Titkosítás, biztonság

A Tarsnap 1000 dolláros exploit jutalma

 ( trey | 2015. szeptember 1., kedd - 9:39 )

Colin Percival FreeBSD fejlesztő, a FreeBSD Security Team korábbi tagja, egykori FreeBSD Security Officer. A FreeBSD közösségen belül a korábbi posztjain kívül feltehetően a FreeBSD Update-en és Portsnap-en végzett munkái után ismert leginkább.

2006-ban Colin egy jobb online backup szolgáltatást akart indítani. Így született meg a Tarsnap, ami úgy reklámozza magát, mint "Online backups for the truly paranoid" (a teljesen paranoiások online backupjai). Körülbelül két évnyi fejlesztés és privát tesztelés után 2008-ban nyilvános béta üzemben elindult a szolgáltatás. 2009 februárjában üzleti szintre ért, 2011 szeptemberében pedig megalakult Tarsnap Backup Inc. vállalat Kanadában.

Ins0mnia - ideje frissíteni iOS 8.4.1-re

 ( trey | 2015. augusztus 27., csütörtök - 12:48 )

Aki még nem frissített iOS 8.4.1-re, annak újabb ok lehet az Ins0mnia sebezhetőség napvilágra kerülése. A FireEye csapat keresztelte el Ins0mnia-nak azt az iOS sebezhetőséget, amely lehetővé teszi tetszőleges alkalmazás korlátlan ideig háttérben való futását azután is, hogy azt a felhasználó bezárta és az már nem látszik a task switcher-ben. A sebezhetőség lehetővé teszi a bármely iOS alkalmazás számára az Apple háttér(ben futás) korlátozásainak áthágását.

A biztonsági cég a fenti videón mutatja be azt, hogy az Ins0mnia alkalmazás a bezárása után is tovább küldi a GPS koordinátákat. Az Apple megerősítette, hogy a sebezhetőséget javította az augusztus 13-án kiadott iOS 8.4.1-ben.

Részletek itt.

A Grsecurity felfüggeszti a stable patchek publikus terjesztését

 ( trey | 2015. augusztus 27., csütörtök - 10:23 )

A Grsecurity projekt tegnap bejelentette, hogy a beágyazott Linux iparág hozzáállása, ezen iparág egyes szereplői által okozott frusztráltság, a folyamatban levő GPL- és védjegysértések stb. miatt úgy döntött, hogy tegnaptól számított két hét múlva felfüggeszti a stable patchkészletei publikus terjesztését. Azokat az említett dátumtól kezdve csak szponzorai számára teszi elérhetővé. A bejelentés - hogy ne hasson ki negatívan a Gentoo Hardened és Arch Linux közösségekre - nem érinti a tesztelésre szánt test patch sorozatot.

Részletek itt.

Újabb crapware miatt kell a Lenovo-nak magyarázkodnia

 ( trey | 2015. augusztus 13., csütörtök - 13:46 )

Az év elején voltak már kellemetlen napjai a Lenovo-nak a Superfish ügy miatt. Most ismét valami hasonló, kellemetlen helyzetbe keveredett a gyártó.

Az Ars Technica szerint a Windows 8 / Windows 10 tartalmaz egy sokak számára ismeretlen és meglepő funkciót. Az OEM PC gyártók beágyazhatnak windowsos végrehajtható állományt a gépeik firmware szoftverébe. A Windows 8/10 ezt a végrehajtható állományt kibontja a boot során és automatikusan futtatja. Ezzel a mechanizmussal az OEM gyártó saját szoftvert injektálhat a Windows rendszerbe, akkor is, ha az frissen került újratelepítésre.

A 2015-ös Pwnie-díj győztesei

 ( trey | 2015. augusztus 9., vasárnap - 12:12 )

Pwnie 2015

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a kilencedik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.

A 2015-ös Pwnie awards díjazottjai:

A Mozilla elkezdte blokkolni a Flash-t a Firefox-ban

 ( trey | 2015. július 14., kedd - 15:17 )

A hétvégén a Facebook biztonsági igazgatója, Alex Stamos kifakadt és arról tweetelt, hogy itt az ideje annak, hogy az Adobe bejelentse a Flash életciklusának végét és arra kérje a böngészőgyártókat, hogy azok állítsák be a killbiteket az adott napra.

A Firefox support team vezetője komolyan vette a kérést. Olyannyira, hogy meg sem várta az Adobe-ot, már tegnap bejelentette, hogy a Flash összes verziója alapértelmezetten blokkolt a Firefox-ban tegnaptól.

LibreSSL 2.2.1

 ( trey | 2015. július 9., csütörtök - 11:56 )

Brent Cook bejelentette, hogy elérhető az OpenBSD-s OpenSSL-fork, a LibreSSL 2.2.1-es kiadása. A kiadást szélesebb körű operációs rendszer támogatás, kódminőség javulás és egyes funkciók eltávolítása jellemzi. A kiadásban megjelent a (feltehetően) Windows 2008 (a bejelentésben Windows 2009 szerepel), Windows 2003 és Windows XP támogatás.

Részletek a bejelentésben.

OpenSSH 6.9

 ( trey | 2015. július 3., péntek - 9:16 )

Damien Miller bejelentette az OpenSSH 6.9 elérhetőségét. A 6.9-es kiadás főként bugfix kiadás, így főként hibajavításokat tartalmaz néhány új funkció társaságában. A bejelentés megemlíti, hogy a július végére tervezett OpenSSH 7.0-s kiadásban néhány funkció deprecated állapotba kerül és ezek érinthetik a kompatibilitást és a meglevő konfigurációkat.

Részletek a bejelentésben.

"Pehelysúlyú SSL-implementációt készített az Amazon"

 ( trey | 2015. július 2., csütörtök - 7:56 )

"Vadonatúj, pehelysúlyú SSL/TLS implementációt mutatott be az Amazon. Az S2N fantasztikusan kis kódbázissal valósítja meg a titkosítási protokollt, emiatt a készítők szerint könnyebben fenntartható, mind az alternatívák (például OpenSSL). Az S2N szabad szoftver, amely kimondottan az OpenSSL egyik fő könyvtárának, a libssl-nek kiváltására készítettek az Amazon fejlesztői. [...] az implementáció egészében szabad szoftver, a forráskód és a dokumentáció is elérhető a projekt GitHub-oldalán. Az Amazon által használt licenc Apache 2.0, a fejlesztők a külső hozzájárulásokat is nagyon szívesen veszik."

A teljes cikk itt olvasható.

Engedtek a fejlesztők, nem fogja letölteni le a Chromium a "hotwording" blobot

 ( trey | 2015. június 26., péntek - 12:17 )

Nemrég volt szó arról, hogy Debian fejlesztők észrevették, hogy a Chromium újabb verziója csendben blobot tölt le. Zúgolódás kezdődött. A Chromium fejlesztők a nyomásnak engedve végül beadták a derekukat. Ez azt jelenti, hogy

  • eltávolítják a hotwording komponenst
  • A Chromium build-ekben az r335874-től (version 45) kezdve alapértelmezetten le van (lesz) tiltva a "hotwording" és a böngésző nem tölti le a modult
  • nem lesz lehetőség a funkció futási időben történő engedélyezésre
  • a fenti változások nem érintik a Chrome felhasználókat
  • azok a Chromium felhasználók, akik szeretnének hotwording támogatást, kénytelenek lesznek maguknak fordítani

A részletek itt olvashatók.

A HP 0day Internet Explorer sebezhetőségek részleteit hozta nyilvánosságra

 ( trey | 2015. június 24., szerda - 10:19 )


Példa az ASLR áthágására

A HP Zero Day Initiative (ZDI) kezdeményezésének szakemberei javítatlan (0day) Internet Explorer sebezhetőségek részleteit, illetve a hozzájuk való proof-of-concept exploit kódokat hoztak nyilvánosságra. Ritka lépés ez a ZDI-től, ami szinte sosem hoz nyilvánosságra ilyen információkat addig, amíg az érintett gyártó a javítást el nem készíti. Ebben az esetben a ZDI azért tért el a szokásos protokolltól, mert a Microsoft azt közölte, hogy nem tervezi javítani a szóban forgó sebezhetőségeket. Annak ellenére sem, hogy a sebezhetőségek olyan súlyosak, hogy a Microsoft 125 ezer dollárt fizetett ki érte a ZDI csapatának a BlueHat Bonus for Defense program keretében.

LibreSSL 2.1.7 és 2.2.0

 ( trey | 2015. június 12., péntek - 12:19 )

Brent Cook bejelentette az OpenSSL OpenBSD-s forkjának, a LibreSSL-nek 2.1.7-es és 2.2.0-s kiadását. Az új kiadások újdonsága, hogy immár támogatják az IBM AIX operációs rendszerét, illetve a Cygwin környezetet is.

Az újdonságok mellett a fejlesztők refaktoráltak, kódot tisztítottak, illetve különböző bugokat javítottak. A windowsos binárisok kicsit csúsznak, várhatóan a jövő héten jelennek meg.

Részletek a bejelentésben.

Új kolléga nálatok ... kap kiemelt, rendszerszintű jogosultságot (domain admin, vállalati rendszergazda, root, commit stb.)

 ( trey | 2015. június 11., csütörtök - 10:57 )
a belépés után azonnal (1. munkanap)
12% (43 szavazat)
a próbaidő alatt, ha már bizonyított
16% (60 szavazat)
a próbaidő letelte után azonnal, automatikusan
2% (8 szavazat)
a próbaidő letelte után, de csak ha már bizonyított
11% (40 szavazat)
csak ha már bizonyított (akár hónapok, évek is eltelhetnek)
12% (44 szavazat)
majd akkor, ha felmondok!!!! ;)
4% (15 szavazat)
soha!!!! xD
5% (19 szavazat)
egyéb, leírom.
4% (13 szavazat)
csak az eredmény érdekel.
34% (124 szavazat)
Összes szavazat: 366

iOS Mail.app adathalászat proof-of-concept

 ( trey | 2015. június 11., csütörtök - 8:17 )

Az Ernst and Young biztonsági szakembere, Jan Soucek egy olyan keretrendszert ütött össze, amellyel bemutathatja, hogy hogyan lehetne adathalászat típusú támadással rászedni az iOS felhasználókat. Az iOS 8.3 Mail.app inject kit-et elérhetővé tette a GitHub-on. Soucek azt állítja, hogy a problémát januárban jelezte az Apple-nek, de az eddig nem készített javítást rá. Soucek szerint a bug az iOS Mail.app-jében található. A fenti videó egy példát mutat a probléma adathalászatra való kihasználására.

Elnézést kért a Locker ransomware (állítólagos) készítője, elérhetővé tette a decryption kulcsokat

 ( trey | 2015. június 2., kedd - 10:04 )

Előállt a Locker titkosító ransomware állítólagos készítője, aki egy Pastebin üzenetben elnézést kért az okozott problémákért. Azt írta, hogy nem állt szándékában kiadni a malware-t. Az üzenetben tudatta, hogy feltöltötte a mega.co.nz-re az adatbázist, amely tartalmazza az adatokat "bitcoin cím, publikus kulcs, privát kulcs" formában, CSV formátumban. Az adatbázis állítólag az összes adatot tartalmazza és a legtöbb kulcsot még nem használták. Vannak, akik megerősítették, hogy az adatbázis valós.

A bejegyzés szerint az automatikus kititkosítás ma éjfélkor megkezdődik.

A részletek itt olvashatók. További részletek itt.

A brit kormányzat nem újítja meg a Microsoft-tal a Windows XP-kre tavaly kötött támogatási szerződését

 ( trey | 2015. május 12., kedd - 7:54 )

A brit kormányzat tavaly támogatási szerződést kötött 5,5 millió angol fontért az általa még használt Windows XP-kre a Microsoft-tal. A szerződés egy évre szólt, idén április 14-ig tartott. A kormányzat úgy döntött, hogy nem hosszabbítja meg a szerződést, annak ellenére sem, hogy a Whitehall-on még számítógépek ezrei futtatják az "ősi szoftvert".

Ugyan a kormányzat nem újítja meg a szerződést, az egyes minisztériumok és kormányzati hivatalok önállóan dönthetnek a szerződés meghosszabbításáról. A Metropolitan Police a meghosszabbításról tárgyal, mert majdnem 36 ezer gépen futtat még XP-t. Viszont van olyan hivatal, amelyiknek nincs terve a problémára.

Részletek itt és itt.

Hívószámkijelzés nélküli, ismeretlen telefonhívásokat ...

 ( trey | 2015. május 8., péntek - 12:26 )
sosem veszem fel.
22% (146 szavazat)
inkább nem veszem fel, mint felveszem.
34% (226 szavazat)
inkább feveszem, mint nem veszem fel.
20% (134 szavazat)
mindig felveszem.
17% (114 szavazat)
Egyéb, leírom.
3% (17 szavazat)
Csak az eredmény érdekel.
3% (21 szavazat)
Összes szavazat: 658

Szállítani fogja a Truecaller-t a Cyanogen Inc. a Cyanogen OS-sel

 ( trey | 2015. május 8., péntek - 10:32 )

A Cyanogen Inc. partnerségre lépett a True Software Scandinavia AB-vel. A partnerség keretében a Cyanogen Inc. hozzáreszeli a Truecaller szolgáltatást a Cyanogen OS-hez. A szolgáltatás segítségével a felhasználóknak lehetősége nyílik a bejövő hívások caller ID-alapú szűrésére és a kéretlen hívások blokkolására. A OnePlus One felhasználók OTA frissítés keretében jutnak majd a szolgáltatáshoz. Mivel a Cyanogen mindig a választás lehetőségéről szól, a szolgáltatás használata teljes mértékben opcionális lesz.

Részletek itt.

Jellyfish rootkit és Demon keylogger

 ( trey | 2015. május 8., péntek - 9:34 )

A Team Jellyfish egy GPU-alapú (egyelőre, de várhatóan nem kizárólag) linuxos rootkit-tel és egy szintén GPU-alapú keylogger-rel örvendeztette meg a nagyérdeműt. Mindkét megoldás PoC, jelenleg nem teljes. A csapat célja az volt, hogy felhívja a figyelmet arra, hogy GPU-alapú malware nem fikció, nem sci-fi, hanem valóság.

A kódok GPLv2 alatt megtalálhatók a GitHub-on: Jellyfish rootkit | Demon keylogger

Programokban, alkalmazásokban (pl. webböngésző) a jelszavakat ...

 ( trey | 2015. május 6., szerda - 8:12 )
sosem mentem el (egyet sem)
18% (96 szavazat)
mindig, mindet elmentem (az összeset, kivétel nélkül)
20% (106 szavazat)
csak a nem fontosakat mentem el, a fontosakat sosem
41% (212 szavazat)
hangulattól függően elmentem vagy nem
11% (59 szavazat)
Egyéb, leírom.
5% (24 szavazat)
Csak az eredmény érdekel.
5% (26 szavazat)
Összes szavazat: 523

Teamsafe a központosított jelszótároláshoz

 ( jupiter2005ster | 2015. április 24., péntek - 7:42 )

Sok szervezetben okoz gondot a rengeteg különböző jelszó tárolása. A GitHub-on elérhető egy remek megoldás erre. AD-ból authentikál és titkosítva tárol mindent MySQL-ben. Két kulccsal titkosít, amit meg kell jegyezni mivel azok hiányában az alkalmazás nem fog elindulni. Kvázi mester kulcsok.

A Microsoft új webböngészőiben nem lesz alapértelmezett beállítás a "Do Not Track"

 ( trey | 2015. április 3., péntek - 20:23 )

A Microsoft ma bejelentette, hogy változtat a "Do Not Track"-kel kapcsolatos hozzáállásán és nem engedélyezi azt alapértelmezetten a jövőben kiadásra kerülő webböngészőiben.

A népszerű böngészőkben megtalálható "Do Not Track" feature bekapcsolt állapotban arról értesíti a weboldalakat és azok hirdetőit, hogy a látogató ki akarja kapcsolni a reklámozási célú 3rd party követést. A Microsoft 2012 augusztusában bejelentette, hogy az IE 10-nél a "Do Not Track" alapértelmezetten engedélyezve lesz az "Express Settings" választásakor.

A mai bejelentés elolvasható itt.

Megérkezett a TrueCrypt átvilágítás második fázisának összefoglaló jelenetése

 ( trey | 2015. április 3., péntek - 10:52 )

"Ezen auditálás alapján a TL;DR az, hogy a Truecrypt viszonylag jól megtervezett titkosító szoftvernek tűnik. Az NCC audit nem talált bizonyítékot sem szándékos backdoor-ra, sem semmilyen komolyabb tervezési hibára, amely a szoftvert a leggyakoribb felhasználási esetekben biztonságtalanná tenné.

De ez nem jelenti azt, hogy a TrueCrypt tökéletes."

A TrueCrypt auditálásának második fázisáról szóló a legfrissebb blogbejegyzés itt, az átvilágítás eredménye pedig itt található.