végül beadták a derekukat. Ez azt jelenti, hogy

  • eltávolítják a hotwording komponenst
  • A Chromium build-ekben az r335874-től (version 45) kezdve alapértelmezetten le van (lesz) tiltva a "hotwording" és a böngésző nem tölti le a modult
  • nem lesz lehetőség a funkció futási időben történő engedélyezésre
  • a fenti változások nem érintik a Chrome felhasználókat
  • azok a Chromium felhasználók, akik szeretnének hotwording támogatást, kénytelenek lesznek maguknak fordítani

A részletek itt olvashatók.

A HP 0day Internet Explorer sebezhetőségek részleteit hozta nyilvánosságra

 ( trey | 2015. június 24., szerda - 10:19 )


Példa az ASLR áthágására

A HP Zero Day Initiative (ZDI) kezdeményezésének szakemberei javítatlan (0day) Internet Explorer sebezhetőségek részleteit, illetve a hozzájuk való proof-of-concept exploit kódokat hoztak nyilvánosságra. Ritka lépés ez a ZDI-től, ami szinte sosem hoz nyilvánosságra ilyen információkat addig, amíg az érintett gyártó a javítást el nem készíti. Ebben az esetben a ZDI azért tért el a szokásos protokolltól, mert a Microsoft azt közölte, hogy nem tervezi javítani a szóban forgó sebezhetőségeket. Annak ellenére sem, hogy a sebezhetőségek olyan súlyosak, hogy a Microsoft 125 ezer dollárt fizetett ki érte a ZDI csapatának a BlueHat Bonus for Defense program keretében.

LibreSSL 2.1.7 és 2.2.0

 ( trey | 2015. június 12., péntek - 12:19 )

Brent Cook bejelentette az OpenSSL OpenBSD-s forkjának, a LibreSSL-nek 2.1.7-es és 2.2.0-s kiadását. Az új kiadások újdonsága, hogy immár támogatják az IBM AIX operációs rendszerét, illetve a Cygwin környezetet is.

Az újdonságok mellett a fejlesztők refaktoráltak, kódot tisztítottak, illetve különböző bugokat javítottak. A windowsos binárisok kicsit csúsznak, várhatóan a jövő héten jelennek meg.

Részletek a bejelentésben.

Új kolléga nálatok ... kap kiemelt, rendszerszintű jogosultságot (domain admin, vállalati rendszergazda, root, commit stb.)

 ( trey | 2015. június 11., csütörtök - 10:57 )
a belépés után azonnal (1. munkanap)
12% (43 szavazat)
a próbaidő alatt, ha már bizonyított
16% (60 szavazat)
a próbaidő letelte után azonnal, automatikusan
2% (8 szavazat)
a próbaidő letelte után, de csak ha már bizonyított
11% (40 szavazat)
csak ha már bizonyított (akár hónapok, évek is eltelhetnek)
12% (44 szavazat)
majd akkor, ha felmondok!!!! ;)
4% (15 szavazat)
soha!!!! xD
5% (19 szavazat)
egyéb, leírom.
4% (13 szavazat)
csak az eredmény érdekel.
34% (124 szavazat)
Összes szavazat: 366

iOS Mail.app adathalászat proof-of-concept

 ( trey | 2015. június 11., csütörtök - 8:17 )

Az Ernst and Young biztonsági szakembere, Jan Soucek egy olyan keretrendszert ütött össze, amellyel bemutathatja, hogy hogyan lehetne adathalászat típusú támadással rászedni az iOS felhasználókat. Az iOS 8.3 Mail.app inject kit-et elérhetővé tette a GitHub-on. Soucek azt állítja, hogy a problémát januárban jelezte az Apple-nek, de az eddig nem készített javítást rá. Soucek szerint a bug az iOS Mail.app-jében található. A fenti videó egy példát mutat a probléma adathalászatra való kihasználására.

Elnézést kért a Locker ransomware (állítólagos) készítője, elérhetővé tette a decryption kulcsokat

 ( trey | 2015. június 2., kedd - 10:04 )

Előállt a Locker titkosító ransomware állítólagos készítője, aki egy Pastebin üzenetben elnézést kért az okozott problémákért. Azt írta, hogy nem állt szándékában kiadni a malware-t. Az üzenetben tudatta, hogy feltöltötte a mega.co.nz-re az adatbázist, amely tartalmazza az adatokat "bitcoin cím, publikus kulcs, privát kulcs" formában, CSV formátumban. Az adatbázis állítólag az összes adatot tartalmazza és a legtöbb kulcsot még nem használták. Vannak, akik megerősítették, hogy az adatbázis valós.

A bejegyzés szerint az automatikus kititkosítás ma éjfélkor megkezdődik.

A részletek itt olvashatók. További részletek itt.

A brit kormányzat nem újítja meg a Microsoft-tal a Windows XP-kre tavaly kötött támogatási szerződését

 ( trey | 2015. május 12., kedd - 7:54 )

A brit kormányzat tavaly támogatási szerződést kötött 5,5 millió angol fontért az általa még használt Windows XP-kre a Microsoft-tal. A szerződés egy évre szólt, idén április 14-ig tartott. A kormányzat úgy döntött, hogy nem hosszabbítja meg a szerződést, annak ellenére sem, hogy a Whitehall-on még számítógépek ezrei futtatják az "ősi szoftvert".

Ugyan a kormányzat nem újítja meg a szerződést, az egyes minisztériumok és kormányzati hivatalok önállóan dönthetnek a szerződés meghosszabbításáról. A Metropolitan Police a meghosszabbításról tárgyal, mert majdnem 36 ezer gépen futtat még XP-t. Viszont van olyan hivatal, amelyiknek nincs terve a problémára.

Részletek itt és itt.

Hívószámkijelzés nélküli, ismeretlen telefonhívásokat ...

 ( trey | 2015. május 8., péntek - 12:26 )
sosem veszem fel.
22% (146 szavazat)
inkább nem veszem fel, mint felveszem.
34% (226 szavazat)
inkább feveszem, mint nem veszem fel.
20% (134 szavazat)
mindig felveszem.
17% (114 szavazat)
Egyéb, leírom.
3% (17 szavazat)
Csak az eredmény érdekel.
3% (21 szavazat)
Összes szavazat: 658

Szállítani fogja a Truecaller-t a Cyanogen Inc. a Cyanogen OS-sel

 ( trey | 2015. május 8., péntek - 10:32 )

A Cyanogen Inc. partnerségre lépett a True Software Scandinavia AB-vel. A partnerség keretében a Cyanogen Inc. hozzáreszeli a Truecaller szolgáltatást a Cyanogen OS-hez. A szolgáltatás segítségével a felhasználóknak lehetősége nyílik a bejövő hívások caller ID-alapú szűrésére és a kéretlen hívások blokkolására. A OnePlus One felhasználók OTA frissítés keretében jutnak majd a szolgáltatáshoz. Mivel a Cyanogen mindig a választás lehetőségéről szól, a szolgáltatás használata teljes mértékben opcionális lesz.

Részletek itt.

Jellyfish rootkit és Demon keylogger

 ( trey | 2015. május 8., péntek - 9:34 )

A Team Jellyfish egy GPU-alapú (egyelőre, de várhatóan nem kizárólag) linuxos rootkit-tel és egy szintén GPU-alapú keylogger-rel örvendeztette meg a nagyérdeműt. Mindkét megoldás PoC, jelenleg nem teljes. A csapat célja az volt, hogy felhívja a figyelmet arra, hogy GPU-alapú malware nem fikció, nem sci-fi, hanem valóság.

A kódok GPLv2 alatt megtalálhatók a GitHub-on: Jellyfish rootkit | Demon keylogger

Programokban, alkalmazásokban (pl. webböngésző) a jelszavakat ...

 ( trey | 2015. május 6., szerda - 8:12 )
sosem mentem el (egyet sem)
18% (96 szavazat)
mindig, mindet elmentem (az összeset, kivétel nélkül)
20% (106 szavazat)
csak a nem fontosakat mentem el, a fontosakat sosem
41% (212 szavazat)
hangulattól függően elmentem vagy nem
11% (59 szavazat)
Egyéb, leírom.
5% (24 szavazat)
Csak az eredmény érdekel.
5% (26 szavazat)
Összes szavazat: 523

Teamsafe a központosított jelszótároláshoz

 ( jupiter2005ster | 2015. április 24., péntek - 7:42 )

Sok szervezetben okoz gondot a rengeteg különböző jelszó tárolása. A GitHub-on elérhető egy remek megoldás erre. AD-ból authentikál és titkosítva tárol mindent MySQL-ben. Két kulccsal titkosít, amit meg kell jegyezni mivel azok hiányában az alkalmazás nem fog elindulni. Kvázi mester kulcsok.

A Microsoft új webböngészőiben nem lesz alapértelmezett beállítás a "Do Not Track"

 ( trey | 2015. április 3., péntek - 20:23 )

A Microsoft ma bejelentette, hogy változtat a "Do Not Track"-kel kapcsolatos hozzáállásán és nem engedélyezi azt alapértelmezetten a jövőben kiadásra kerülő webböngészőiben.

A népszerű böngészőkben megtalálható "Do Not Track" feature bekapcsolt állapotban arról értesíti a weboldalakat és azok hirdetőit, hogy a látogató ki akarja kapcsolni a reklámozási célú 3rd party követést. A Microsoft 2012 augusztusában bejelentette, hogy az IE 10-nél a "Do Not Track" alapértelmezetten engedélyezve lesz az "Express Settings" választásakor.

A mai bejelentés elolvasható itt.

Megérkezett a TrueCrypt átvilágítás második fázisának összefoglaló jelenetése

 ( trey | 2015. április 3., péntek - 10:52 )

"Ezen auditálás alapján a TL;DR az, hogy a Truecrypt viszonylag jól megtervezett titkosító szoftvernek tűnik. Az NCC audit nem talált bizonyítékot sem szándékos backdoor-ra, sem semmilyen komolyabb tervezési hibára, amely a szoftvert a leggyakoribb felhasználási esetekben biztonságtalanná tenné.

De ez nem jelenti azt, hogy a TrueCrypt tökéletes."

A TrueCrypt auditálásának második fázisáról szóló a legfrissebb blogbejegyzés itt, az átvilágítás eredménye pedig itt található.

Tails 1.3.1

 ( trey | 2015. március 23., hétfő - 19:31 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.3.1-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik. A DuckDuckGo a napokban 25 ezer dollárral támogatta meg a projektet.

Az 1.3.1-es kiadásban számos biztonsági hibát javítottak.

Részletek a bejelentésben.

Pwn2Own 2015 összefoglaló

 ( trey | 2015. március 20., péntek - 14:45 )

A HP-hez tartozó Zero Day Initiative (ZDI) idén is megrendezte a népszerű Pwn2Own biztonsági vetélkedőt. A rendezvény Vancouverben zajlott március 18-19-én. Összefoglaló:

1. nap

[ 1. nap összefoglaló ]

Apple iOS Hardware Assisted Screenlock Bruteforce

 ( trey | 2015. március 19., csütörtök - 11:56 )

Az MDSec tudomására jutott, hogy egyes mobiltelefon szervizek egy IP Box hardvert használnak az iOS eszközök képernyőzárának bruteforce feltöréséhez. Mivel szerintük ennek komoly biztonsági következményei lehetnek, úgy döntöttek, hogy beszereznek egy ilyen készüléket és tesztelik.

Csütörtökön új "high" besorolású biztonsági hibá(ka)t jelent be az OpenSSL projekt

 ( trey | 2015. március 17., kedd - 14:51 )

Hogy az adminisztrátorok felkészülhessenek, az OpenSSL projekt egy előzetes figyelmeztetőt tett közzé arról, hogy csütörtökön kiadja az 1.0.2a, 1.0.1m, 1.0.0r és 0.9.8zf OpenSSL kiadásokat. Ezek a kiadások számos biztonsági problémát orvosolnak.

A legsúlyosabb probléma súlyosság szerinti besorolását tekintve "high" kategóriába esik. Részletek a bejelentésben.

Nagyszabású biztonsági auditon esik át az OpenSSL

 ( trey | 2015. március 15., vasárnap - 10:52 )

Az iSEC Partners, a Matasano Security, az Intrepidus Group és az NGS Secure szakértőit is magában foglaló Cryptography Services a napokban bejelentette, hogy nagyszabású biztonsági auditot terveznek lefolytatni az OpenSSL-en.

Az audit a The Linux Foundation által indított Core Infrastructure Initiative kezdeményezés keretében, az Open Crypto Audit Project szervezésében fog folyni. A Cryptography Services szerint az audit feltehetően a legnagyobb, amit eddig az OpenSSL-en végeztek, de mindenképpen a(z egyik) legnyilvánosabb.

Az audit fókuszában a TLS stack áll.

Részletek a bejelentésben.