Titkosítás, biztonság

Apple közlemény a hírességek fotóival kapcsolatos vizsgálatról

 ( trey | 2014. szeptember 4., csütörtök - 16:08 )

Mint az ismert, számos hírességről szivárogtak ki privát képek az internetre. Több teória is van arról, hogy hogyan kerülhettek ezek a képek illetéktelenek kezére. Az egyik ilyen teória az, hogy az Apple szolgáltatásának sebezhetőségét kihasználva jutottak hozzá illetéktelenek.

Az Apple nyomozásban kezdett az üggyel kapcsolatban. Ahogy írják, 40 órányi vizsgálat után arra jutottak, hogy bizonyos hírességek fiókjait nagyon célzott, felhasználóneveket, jelszavakat és biztonsági kérdéseket érintő támadással sikerült feltörnie a támadóknak. Az Apple szerint a képek kiszivárgása nem az Apple rendszerekbe való betörés folyománya, a szolgáltatásaik - beleértve az iCloud és Find my iPhone - sértetlenek.

A közlemény itt olvasható.

Bankolsz mobiltelefon-alkalmazáson keresztül?

 ( trey | 2014. augusztus 25., hétfő - 13:27 )
Igen.
29% (172 szavazat)
Nem, nincs okostelefonom.
10% (62 szavazat)
Nem, a mobil OS-emet nem támogatja a bankom.
2% (11 szavazat)
Nem, a bankomnál nincs mobiltelefonos bankoló alkalmazás.
5% (28 szavazat)
Nem, nem is tudtam, hogy ilyet lehet.
2% (12 szavazat)
Nem, félek, hogy nem elég biztonságos.
21% (128 szavazat)
Nem, a telefon kényelmetlen erre.
24% (141 szavazat)
Egyéb, leírom.
3% (18 szavazat)
Csak az eredmény érdekel.
4% (25 szavazat)
Összes szavazat: 597

GNU hackerek állítják, hogy több országra kiterjedő, fenyegető kormányzati megfigyelőrendszert lepleztek le

 ( trey | 2014. augusztus 22., péntek - 8:07 )

Az Free Software Foundation blogjában arról számolt be, hogy GNU aktivisták és velük együttműködők egy több országra kiterjedő, fenyegetést jelentő kormányzati megfigyelőrendszert lepleztek le. A megfigyelőrendszer kódneve HACIENDA. A Heise.de szerint az Egyesült Államok, Kanada, az Egyesült Királyság, Ausztrália és Új-Zéland hírszerzési szervei üzemeltetik a HACIENDA-t, amelyet arra használnak, hogy 27 ország összes szerverét feltérképezzék a portszkennelésnek nevezett technikával.

Komoly mértékű előrelépést lát a Facebook az SMTP STARTTLS telepítésekben

 ( trey | 2014. augusztus 21., csütörtök - 12:45 )

SMTP STARTSSL deployment

A Facebook még májusban tett közzé egy megállapítást az SMTP STARTTLS telepítések helyzetéről. Akkor a közösségi hálózat üzemeltetői arról számoltak be, hogy a tőlük a felhasználókhoz kimenő értesítőüzenetek alig 28,6%-a került sikeresen titkosításra és ment át "strict" tanúsítvány-ellenőrzésen (a szám 58%, ha beleszámoljuk az "opportunistic" titkosítást is). A Facebook akkor bátorította a szolgáltatókat, hogy lépjenek az ügyben. Most, alig pár hónappal később újra megvizsgálták a kérdést és meglepődve tapasztalták, hogy a kimenő értesítéseik immár 95%-ban sikeresen titkosítottak. Az óriási előrelépést főként a Microsoft és Yahoo! reagálásának tulajdonítja a Facebook.

A részletek itt olvashatók.

Kétfaktoros autentikációt vezettek be a Linux kernel Git tárolóihoz

 ( trey | 2014. augusztus 20., szerda - 17:51 )

A Linux.com-on Konstantin Ryabitsev arról számolt be, hogy egy további biztonsági réteget szerettek volna bevezetni a Linux kernel Git tárolóinak védelme érdekében, ezért a kernel.org-ra account-tal rendelkező kernelfejlesztők számára kétfaktoros autentikációt valósítottak meg. A megvalósításához a Yubikey Hardware megoldásra esett a választás. A Yubikey gyártója, a Yubico a megkeresésre az összes, a kernel.org-ra account-tal rendelkező kernelfejlesztő számára elegendő eszközt adományozott.

A részletek itt olvashatók.

CryptoLocker által titkosított fájlok visszaállítására szakosodott oldal indult

 ( trey | 2014. augusztus 7., csütörtök - 15:52 )

CryptoLocker

Azon kevésbé szerencsés Windows felhasználók számára, akik beszopták a CryptoLocker ransomware-t, jó hír lehet, hogy elindult egy oldal, amely arra vállalkozott, hogy a malware által titkosított fájlokat visszaállítja használható állapotba.

A képlet (illetve a fenyegetés) egyszerű: az áldozat beszopja a malware-t, ami aztán titkosítja a felhasználói adatokat (office dokumentumok, mp3-ak, képek stb.), majd közli az áldozattal, hogy X órája van arra, hogy fizessen és cserébe megkapja a fájlok visszaállításához szükséges privát kulcsot. Ha nem fizet, akkor a kulcs - ami az interneten egy titkos helyen tárolódik - megsemmisül és onnantól kezdve a felhasználó búcsút mondhat (elvileg, de láthatjuk, hogy nem) örökre az adatainak.

BadUSB - amikor az USB-s eszközök gonosszá válnak

 ( trey | 2014. augusztus 2., szombat - 15:53 )

Nem újdonság az, hogy USB-n keresztül érhetik az embert meglepetések. Sőt! Tovább bővülhet azon ismert támadások száma, amely USB-n keresztül érheti a felhasználókat. Az SRLabs-os Karsten Nohl és Jakob Lell arra készül, hogy 2014. augusztus 7-én "BadUSB" címmel előadást tart az idei BlackHat konferencián. Az előadás során egy olyan új malware-típust mutatnak be, amely az USB-s eszközök belsejében található vezérlőáramkörökből folytatja tevékenységét. Ennélfogva a szokásos védelmi eszközök teljes mértékben hatástalanok ellene.

Az előadás során a szakemberek bemutatnak egy teljes rendszerkompromittálást USB felől és egy olyan
önterjesztő USB vírust, amit állításuk szerint a jelenleg használt védelmi mechanizmusokkal lehetetlen detektálni.

Részletek itt és itt.

Az oroszok bele akarnak nézni az Apple és SAP szoftverek forráskódjaiba

 ( trey | 2014. július 31., csütörtök - 12:37 )

A Reuters egyik cikke szerint Oroszország azt várja mind az Apple-től, mind az SAP-tól, hogy azok működjenek együtt velük és engedjenek betekintést az orosz hatóságok számára termékeik forráskódjába. Az oroszok biztosak akarnak lenni abban, hogy a gyártók szoftverei nem tartalmaznak kémkedésre alkalmas eszközöket, megoldásokat.

Az oroszok javaslata az együttműködésre múlt héten hangzott el, mikor is Nyikolaj Nyikiforov orosz távközlési és tömegkommunikációs miniszter találkozott Peter Engrob Nielsen-nel, az Apple, és Vyacheslav Orekhov-val, az SAP oroszországi képviselőivel. Ezt az orosz telekommunikációs minisztérium adta közre egy közleményben.

Nem ez az első eset, hogy az oroszok gyanakodva néznek a nyugati technológiára. Nemrég jött ha hír, hogy lecserélték az orosz tisztviselők iPad-jeit Samsung tabletekre.

Vásárolnál anonym (személyes adathoz nem kötött) telefonelőfizetést?

 ( Hiena | 2014. július 31., csütörtök - 9:40 )
Igen
66% (224 szavazat)
Nem
17% (58 szavazat)
Csak az eredmény érdekel.
17% (58 szavazat)
Összes szavazat: 340

Orfox OS - Tor-integrált Firefox OS érkezhet

 ( trey | 2014. július 30., szerda - 12:29 )

Azok közül, akik fontosnak tartják a privát szférájuk védelemét, az anonimitást, többen is esküsznek a Tor hálózat nyújtotta védelemre. Nekik lehet jó hír, hogy egy, a Vimeo-n felbukkant videó szerint Tor-integrált Firefox OS érkezhet OrFox OS néven, ami extra kicsi költség fejében mobiltelefonos anonimitást ígér. A videón egy 25 dolláros Firefox OS okostelefon prototípus készüléken fut látszólag egy Tor-integrált Firefox OS. A videó készítője további infókat ígér hamarosan...

Vezetéknélküli billentyűzetet ...

 ( traktor | 2014. július 29., kedd - 8:25 )
sosem használnék, mert nem biztonságos (lehallgatható).
4% (22 szavazat)
használnék/használok, de zavar, hogy nem biztonságos.
6% (33 szavazat)
használnék/használok és szerintem éppen elég biztonságos.
8% (40 szavazat)
használnék/használok és nem izgat a biztonságuk.
31% (161 szavazat)
nem érdekel a vezetéknélküli billentyűzet, akár biztonságos akár nem.
43% (221 szavazat)
Egyéb, lent leírom.
3% (14 szavazat)
Csak az eredmény érdekel.
4% (22 szavazat)
Összes szavazat: 513

iOS File Relay POC

 ( trey | 2014. július 27., vasárnap - 11:27 )

Jonathan Zdziarski nemrég publikálta széles körben, hogy az Apple backdoor-okat épített az iOS-be és azokról elfelejtette tájékoztatni a nagyérdeműt. Miután a szakértő publikálta amit talált, az Apple elismerte, hogy "diagnosztikai képességek" találhatók mobil operációs rendszerében.

BoringSSL-re váltott a Google a Chromium-ban

 ( trey | 2014. július 25., péntek - 8:46 )

Az OpenSSL Heartbleed sebezhetőség után két OpenSSL forkot is bejelentettek. Az egyik az OpenBSD-sek által fejlesztett LibreSSL, a másik a Google által házon belül karbantartott/fejlesztett BoringSSL. A Google alkalmazásában álló Ilya Grigorik a napokban linkelte be, hogy a Chromium fejlesztők BoringSSL-re váltottak.

Tails 1.1

 ( trey | 2014. július 24., csütörtök - 9:23 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.1-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

A Tails 1.1-ben több biztonsági hibát, sebezhetőséget is javítottak. A Tails felhasználóknak javasolt mielőbb frissíteni az 1.1-es kiadásra.

Részletek itt.

Frissítés: Az Exodus Intelligence egy, a Tails 1.1-et érintő 0day sebezhetőségre figyelmeztet. A sebezhetőség kihasználója képes lehet felfedni az anonimizált felhasználó kilétét.

Zdziarski szerint "backdoor"-ok, az Apple szerint "diagnosztikai képességek" találhatók az iOS-ben

 ( trey | 2014. július 23., szerda - 17:15 )

Jonathan Zdziarski iOS biztonsági szakértő "Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices" kutatási anyaga nem új, lassan fél éves. Mégsem jutott el a szélesebb nyilvánossághoz egészen addig, amíg a napokban a szerző a Twitter-en közölte, hogy elérhetővé tette gyakorlatilag bárki érdeklődő számára. Innentől kezdve az események felgyorsultak. A témát felkapta a sajtó és az Apple is felfigyelt rá.

SOHOpelessly BROKEN - otthoni routerek biztonságát firtató vetélkedő

 ( trey | 2014. július 20., vasárnap - 20:36 )

A Las Vegasban jövő hónapban megrendezésre kerülő Defcon biztonsági konferencia ideje alatt kerül sor a "SOHOpelessly BROKEN" hacking versenyre. A verseny célja az, hogy 10 elterjedt, népszerű, vezetéknélküli SOHO router biztonságát vizsgálja a legfrissebb firmware-ek futtatása mellett. A versenyben résztvevő routerek:

  • Linksys EA6500 [Ver.1.1.40 (build 160989)]
  • ASUS RT-AC66U (HW Ver. A2) [Version 3.0.0.4.374.
  • TRENDnet TEW-812DRU (H/W: v1.0R) [Version 2.0.6.0]
  • Netgear Centria WNDR4700 [Version V1.0.0.52]
  • Netgear WNR3500U/WNR3500L [Version V1.2.2.48_35.0.55]
  • TP-Link TL-WR1043ND (Ver. 1.10) [Version V1_140319]
  • D-Link DIR-865L (HW Ver. A1) [Version 1.05]
  • Belkin N900 DB (Model: F9K1104v1) [Version 1.00.23]
  • EFF Open Wireless Router [Details forthcoming]

Mivel ezek közül több készülék itthon is szép számban előfordul a végfelhasználóknál, a verseny kimenetele számunkra sem érdektelen. A részletek elolvashatók a kiírásban.

Bemutatkozik a getrandom(2) rendszerhívás

 ( trey | 2014. július 18., péntek - 10:40 )

Theodore Ts'o tegnap egy új, getrandom(2) rendszerhívást megvalósító patchet küldött véleményezésre az LKML-re. A rendszerhívást a portolható LibreSSL fejlesztői (és mások) kérték a Linux kernel fejlesztőitől. A getrandom(2) analóg az OpenBSD getentropy(2) rendszerhívásával.

A bejelentés itt olvasható.

Linuxon nem volt biztonságos a LibreSSL PRNG-je, megjelent a 2.0.2-es verzió

 ( trey | 2014. július 16., szerda - 8:36 )

A hétvégén a The OpenBSD Foundation részéről Bob Beck bejelentette, hogy elérhető a LibreSSL első (és második) portolható kiadása. A portolható kiadás megjelenésével lehetőség nyílt a LibreSSL nem OpenBSD platformokon - többek közt Linuxon - való használatára is. A 2.0.x-es verziószám ellenére a LibreSSL ezen kiadásai "preview" kiadásnak tekinthetők és nem ajánlottak éles rendszeren való használatra.

A LibreSSL fejlesztők visszajelzéseket vártak a közösségtől. Érkezett is. Andrew Ayer Linux fejlesztő egy blogbejegyzést írt arról, hogy a LibreSSL tesztelése és kódjának vizsgálata során arra a következtetésre jutott, hogy a LibreSSL PRNG-je nem elég robusztus Linuxon és valójában gyengébb mint az OpenSSL-é. Andrew a tesztelés során elő tudott idézni olyan helyzetet, amikor a LibreSSL PRNG-je teljesen egyforma adatot szolgáltatott:

Google bejelentés: Project Zero

 ( trey | 2014. július 15., kedd - 21:23 )

A Google egy új projektet indított útjára. A neve: Project Zero. A projekt vezetője Chris Evans, a Google ismert biztonsági szakértője. Evans azon dolgozik, hogy a világ legjobb biztonsági szakembereit szerződtesse a Project Zero-ba. Az induló gárda az alábbi tagokból áll: Ben Hawkes, Tavis Ormandy, George Hotz, Ian Beer.

Evans közölte, hogy a csapatába további tehetséges biztonsági szakemberek jelentkezését várja. Hogy mi a csoport célja?

LibreSSL 2.0.1

 ( trey | 2014. július 13., vasárnap - 16:52 )

Nem sokkal a portolható LibreSSL első kiadása után Bob Beck bejelentette a második kiadás elérhetőségét. Benne többségében a közösség által bejelentett portabilitási problémák javításai találhatók.

Beépített kamerával rendelkező eszközeimen,

 ( Hiena | 2014. július 13., vasárnap - 9:20 )
extra hardveres védelmet alkalmazok leskelődés ellen.
9% (34 szavazat)
extra szoftveres védelmet alkalmazok leskelődés ellen.
2% (8 szavazat)
extra szoftveres és hardveres védelmet alkalmazok leskelődés ellen.
2% (6 szavazat)
Nem alkalmazok semmilyen védelmet.
75% (288 szavazat)
Nincs beépített kamerával rendelkező eszközöm.
12% (47 szavazat)
Összes szavazat: 383

Megjelent a portolható LibreSSL első kiadása

 ( trey | 2014. július 12., szombat - 7:51 )

Amikor az OpenBSD fejlesztők tavasszal bejelentetették, hogy forkolták az OpenSSL-t és létrehozták a LibreSSL-t, ígéretet tettek arra is, hogy amint a körülmények lehetővé teszik, más operációs rendszerek számára is elérhetővé teszik.

Megegyezett a NO-IP.com és a Microsoft

 ( trey | 2014. július 10., csütörtök - 12:48 )

Mint az ismert, a Microsoft figyelmeztetés nélkül pert indított június közepén a NO-IP.com (és két magánszemély) ellen, azt állítva, hogy a cég ingyenes dinamikus-DNS szolgáltatásával szerepet vállalt milliók számítógépeinek malware-rel való megfertőzésében.

A redmondi cég és a NO-IP.com most közös bejelentést tettek. A bejelentés lényege, hogy sikerült rendezniük a vitát a Microsoft Corporation v. Mutairi, et al. ügyben. A Microsoft átnézte a Vitalwerks (NO-IP.com anyacége) által rendelkezésére bocsátott bizonyítékokat és ezt követően megegyeztek abban, hogy a Vitalwerks nem vett részt szándékosan a malwareterjesztésben. A malwareterjesztők visszaéltek a Vitalwerks szolgáltatásával.

ProtonMail - svájci központú titkosított e-mail szolgáltatás a CERN és MIT szakembereitől

 ( trey | 2014. július 6., vasárnap - 19:10 )

A biztonságos e-mail szolgáltatók számának fogyatkozásával minden bizonnyal lenne igény egy ilyen szolgáltatásra. Így gondolhatták azok is, akik közösségi finanszírozási kampányt indítottak ProtonMail néven nemrég. A kezdet nem volt zökkenőmentes, mert a Paypal június végén befagyasztotta a projekt kampányszámláját. A Paypal szerette volna tudni, hogy a ProtonMail-nek van-e kormányzati jóváhagyása ilyen szolgáltatás indítására. Hogy melyik kormányzat jóváhagyásának örültek volna, az rejtély a ProtonMail alapítói előtt...
Nem sokkal később a Paypal feloldotta a számla zárolását. A ProtonMail projekt 100 ezer dollárt kért IndieGoGo kampányában. Még 12 nap van a kampányzárásig, de már majdnem a négyszerese jött össze a kért összegnek.

További részletek a ProtonMail-ről a kampányoldalon.

Az NSA szerint a Linux Journal olvasói szélsőségesek, megfigyelésre érdemesek

 ( trey | 2014. július 4., péntek - 9:28 )

XKeyscore ruleset részlet

Az ARD német közszolgálati műsorszóró weboldalán megjelent egyik cikk újabb Snowden-dokumentumokra hivatkozva állítja, hogy az NSA a privacy-tudatos embereket is gyanúsnak és megfigyelésre érdemesnek tartja. Az NSA által alkalmazott - már nem annyira titkos - XKeyscore megfigyelőrendszer nyilvánosságra került szabályaiból kiderül, hogy már az is elegendő volt arra, hogy az NSA kövessen egy IP címet, hogy arról keresést indítottak privacy eszközökre, például TAILS-re (korábbi cikkünk), vagy arról az IP címről meglátogatták a régóta üzemelő egyik "szélsőséges fórumot", a Linux Journal-t.

További részletek itt és a Linux Journal oldalán olvashatók. Természetesen mindenki csak saját felelősségére látogassa meg a "szélsőséges" Linux Journal weboldalt, számolva azzal, hogy esetleg az NSA látókörébe kerül (ha még linuxosként nem került volna egyébként) - ezzel a cselekedetével!