Titkosítás, biztonság

Miért rossz ötlet strings-t futtatni megbízhatatlan helyről származó fájlokon?

 ( trey | 2014. október 28., kedd - 10:31 )

A Google biztonsági csapatát erősítő Michał "lcamtuf" Zalewski a napokban arról blogolt, hogy a számítógép kriminalisztikában és a számítógépes biztonság egyéb területein tevékenykedő biztonsági szakemberek (is) előszeretettel futtatják a "strings" segédprogramot az internetről származó, kétes eredetű binárisokon. Teszik ezt abban a tudatban, hogy a strings úgysem nem csinál semmi mást, mint végigszkenneli a fájlt és a talált stringeket kitolja a stdout-ra - ez pedig nem hangzik túl veszélyesnek.

Pedig nem kéne ezt tenniük, kiváltképp akkor nem, ha a strings GNU Binutils-ban fellelhető verzióját használják. Szóval érdemes változtatni a szokásokon, vagy rászokni a "-a" kapcsoló használatára. A disztribútoroknak pedig érdemes lenne megfontolniuk a "-a" alapértelmezetté tételét.

A részletek itt olvashatók.

A Kickstarter felfüggesztette az Anonabox kampányát; elindult az Invizbox kampánya

 ( trey | 2014. október 19., vasárnap - 11:06 )

A kaliforniai August Germar által megálmodott Anonabox egy Tor-képes OpenWrt eszköz lett volna. Pontosabban, egy "kifejezetten Tor futtatásához tervezett, nyílt forrású, beágyazott hálózati eszköz". A létrehozásához egy Kickstarter kampány indult 7500 dolláros céllal indult, de 5 nap alatt több mint fél millió dollár jött össze.

A kampány kezdete után azonban hamarosan kétségek merültek fel az Anonabox-szal kapcsolatban. A kétségeket August nem tudta eloszlatni, ezért a Kickstarter felfüggesztette kampányát.

Az Anonabox kampánya ugyan elbukott, de egy dologra biztosan jó volt: megmutatta, hogy a közösség éhes egy ilyen biztonsági/privacy eszközre.

VeraCrypt - újabb TrueCrypt fork

 ( trey | 2014. október 19., vasárnap - 8:31 )

VeraCrypt

A VeraCrypt egy újabb TrueCrypt fork. Honlapja szerint számos olyan biztonsági problémát javít, ami megtalálható a TrueCrypt-ben, illetve több dolgot is jobban csinál, mint a TrueCrypt. A VeraCrypt tárolási formátuma nem kompatibilis a TrueCrypt tárolási formátumával.

Részletek a projekt weboldalán.

Tor Browser 4.0

 ( trey | 2014. október 17., péntek - 8:10 )

Megjelent a Tor Browser (korábbi nevén Tor Browser Bundle - TBB) 4.0-s kiadása. A Tor Browser a Tor Project egyik zászlóshajó terméke. Összetevői: Firefox ESR alap, TorButton, TorLauncher, NoScript, HTTPS Everywhere kiegészítő valamint Tor Proxy. Futtatható cserélhető adattárolóról. Elérhető Windowsra, Mac OS X-re és Linuxra.

A Tor Browser használatakor automatikusan elindítja a Tor folyamatot és a böngészési forgalmat a Tor hátózaton keresztül hajtja. A böngészés befejeztével a böngésző minden érzékeny adatot - sütiket, böngészési előzményt stb. - töröl.

A 4.0-s kiadásban egyebek mellett letiltották az SSLv3 protokollt a POODLE sebezhetőség miatt. Részletek a bejelentésben.

Tails 1.2

 ( trey | 2014. október 17., péntek - 7:59 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.2-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Az 1.2-es kiadásban számos biztonsági hibát javítottak. A kiadásba belekerült a Tor Browser, ami az eddigi Iceweasel-alapú böngészőt váltotta. A Tor Browser ezen verzióját már nem érinti a POODLE sebezhetőség.

Részletek a bejelentésben.

[Frissítve] Anonabox - OpenWrt-t és Tor szervert futtató, nyílt hálózati eszköz a privacy-tudatos embereknek

 ( trey | 2014. október 16., csütörtök - 7:25 )

A projekt kampánya a Kickstarter-en indult. A projekt gazdája 7500 dollárt kért. Eddig 592 266 dollár jött össze. Még 26 nap van a kampányzárásig.

Frissítés: Több helyen is felmerültek kétségek az Anonabox-szal kapcsolatban. Olvasd el a részleteket itt.

POODLE - Az SSL 3.0 tervezési hibájára figyelmeztet a Google

 ( trey | 2014. október 15., szerda - 11:55 )

Google Security Team három szakembere - Bodo Möller, Thai Duong, Krzysztof Kotowicz - felfedezték, hogy az SSL 3.0-nak komoly tervezési hibája van. Noha az SSL 3.0 már 15 éves, még mindig széles körben támogatott maradt. Például szinte az összes böngésző támogatja annak érdekében, hogy megkerülhessék a HTTPS szerverek bugjait. Ha ezek a böngészők bugos HTTPS szerverrel találkoznak, megpróbálják újra létrehozni a hibás kapcsolatot egy régebbi protokollal (fallback), például SSL 3.0-val. Mivel a hálózati támadó képes kapcsolati hibát előidézni, ezzel rákényszerítheti az áldozat böngészőjét az SSL 3.0 használatára és így kihasználhatja a régi, ám széles körben használt protokoll sebezhetőségét.

A Google azt reméli, hogy a következő hónapokban teljes mértékben eltávolíthatják az SSL 3.0 támogatást a klienstermékeikből.

[ bejelentés | problémaleírás ]

"Nem hackelték meg a Dropbox-ot"

 ( trey | 2014. október 14., kedd - 13:15 )

Ugyan számos internetes híroldal arról számolt be, hogy feltörték a Dropboxot és felhasználónév/jelszó párosok szivárogtak ki, a Dropbox tagadja, hogy bármi ilyesmi történt volna. A Dropbox szerint a felhasználók adatai biztonságban vannak. Az első jelentések megérkezése óta újabb felhasználónév/jelszó párosokat tartalmazó lista került nyilvánosságra. A Dropbox ellenőrizte a listát, de azok nem hozhatók összefüggésbe Dropbox fiókokkal.

Részletek a cég állásfoglalásában.

David A. Wheeler - Shellshock

 ( trey | 2014. október 9., csütörtök - 7:35 )

David A. Wheeler egy részletes összefoglalót készített a bash nemrégiben széles körben nyilvánossá vált Shellshock sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

Tyupkin - Windows XP-s ATM-ek kirámolását segítő malware-t fedezett fel a Kaspersky Lab

 ( trey | 2014. október 8., szerda - 9:49 )

Pénzügyi szervezetek megbízásából a Kaspersky Lab szakértői nyomozásba kezdtek egy kelet-európai ATM-eket érintő cybertámadással kapcsolatban. A vizsgálat során egy malware-re bukkantak, amelynek segítségével támadók számára lehetővé vált az ATM-ek pénzkazettájának kiürítése.

OpenSSH 6.7

 ( trey | 2014. október 8., szerda - 7:46 )

Damien Miller bejelentette, hogy elérhető az OpenSSH 6.7-es kiadása. Érdemes átolvasni a bejelentést, mert benne potenciális inkompatibilitásról is szó esik. A szokásos hibajavítások mellett számos új funkció érkezik a kiadással. Részletek itt.

A Bash "Shellshock" sebezhetőség publikálása és aktív kihasználása óta

 ( hendrick | 2014. szeptember 30., kedd - 7:28 )
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, patcheltem (kézimunka)
12% (37 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, patcheltem (gyártó/szolgáltató által biztosított módon)
51% (151 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, még nincs konzerv-patch, várom a kiadását
2% (7 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, szerintem nem érintettek
2% (5 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, a gyártó/provider szerint nem érintettek
0% (1 szavazat)
próbáltam ellenőrizni, de a gyártó/provider még nem foglalkozott a problémával
0% (1 szavazat)
próbáltam ellenőrizni, de a gyártó/provider láthatóan nem érti a problémát, ami kiderült az általa kiadott hirdetményből
0% (0 szavazat)
nincs energiám ezzel foglalkozni (majd úgyis auto-update-el a rendszer)
9% (27 szavazat)
nincs energiám ezzel foglalkozni (majd valamikor kézzel updatelek, ha lesz patch, az is felmegy)
7% (21 szavazat)
egyéb / leírom / csak az eredmény érdekel / nem érdekel az egész
16% (49 szavazat)
Összes szavazat: 299

Apple közlemény a hírességek fotóival kapcsolatos vizsgálatról

 ( trey | 2014. szeptember 4., csütörtök - 15:08 )

Mint az ismert, számos hírességről szivárogtak ki privát képek az internetre. Több teória is van arról, hogy hogyan kerülhettek ezek a képek illetéktelenek kezére. Az egyik ilyen teória az, hogy az Apple szolgáltatásának sebezhetőségét kihasználva jutottak hozzá illetéktelenek.

Az Apple nyomozásban kezdett az üggyel kapcsolatban. Ahogy írják, 40 órányi vizsgálat után arra jutottak, hogy bizonyos hírességek fiókjait nagyon célzott, felhasználóneveket, jelszavakat és biztonsági kérdéseket érintő támadással sikerült feltörnie a támadóknak. Az Apple szerint a képek kiszivárgása nem az Apple rendszerekbe való betörés folyománya, a szolgáltatásaik - beleértve az iCloud és Find my iPhone - sértetlenek.

A közlemény itt olvasható.

Bankolsz mobiltelefon-alkalmazáson keresztül?

 ( trey | 2014. augusztus 25., hétfő - 12:27 )
Igen.
29% (172 szavazat)
Nem, nincs okostelefonom.
10% (62 szavazat)
Nem, a mobil OS-emet nem támogatja a bankom.
2% (11 szavazat)
Nem, a bankomnál nincs mobiltelefonos bankoló alkalmazás.
5% (28 szavazat)
Nem, nem is tudtam, hogy ilyet lehet.
2% (12 szavazat)
Nem, félek, hogy nem elég biztonságos.
21% (128 szavazat)
Nem, a telefon kényelmetlen erre.
24% (141 szavazat)
Egyéb, leírom.
3% (18 szavazat)
Csak az eredmény érdekel.
4% (25 szavazat)
Összes szavazat: 597

GNU hackerek állítják, hogy több országra kiterjedő, fenyegető kormányzati megfigyelőrendszert lepleztek le

 ( trey | 2014. augusztus 22., péntek - 7:07 )

Az Free Software Foundation blogjában arról számolt be, hogy GNU aktivisták és velük együttműködők egy több országra kiterjedő, fenyegetést jelentő kormányzati megfigyelőrendszert lepleztek le. A megfigyelőrendszer kódneve HACIENDA. A Heise.de szerint az Egyesült Államok, Kanada, az Egyesült Királyság, Ausztrália és Új-Zéland hírszerzési szervei üzemeltetik a HACIENDA-t, amelyet arra használnak, hogy 27 ország összes szerverét feltérképezzék a portszkennelésnek nevezett technikával.

Komoly mértékű előrelépést lát a Facebook az SMTP STARTTLS telepítésekben

 ( trey | 2014. augusztus 21., csütörtök - 11:45 )

SMTP STARTSSL deployment

A Facebook még májusban tett közzé egy megállapítást az SMTP STARTTLS telepítések helyzetéről. Akkor a közösségi hálózat üzemeltetői arról számoltak be, hogy a tőlük a felhasználókhoz kimenő értesítőüzenetek alig 28,6%-a került sikeresen titkosításra és ment át "strict" tanúsítvány-ellenőrzésen (a szám 58%, ha beleszámoljuk az "opportunistic" titkosítást is). A Facebook akkor bátorította a szolgáltatókat, hogy lépjenek az ügyben. Most, alig pár hónappal később újra megvizsgálták a kérdést és meglepődve tapasztalták, hogy a kimenő értesítéseik immár 95%-ban sikeresen titkosítottak. Az óriási előrelépést főként a Microsoft és Yahoo! reagálásának tulajdonítja a Facebook.

A részletek itt olvashatók.

Kétfaktoros autentikációt vezettek be a Linux kernel Git tárolóihoz

 ( trey | 2014. augusztus 20., szerda - 16:51 )

A Linux.com-on Konstantin Ryabitsev arról számolt be, hogy egy további biztonsági réteget szerettek volna bevezetni a Linux kernel Git tárolóinak védelme érdekében, ezért a kernel.org-ra account-tal rendelkező kernelfejlesztők számára kétfaktoros autentikációt valósítottak meg. A megvalósításához a Yubikey Hardware megoldásra esett a választás. A Yubikey gyártója, a Yubico a megkeresésre az összes, a kernel.org-ra account-tal rendelkező kernelfejlesztő számára elegendő eszközt adományozott.

A részletek itt olvashatók.

CryptoLocker által titkosított fájlok visszaállítására szakosodott oldal indult

 ( trey | 2014. augusztus 7., csütörtök - 14:52 )

CryptoLocker

Azon kevésbé szerencsés Windows felhasználók számára, akik beszopták a CryptoLocker ransomware-t, jó hír lehet, hogy elindult egy oldal, amely arra vállalkozott, hogy a malware által titkosított fájlokat visszaállítja használható állapotba.

A képlet (illetve a fenyegetés) egyszerű: az áldozat beszopja a malware-t, ami aztán titkosítja a felhasználói adatokat (office dokumentumok, mp3-ak, képek stb.), majd közli az áldozattal, hogy X órája van arra, hogy fizessen és cserébe megkapja a fájlok visszaállításához szükséges privát kulcsot. Ha nem fizet, akkor a kulcs - ami az interneten egy titkos helyen tárolódik - megsemmisül és onnantól kezdve a felhasználó búcsút mondhat (elvileg, de láthatjuk, hogy nem) örökre az adatainak.

BadUSB - amikor az USB-s eszközök gonosszá válnak

 ( trey | 2014. augusztus 2., szombat - 14:53 )

Nem újdonság az, hogy USB-n keresztül érhetik az embert meglepetések. Sőt! Tovább bővülhet azon ismert támadások száma, amely USB-n keresztül érheti a felhasználókat. Az SRLabs-os Karsten Nohl és Jakob Lell arra készül, hogy 2014. augusztus 7-én "BadUSB" címmel előadást tart az idei BlackHat konferencián. Az előadás során egy olyan új malware-típust mutatnak be, amely az USB-s eszközök belsejében található vezérlőáramkörökből folytatja tevékenységét. Ennélfogva a szokásos védelmi eszközök teljes mértékben hatástalanok ellene.

Az előadás során a szakemberek bemutatnak egy teljes rendszerkompromittálást USB felől és egy olyan
önterjesztő USB vírust, amit állításuk szerint a jelenleg használt védelmi mechanizmusokkal lehetetlen detektálni.

Részletek itt és itt.

Az oroszok bele akarnak nézni az Apple és SAP szoftverek forráskódjaiba

 ( trey | 2014. július 31., csütörtök - 11:37 )

A Reuters egyik cikke szerint Oroszország azt várja mind az Apple-től, mind az SAP-tól, hogy azok működjenek együtt velük és engedjenek betekintést az orosz hatóságok számára termékeik forráskódjába. Az oroszok biztosak akarnak lenni abban, hogy a gyártók szoftverei nem tartalmaznak kémkedésre alkalmas eszközöket, megoldásokat.

Az oroszok javaslata az együttműködésre múlt héten hangzott el, mikor is Nyikolaj Nyikiforov orosz távközlési és tömegkommunikációs miniszter találkozott Peter Engrob Nielsen-nel, az Apple, és Vyacheslav Orekhov-val, az SAP oroszországi képviselőivel. Ezt az orosz telekommunikációs minisztérium adta közre egy közleményben.

Nem ez az első eset, hogy az oroszok gyanakodva néznek a nyugati technológiára. Nemrég jött ha hír, hogy lecserélték az orosz tisztviselők iPad-jeit Samsung tabletekre.

Vásárolnál anonym (személyes adathoz nem kötött) telefonelőfizetést?

 ( Hiena | 2014. július 31., csütörtök - 8:40 )
Igen
66% (224 szavazat)
Nem
17% (58 szavazat)
Csak az eredmény érdekel.
17% (58 szavazat)
Összes szavazat: 340

Orfox OS - Tor-integrált Firefox OS érkezhet

 ( trey | 2014. július 30., szerda - 11:29 )

Azok közül, akik fontosnak tartják a privát szférájuk védelemét, az anonimitást, többen is esküsznek a Tor hálózat nyújtotta védelemre. Nekik lehet jó hír, hogy egy, a Vimeo-n felbukkant videó szerint Tor-integrált Firefox OS érkezhet OrFox OS néven, ami extra kicsi költség fejében mobiltelefonos anonimitást ígér. A videón egy 25 dolláros Firefox OS okostelefon prototípus készüléken fut látszólag egy Tor-integrált Firefox OS. A videó készítője további infókat ígér hamarosan...

Vezetéknélküli billentyűzetet ...

 ( traktor | 2014. július 29., kedd - 7:25 )
sosem használnék, mert nem biztonságos (lehallgatható).
4% (22 szavazat)
használnék/használok, de zavar, hogy nem biztonságos.
6% (33 szavazat)
használnék/használok és szerintem éppen elég biztonságos.
8% (40 szavazat)
használnék/használok és nem izgat a biztonságuk.
31% (161 szavazat)
nem érdekel a vezetéknélküli billentyűzet, akár biztonságos akár nem.
43% (221 szavazat)
Egyéb, lent leírom.
3% (14 szavazat)
Csak az eredmény érdekel.
4% (22 szavazat)
Összes szavazat: 513

iOS File Relay POC

 ( trey | 2014. július 27., vasárnap - 10:27 )

Jonathan Zdziarski nemrég publikálta széles körben, hogy az Apple backdoor-okat épített az iOS-be és azokról elfelejtette tájékoztatni a nagyérdeműt. Miután a szakértő publikálta amit talált, az Apple elismerte, hogy "diagnosztikai képességek" találhatók mobil operációs rendszerében.

BoringSSL-re váltott a Google a Chromium-ban

 ( trey | 2014. július 25., péntek - 7:46 )

Az OpenSSL Heartbleed sebezhetőség után két OpenSSL forkot is bejelentettek. Az egyik az OpenBSD-sek által fejlesztett LibreSSL, a másik a Google által házon belül karbantartott/fejlesztett BoringSSL. A Google alkalmazásában álló Ilya Grigorik a napokban linkelte be, hogy a Chromium fejlesztők BoringSSL-re váltottak.