Titkosítás, biztonság

openssl.org defacement, a forrástárolók érintetlenek

 ( trey | 2013. december 30., hétfő - 11:14 )

Az OpenSSL projekt webszervere defacement áldozata lett. A szervert a támadás után lekapcsolták, a forrástárolókat ellenőrizték és azok az elsődleges vizsgálatok után érintetlennek tűntek. A weboldal közben visszatért, ismét online. Az OpenSSL projekt tájékoztatást későbbre ígért.

MicroSD kártyák hackelése és biztonsága

 ( trey | 2013. december 30., hétfő - 0:45 )

04

Andrew "bunnie" Huang blogján arról számolt be, hogy társával egy előadást tartottak a Chaos Computer Congress rendezvényen a minap, amely előadás során egyes SD kártyákban jelen levő, tetszőleges kódfuttatást lehetővé tevő sebezhetőségekről beszéltek.

Huang szerint egyes SD kártyák olyan sebezhetőségeket tartalmaznak, amelyek tetszőleges kódvégrehajtást tesznek lehetővé a kártyán magán. A rossz hír, hogy a memóriakártyán végrehajtott kódfuttatás MITM (man-in-the-middle) támadásokra adhat lehetőséget. A jó hír, hogy a hardverbuzik számára megnyílik a lehetősége annak, hogy nagyon olcsó és mindenhol fellelhető mikrokontroller forráshoz jussanak.

A blogbejegyzés itt olvasható. Az előadás diái itt találhatók.

Kedvenc tűzfal (distro)?

 ( csontika | 2013. december 28., szombat - 18:01 )
pfSense
12% (42 szavazat)
RouterOS
7% (24 szavazat)
saját megszokott Linux disztró + iptables stb.
42% (144 szavazat)
IPFire
1% (2 szavazat)
IPCop
2% (7 szavazat)
Endian
3% (9 szavazat)
ClearOS
1% (2 szavazat)
Zentyal
3% (9 szavazat)
Sophos UTM
1% (4 szavazat)
Sphirewall
0% (0 szavazat)
Smoothwall
1% (2 szavazat)
Untangle
0% (1 szavazat)
Vyatta
1% (2 szavazat)
OpenWRT
12% (41 szavazat)
Tomato
4% (13 szavazat)
m0n0wall
1% (3 szavazat)
Egyéb, leírom
10% (34 szavazat)
Összes szavazat: 339

Az RSA blogjában tagadja, hogy eladta volna magát

 ( trey | 2013. december 24., kedd - 1:12 )

A Reuters egyik cikkében nemrég arról írt, hogy az RSA titokban 10 millió dollárt kapott cserébe az NSA-tól azért, hogy BSAFE titkosítási library-jába tudottan hibás RNG-t építsen, majd azt alapértelmezetté tegye. Az RSA blogján azt írja, hogy ezt a vádat határozottan visszautasítja.

Az RSA nem titkolja, hogy széleskörű együttműködésben volt az NSA-val, úgy is mint gyártó és úgy is mint a biztonsági közösség aktív tagja. Mint írja, sosem titkolta ezt a kapcsolatot, sőt, nyíltan kezelte.

Snowden-től származó dokumentumok szerint az RSA titokban 10 millió dollárt kapott az NSA-tól

 ( trey | 2013. december 21., szombat - 21:06 )

A Reuters egyik tegnapi cikke szerint titkos szerződés köti össze a biztonsági/titkosítási iparág egyik kulcsszereplőjét, az RSA vállalatot és az amerikai nemzetbiztonsági hivatalt, az NSA-t. A Reuters cikke Edward Snowden-től származó dokumentumokra hivatkozva állítja, hogy az NSA titokban 10 millió dolláros szerződést kötött az RSA-val. A hírügynökség szerint a Snowden-től származó dokumentumokból kiderül, hogy az NSA létrehozott egy szándékosan hibás "formulát" véletlenszám-generáláshoz annak érdekében, hogy az biztonsági termékekben alkalmazva "backdoor"-t hozzon létre. Ezután arra kérte az RSA-t, hogy terjessze azt el. A Reuters szerint az RSA lett ennek a megoldásnak a legfőbb disztribútora a BSAFE toolkit-en keresztül.

A cikk szerint az RSA azért kapta a 10 millió dollárt, hogy az NSA által szándékosan meggyengített random number generator-t kínálja preferáltan, alapértelmezetten a BSAFE toolkit-ben.

Qubes R2 Beta 3

 ( trey | 2013. december 12., csütörtök - 11:52 )

A lengyel biztonsági szakértő, Joanna Rutkowska tegnap bejelentette, hogy elérhető a biztonságra kihegyezett Qubes (1, 2, 3) operációs rendszer R2 verziójának harmadik bétája.

Qubes R2 Beta 3 #1

WhisperPush - titkosított üzenetküldés alapértelmezetten a CyanogenMod-ban

 ( trey | 2013. december 10., kedd - 13:28 )

A TextSecure egy nyílt forrású, keresztplatformos (jelenleg Android és iOS) kliens / protokoll, amely az SMS üzeneteidet titkosítja mind lokálisan, mint átküldéskor, ha az átküldés egy másik TextSecure felhasználóhoz történik. A TextSecure-t az Open WhisperSystems tartja karban, ahol is a titkosítás, biztonság világban jól ismert Moxie Marlinspike felügyeli a vele kapcsolatos fejlesztéseket.

Védett kommunikációs protokollt használó Linux backdoor

 ( trey | 2013. november 16., szombat - 14:25 )

A Symantec blogjában egy érdekes dologról ír. Idén májusban kifinomult eszközöket használó támadók jutottak be az egyik nagy internet hosting szolgáltatóhoz. A támadás során hozzáfértek a belső adminisztrációs rendszerhez. Úgy tűnt, hogy a támadók ügyfélinformációkat - felhasználóneveket, e-mail címeket, jelszavakat akartak megszerezni. A támadók egy fejlett backdoort helyzetek el a rendszerben. Ugyan a cég adatbázisában már nyár óta található bejegyzés a terméke(i) által csak Linux.Fokirtor-ként detektált backdoor-ról, valamiért csak most blogoltak róla.

OpenSSH 6.4

 ( trey | 2013. november 9., szombat - 8:54 )

Damien Miller bejelentette az OpenSSH 6.4 elérhetőségét. A kiadás egy biztonsági hibajavító kiadás, amely egy memóriakorrupciós hibát javít. A hiba az sshd post-authentikációs folyamatában van, de csak bizonyos körülmények közt jelentkezik. Ha a hibát kihasználják, a sebezhetőség lehetőséget adhat kódfuttatásra az authentikált felhasználó privilégiumaival, ily módon lehetőséget adhat a korlátozott shell/parancs konfigurációk áthágására.

Részletek a bejelentésben és a hibaleírásban.

Kickstarter kampányt indított a Lavabit a Dark Mail-ért

 ( trey | 2013. november 5., kedd - 10:12 )

Összefogás jött létre egy új, nyílt forrású, biztonságos email-protokoll, a Dark Mail megalkotására. A közös kezdeményezést a Silent Circle és a Lavabit - a két, korábban biztonságos email-szolgáltatást üzemeltető vállalat - indította. A két cég augusztusban húzta le a rolót, mert állításuk szerint nem tudják felhasználóik adatainak biztonságát garantálni.

badBIOS - titokzatos szupervírus? paranoia? halloweeni átverés? social engineering?

 ( trey | 2013. november 2., szombat - 18:47 )

Az elmúlt napokban egy titokzatos dolog foglalkoztatja a biztonsági szakembereket. A neve badBIOS, a Twitteren, Google+-on #badBIOS. Megosztja a biztonsági szakértőket, vannak, akik mellette, vannak akik ellene érvelnek. Vannak, akik - feltehetően nem szeretnék magukat később kellemetlen helyzetbe hozni - nem kívánnak állást foglalni sem mellette, sem ellene.

Miről van szó? Adott egy, a biztonsági világban jól ismert ember, Dragos Ruiu. Az úriember biztonsági konferenciák - CanSecWest, PacSec - szervezője, valamint alapítója a HUP-on is jól ismert Pwn2Own biztonsági "vetélkedőnek". Azaz nem egy jöttment, ismeretlen ember. Sokan most mégis kételkednek a szavaiban.

Saját telefonomon van céges levelezés és ... az adminisztrátor számára a remote wipe-ot.

 ( trey | 2013. október 29., kedd - 14:15 )
lehetővé tettem
18% (36 szavazat)
nem tettem lehetővé
46% (94 szavazat)
nem tudom, hogy lehetővé tettem-e
13% (27 szavazat)
Egyéb, leírom.
23% (46 szavazat)
Összes szavazat: 203

Biztonsági incidens a PHP.net-en

 ( trey | 2013. október 25., péntek - 18:57 )

A PHP projekt nemrég arról számolt be, hogy biztonsági incidens történt két szerverével kapcsolatban. Egyelőre még nem ismert, hogy a két szerverre milyen módszerrel sikerült a támadóknak bejutniuk. Az összes érintett szolgáltatást másik szerverekre költöztették. Ellenőrizték a git tárolójukat, de ahhoz nem sikerült a támadóknak hozzáférniük. Elképzelhető azonban, hogy a támadók hozzáfértek a php.net SSL tanúsítványának privát kulcsához, így azt azonnal visszavonták. Folyamatban van új tanúsítvány beszerzése.

A Google Ideas bemutatja az uProxy-t

 ( trey | 2013. október 22., kedd - 13:02 )

[ uProxy (jelenleg zárt béta) | Google blogbejegyzés ]

Biztonságos e-mail rendszert épít ki Brazília, hogy védje adatait az amerikai kémkedéssel szemben

 ( trey | 2013. október 16., szerda - 21:05 )

Dilma Rousseff brazil elnök - aki az amerikai megfigyelési és kémbotrány miatt a múlt hónapban lemondta esedékes washingtoni útját és egy találkozóját Barack Obama elnökkel, valamint aki ugyanezért keményen bírálta nemrég Washingtont a New York-i ENSZ-közgyűlésen - vasárnap bejelentette, hogy kormánya biztonságos e-mail rendszert építtet ki annak érdekében, hogy megóvja a hivatalos kommunikációjukat az amerikai kémkedéssel szemben. Rousseff utasította a szövetségi adatfeldolgozó hivatalt, a SERPRO-t, hogy hozzon létre egy biztonságos e-mail rendszert a szövetségi kormányzat számára.

A részletek itt olvashatók.

A Lavabit alapítója megpróbált ellenállni az FBI azon kérésének, hogy adja át az e-mail titkosítás kulcsait

 ( trey | 2013. október 5., szombat - 17:30 )

Augusztus elején volt szó arról, hogy Ladar Levison, a Lavabit tulajdonosa és üzemeltetője bejelentette, hogy hosszas mérlegelés után úgy döntött, felfüggeszti a szolgáltatás üzemeltetését. A Lavabit volt az a biztonságos e-mail szolgáltatás, amelyet az NSA-sztoriból ismert Edward Snowden is használt. Levison akkor azzal magyarázta lépését, hogy nem akar bűnrészessé válni amerikaiak ellen elkövetett bűntettekben.

A héten nyilvánosságra hozott dokumentumokból kiderült, hogy Levison több alkalommal is elutasította a hatóságok azon kérését, hogy adja át számukra az általa üzemeltetett rendszer titkosítási kulcsait.

RSA: A Hand of Thief inkább kezdetleges prototípus, mintsem valódi, kereskedelmileg életképes trójai

 ( trey | 2013. szeptember 9., hétfő - 19:29 )

Augusztus elején volt szó arról, hogy az RSA biztonsági szakemberei egy új, linuxos trójait fedeztek fel orosz underground körökben. A trójait 2000 dollárért kínálta fejlesztője, aki állította, hogy "terméke" Linux disztribúciók és desktop környezetek széles skálájával működik megbízhatóan. Később az Avast szakértői is megvizsgálták a Hand of Thief (HoT) nevű malware-t.

Yotam Gottesman, az RSA FraudAction Research Labs részlegének rangidős biztonsági kutatója alaposan szemügyre vette a HoT-ot. A vizsgálat végezetével arra jutott, hogy a malware sokkal inkább egy kezdetleges prototípus, mintsem egy valódi, kereskedelmileg életképes trójai megoldás.

Az RSA blogbejegyzése itt. További részletek itt.

Vállvetve küzd a Microsoft és a Google az átláthatóságért

 ( trey | 2013. szeptember 2., hétfő - 10:58 )

Brad Smith a Microsoft részéről arról blogolt nemrég, hogy a Microsoft és a Google általában egymással szemben áll, de most éppen vállvetve harcolnak az átláthatóságért. Mindkét céget aggasztja, hogy az amerikai kormányzat továbbra sem hajlandó lehetővé tenni számukra, hogy elegendő adatot publikáljanak a hozzájuk beérkezett Foreign Intelligence Surveillance Act (FISA) adatkérő utasításokkal, elrendelésekkel kapcsolatban. Hogy a problémát megoldják, júniusban mindkét cég bírósághoz folyamodott. Mindkét cég hisz abban, hogy az amerikai alkotmány lehetővé teszi számukra, hogy még több információt oszthassanak meg a nyilvánossággal. A Microsoft és a Google azt várja a bíróságtól, hogy az megerősítse alkotmányos jogaikat és így ők további adatokat tehessenek közzé.

Részletek a blogbejegyzésben.

Hand of Thief - friss infók a linuxos banking trójairól

 ( trey | 2013. augusztus 28., szerda - 13:09 )

Hand of Thief

Nemrég volt szó a "Hand of Thief" nevű linuxos banking trójairól. Az Avast most alaposabban szemügyre vette a rosszindulatú programot. A program érdekessége, hogy számos beépített "önvédelmi" és anti-elemző mechanizmussal rendelkezik. Például elindulás után azonnal ellenőrzi, hogy virtuális gépen fut-e, vagy a /-t chroot-olták. Ha bármi jelét látja ennek, azonnal befejezi a futást. Ezen kívül az Avast szakemberei megfigyelték, hogy a malware rendelkezik egy beépített rutinnal, amely azt figyeli, hogy fut-e Wireshark vagy tcpdump a gépen. Ha igen, akkor a program nem kommunikál kifelé.

A részletek elolvashatók itt.

E-mail privacy aggályok miatt végleg bezárt a Groklaw

 ( trey | 2013. augusztus 20., kedd - 15:41 )

A Lavabit sztorit már ismerjük. A szolgáltatás alapítója, Ladar Levison nemrég úgy döntött, hogy lehúzza a rolót, mert nem tudja garantálni felhasználói adatainak biztonságát. Levison felhagyott az elektronikus levelezéssel. A Groklaw alapítója, Pamela Jones hosszas mérlegelés után úgy döntött, hogy követi Levison példáját. Személyes döntése az, hogy elkerüli az internetet, amennyire csak tudja.

Mivel privát levelezés nélkül a Groklaw nem tud működni, az oldal befejezi működését. Az utolsó, búcsúzó Groklaw cikk itt olvasható.

A Google megerősítette a kritikus Android crypto probléma létezését

 ( trey | 2013. augusztus 15., csütörtök - 12:59 )

A Bitcoin nemrég arra hívta fel a figyelmet, hogy tudomásuk szerint az Android biztonságos véletlen számok létrehozásáért felelős komponense súlyos sebezhetőséget tartalmaz. Emiatt az augusztus 11-ig bezárólag bármely Android alkalmazás által generált összes Android tárca (wallet) sebezhető és lopás áldozatává válhat. A Bitcoin a teljesség igénye nélkül felsorolt néhány érintett - Bitcoin Wallet, blockchain.info wallet, BitcoinSpinner, Mycelium Wallet - alkalmazást. Azóta ezen alkalmazások már frissültek, a friss verziók telepíthetők a Google Play-ből. A hírek szerint a sebezhetőséget kihasználva már történt lopás a múlt héten.

Tegnap a Google részéről hivatalos megerősítés érkezett. Alex Klyubin - Android Security Engineer - a probléma hátteréről ír "Some SecureRandom Thoughts" blogbejegyzésében.

A blogbejegyzésből kiderül, hogy a sebezhetőség nem korlátozódik kizárólag a Bitcoin tárcaprogramokra, illetve fejlesztőknek szóló javaslatokat is tartalmaz a probléma elkerüléséhez.

Két biztonságos e-mail szolgáltató is lehúzta a rolót, mert nem tudják felhasználóik adatainak biztonságát garantálni

 ( trey | 2013. augusztus 9., péntek - 10:27 )

A Lavabit biztonságos e-mail szolgáltatást kínált ügyfeleinek. A Lavabit újabban akkor került reflektorfénybe, amikor kiderült, hogy Edward Snowden egy lavabites e-mail címet (edsnowden@lavabit.com) használt.

Ladar Levison, a Lavabit tulajdonosa és üzemeltetője bejelentette, hogy hosszas mérlegelés után úgy döntött, felfüggeszti a szolgáltatás üzemeltetését. Mint írta, döntenie kellett, vagy bűnrészessé válik amerikaiak ellen elkövetett bűntettekben, vagy hagyja veszni a több mint 10 évnyi kemény munkával felépített szolgáltatást és bezárja azt. Utóbbi mellett döntött. Szerette volna, hogy törvényes keretek közt megoszthassa azokat az eseményeket, amelyek a döntés meghozatalára kényszerítették. Engedélyt kért a nyilvánosságra hozatalra, de nem kapott engedélyt.

Hand of Thief - linuxos banking trójairól blogolnak az RSA kutatói

 ( trey | 2013. augusztus 8., csütörtök - 9:45 )

Úgy tűnik, hogy a cyberbűnözők elkezdtek több energiát fordítani arra, hogy Windows után más operációs rendszerek felhasználóit is áldozatul ejtsék.

Az RSA kutatói a minap egy "Hand of Thief" nevű linuxos banking trójairól írtak. Orosz cyberbűnözői körök új, Linux rendszerekre szánt, banki információk ellopására kifejlesztett trójait kínálnak zárt underground fórumokon. Az új trójai ára 2000 dollár. Az ár tartalmazza a későbbi frissítéseket is. A malware jelenleg alapvető szolgáltatásokat - backdoor, grabber - tartalmaz, de várhatóan a közeljövőben már teljes értékű banking trójaivá növi ki magát. Ekkor az ára körülbelül 3000 dollár lesz. Főverzió váltásokkor további 550 dollárt kérnek majd érte.

Kétemberes szabályt vezetett be rendszeradminisztrátorai számára az NSA

 ( trey | 2013. július 31., szerda - 7:43 )

Bruce Schneier biztonsági szakértő arról ír blogjában, hogy reagálva a Snowden-fiaskóra, az NSA kétemberes felügyeleti szabályt vezetett be a rendszeradminisztrátorai számára. Ez azt jelenti, hogy az ügynökség bármelyik rendszeradminisztrátora csak egy másik admin jelenléte mellett férhet hozzá és dolgozhat kulcsfontosságú információkhoz. Mivel közel 15 ezer telephelyen kell az új szabályt bevezetni, időbe telik majd, amíg mindenhol érvényre jut.

Keith Alexander, az NSA vezetője elmondta, hogy most már a zárva vannak a szerverszobák ahol ilyen jellegű adatokat tárolnak és csak kétfős csapatokban lehet azokba bejutni. Alexander azt is elmondta, hogy az NSA tesztidőszak után ezek a biztosítékok beépítésre kerülnének a Pentagon és a hírszerző ügynökségeknél.

Részletek itt.