Titkosítás, biztonság

A Heartbleed bug miatt nekiálltál megváltoztatni az online jelszavaidat?

 ( trey | 2014. április 11., péntek - 12:01 )
Igen.
6% (32 szavazat)
Nem.
61% (316 szavazat)
Csak a fontosabbakat.
10% (54 szavazat)
Nem, mert nem érint a bug.
7% (34 szavazat)
Nem tudom miről van szó.
4% (23 szavazat)
Egyéb, leírom
1% (6 szavazat)
Csak az eredmény érdekel.
10% (54 szavazat)
Összes szavazat: 519

Fyodor feltámasztotta a Full disclosure levelezési listát

 ( trey | 2014. március 26., szerda - 18:35 )

Az Nmap biztonsági szkenner mögött álló Fyodor bejelentette, hogy újraindítja a nemrég bezárt Full disclosure levelezési listát. Mint írta, az új FD lista ugyanúgy gyártósemleges, gyengén moderált lista lesz. A moderátorok az aktív tagok közül kerülnek majd ki.

Részletek és feliratkozás itt.

A full-disclosure lista bezárását ...

 ( trey | 2014. március 22., szombat - 8:39 )
sajnálom, listatag voltam, hasznosnak tartottam.
3% (7 szavazat)
sajnálom, nem voltam tag, de az archívumot rendszeresen látogattam, infókért jártam oda.
10% (23 szavazat)
sajnálom, de csak a trollok miatt, szórakozni jártam oda.
0% (1 szavazat)
nem érint, azt sem tudom mi volt ez a lista.
42% (98 szavazat)
nem érint, az infosec-et önmagában bohóckodásnak tartom, semmi értékes nem veszett el.
0% (1 szavazat)
örömmel veszem, csak lejáratta az infosec közösséget.
0% (0 szavazat)
örömmel veszem, mert eggyel kevesebb helyen találhatók meg publikus exploitok.
0% (1 szavazat)
Egyéb, leírom.
5% (12 szavazat)
Csak az eredmény érdekel.
39% (91 szavazat)
Összes szavazat: 234

Bezárt a Full disclosure biztonsági témájú levelezési lista

 ( trey | 2014. március 22., szombat - 8:18 )

A Full disclosure egy gyengén moderált, biztonsági témájú levelezési lista volt. A listát 2002 július 9-én hozta létre Len Rose, karbantartását John Cartwright végezte. John Cartwright szerdán egy levelet küldött a listára, amelyben kifakadt és közölte, hogy a listát bezárja.

Mint írta, amikor elindították a listát, tisztában voltak azzal, hogy számos jogi problémával kell majd megbirkózniuk és ezt el is fogadták. Kaptak is számos törlési kérést, felszólítást és ilyen-olyan jogi fenyegetést. Cartwright mindvégig abban a hitben volt, hogy a lista végét egyszer majd vállalattól, vállalatoktól érkező törlési felszólítás okozza majd. Elmondása szerint ez nem így lett, egy a "közösségen" belüli biztonsági "kutató" miatt telt be a pohár. Miután hosszabb időt töltött azzal, hogy a meg nem nevezett személy reklamációit kezelje, rájött, hogy elege van.

Vannak a céges hálózatodban "gyenge" jelszavak?

 ( eax | 2014. március 13., csütörtök - 14:32 )
Nincsenek, egészentutibiztos.
7% (19 szavazat)
Elvileg nincsenek, de ki tudja...
14% (37 szavazat)
Az én rendszereimben biztosan nincsenek, bezzeg másokéban!
4% (10 szavazat)
Vannak, de rendkívül fantáziadús kifogásom van rá (pl. szeparált hálózat, tesztrendszer, a gyártó csak így a supportot, stb).
17% (45 szavazat)
Vannak, de sohasem vallanám be.
16% (44 szavazat)
Vannak, boldog-boldogtalan használja is.
24% (65 szavazat)
Ó b+, most hogy mondod...
3% (8 szavazat)
Jelszó? Olyat használ még valaki?
6% (16 szavazat)
Egyéb, leírom.
10% (26 szavazat)
Összes szavazat: 270

FSF: A Replicant fejlesztői Samsung Galaxy backdoor-t találtak és zártak be

 ( trey | 2014. március 13., csütörtök - 13:30 )

Az FSF egy blogbejegyzést tett közzé arról, hogy a felügyelete alatt fejlesztett, teljesen szabad (free/libre) Android-verzió, a Replicant fejlesztése közben backdoor-ra bukkantak.

Az FSF szerint ismert tény, hogy a mobiltelefonok proprietary operációs rendszert futtató baseband-je (hívják még modem, radio néven is) tartalmaz olyan backdoor-t amelynek segítségével a telefonból kémeszközt csinálhatnak és így a telefon használója után kémkedhetnek. Például bekapcsolhatják a mikrofont, a kamerát, meghatározhatják a felhasználó földrajzi helyzetet a GPS segítségével, vagy hozzáférhetnek a telefonon tárolt adataihoz. Ráadásul, mivel a baseband szinte mindig folyamatos kapcsolatban áll a szolgáltató hálózatával, a backdoor gyakorlatilag állandóan elérhető.

Video: NSA operation ORCHESTRA: Annual Status Report

 ( trey | 2014. február 12., szerda - 17:31 )

Poul-Henning Kamp (FreeBSD fejlesztő) előadása a FOSDEM '14-en.

Nyílt forrású storage titkosítás Android-ra a Facebook-tól

 ( trey | 2014. február 6., csütörtök - 9:23 )

A Facebook mérnökei úgy gondolták, hogy lehetne jobban is csinálni az Android eszközökön az SD kártyára írt adatok titkosítását. Ezért megalkották a Conceal-t. A Conceal egy csokor könnyen használható Java API gyors és memóriatakarékos titkosításhoz és adathitelesítéshez. A fejlesztők céljai közt szerepelt, hogy a Conceal jól teljesítsen a lassú processzorral, kevés memóriával rendelkező, régi Android verziókat futtató készülékeken is.

Rendszergazdaként észleled, hogy az egyik munkatárs illegális tevékenységet folytat a céges hálózaton. Mit teszel?

 ( trey | 2014. február 3., hétfő - 9:20 )
Van eljárási utasítás, azt követed.
12% (58 szavazat)
Azonnal felnyomod a felettesénél.
1% (4 szavazat)
Figyelmezteted.
41% (203 szavazat)
Egyéb, leírom.
6% (31 szavazat)
Nem vagyok rendszergazda.
40% (201 szavazat)
Összes szavazat: 497

Hatósági adatkérésekkel kapcsolatos dokumentumokat lophattak a Microsoft-tól

 ( trey | 2014. február 2., vasárnap - 17:36 )

Január közepén a Microsoft elismerte, hogy egyes kollégái adathalász támadások áldozataivá váltak. A támadások folytán illetéktelenek fértek hozzá a redmondi vállalat egyes közösségi hálózati fiókjaihoz és a Microsoft bloghoz.

Mint később kiderült, a támadók értékesebb adatokhoz is hozzájutottak. Adrienne Hall, a Trustworthy Computing Group igazgatója nemrég arról számolt be, hogy a támadások nyomán indított vizsgálat felfedte, hogy illetéktelenek fértek hozzá olyan dolgozói e-mail fiókokhoz is, amelyekben rendfenntartó, hatósági szervek által bekért adatokról szóló dokumentumok voltak. A vizsgálat szerint "úgy tűnik", hogy ezeket a dokumentumokat ellopták.

A vállalat azt ígéri, hogy tovább dolgozik azon, hogy megerősítse biztonságát. A részletek itt.

Microsoft alkalmazottak levelezéséhez fért hozzá a Syrian Electronic Army

 ( trey | 2014. január 16., csütörtök - 10:29 )

A Microsoft szóvivője megerősítette, hogy a Syrian Electronic Army (SEA) hozzáfért néhány ("small number") Microsoft alkalmazott levelezéséhez. A SEA több levelet is közzétett, amelyek látszólag Microsoft alkalmazottak OWA fiókjaiból származnak. A Microsoft szóvivője szerint kollégái adathalászat áldozataivá váltak. Úgy fest, hogy a SEA valamiért "kedveli" a Microsoft-ot. Az év elején a Microsoft érdekeltségbe tartozó Skype Twitter fiókja felett vették át ideiglenesen az irányítást és ott Microsoft-ellenes tweeteket publikáltak. Pár nappal ezelőtt pedig a Microsoft blog és Twitter fiók esett a SEA áldozatául.

A SEA újabb támadásokat helyezett kilátásba a Microsoft ellen, miközben a redmondi vállalat alkalmazottainak jelszókezelési gyakorlatát "dicséri".

A részletek itt olvashatók.

Részletek az openssl.org elleni támadással kapcsolatban

 ( trey | 2014. január 4., szombat - 15:07 )

Ahogy arról pár nappal ezelőtt beszámoltunk, az OpenSSL projekt webszerverét támadás érte, amelynek során a weboldalt deface-elték. Az OpenSSL projekt a támadás észlelése után közvetlenül gyors vizsgálatot tartott és arra jutott, hogy a forráskód-tárolók nem érintettek. Részleteket későbbre ígéretek.

Ilja van Sprundel: X Security - Rosszabb, mint amilyennek látszik

 ( trey | 2013. december 31., kedd - 16:04 )

Ilja van Sprundel, az IOActive Pentest részlegének igazgatója az elmúlt években fokozott figyelemmel kísérte az X.Org kódját, mind kliens, mind szerver oldalon. 2012 végétől kezdve biztonsági sebezhetőségeket keresett az X.Org kódjában. Észrevételeit, tapasztalatait a fenti, 30c3 konferencián tegnapelőtt tartott, "X Security - It's worse than it looks" című előadásában összegezte.

openssl.org defacement, a forrástárolók érintetlenek

 ( trey | 2013. december 30., hétfő - 11:14 )

Az OpenSSL projekt webszervere defacement áldozata lett. A szervert a támadás után lekapcsolták, a forrástárolókat ellenőrizték és azok az elsődleges vizsgálatok után érintetlennek tűntek. A weboldal közben visszatért, ismét online. Az OpenSSL projekt tájékoztatást későbbre ígért.

MicroSD kártyák hackelése és biztonsága

 ( trey | 2013. december 30., hétfő - 0:45 )

04

Andrew "bunnie" Huang blogján arról számolt be, hogy társával egy előadást tartottak a Chaos Computer Congress rendezvényen a minap, amely előadás során egyes SD kártyákban jelen levő, tetszőleges kódfuttatást lehetővé tevő sebezhetőségekről beszéltek.

Huang szerint egyes SD kártyák olyan sebezhetőségeket tartalmaznak, amelyek tetszőleges kódvégrehajtást tesznek lehetővé a kártyán magán. A rossz hír, hogy a memóriakártyán végrehajtott kódfuttatás MITM (man-in-the-middle) támadásokra adhat lehetőséget. A jó hír, hogy a hardverbuzik számára megnyílik a lehetősége annak, hogy nagyon olcsó és mindenhol fellelhető mikrokontroller forráshoz jussanak.

A blogbejegyzés itt olvasható. Az előadás diái itt találhatók.

Kedvenc tűzfal (distro)?

 ( csontika | 2013. december 28., szombat - 18:01 )
pfSense
12% (42 szavazat)
RouterOS
7% (24 szavazat)
saját megszokott Linux disztró + iptables stb.
42% (144 szavazat)
IPFire
1% (2 szavazat)
IPCop
2% (7 szavazat)
Endian
3% (9 szavazat)
ClearOS
1% (2 szavazat)
Zentyal
3% (9 szavazat)
Sophos UTM
1% (4 szavazat)
Sphirewall
0% (0 szavazat)
Smoothwall
1% (2 szavazat)
Untangle
0% (1 szavazat)
Vyatta
1% (2 szavazat)
OpenWRT
12% (41 szavazat)
Tomato
4% (13 szavazat)
m0n0wall
1% (3 szavazat)
Egyéb, leírom
10% (34 szavazat)
Összes szavazat: 339

Az RSA blogjában tagadja, hogy eladta volna magát

 ( trey | 2013. december 24., kedd - 1:12 )

A Reuters egyik cikkében nemrég arról írt, hogy az RSA titokban 10 millió dollárt kapott cserébe az NSA-tól azért, hogy BSAFE titkosítási library-jába tudottan hibás RNG-t építsen, majd azt alapértelmezetté tegye. Az RSA blogján azt írja, hogy ezt a vádat határozottan visszautasítja.

Az RSA nem titkolja, hogy széleskörű együttműködésben volt az NSA-val, úgy is mint gyártó és úgy is mint a biztonsági közösség aktív tagja. Mint írja, sosem titkolta ezt a kapcsolatot, sőt, nyíltan kezelte.

Snowden-től származó dokumentumok szerint az RSA titokban 10 millió dollárt kapott az NSA-tól

 ( trey | 2013. december 21., szombat - 21:06 )

A Reuters egyik tegnapi cikke szerint titkos szerződés köti össze a biztonsági/titkosítási iparág egyik kulcsszereplőjét, az RSA vállalatot és az amerikai nemzetbiztonsági hivatalt, az NSA-t. A Reuters cikke Edward Snowden-től származó dokumentumokra hivatkozva állítja, hogy az NSA titokban 10 millió dolláros szerződést kötött az RSA-val. A hírügynökség szerint a Snowden-től származó dokumentumokból kiderül, hogy az NSA létrehozott egy szándékosan hibás "formulát" véletlenszám-generáláshoz annak érdekében, hogy az biztonsági termékekben alkalmazva "backdoor"-t hozzon létre. Ezután arra kérte az RSA-t, hogy terjessze azt el. A Reuters szerint az RSA lett ennek a megoldásnak a legfőbb disztribútora a BSAFE toolkit-en keresztül.

A cikk szerint az RSA azért kapta a 10 millió dollárt, hogy az NSA által szándékosan meggyengített random number generator-t kínálja preferáltan, alapértelmezetten a BSAFE toolkit-ben.

Qubes R2 Beta 3

 ( trey | 2013. december 12., csütörtök - 11:52 )

A lengyel biztonsági szakértő, Joanna Rutkowska tegnap bejelentette, hogy elérhető a biztonságra kihegyezett Qubes (1, 2, 3) operációs rendszer R2 verziójának harmadik bétája.

Qubes R2 Beta 3 #1

WhisperPush - titkosított üzenetküldés alapértelmezetten a CyanogenMod-ban

 ( trey | 2013. december 10., kedd - 13:28 )

A TextSecure egy nyílt forrású, keresztplatformos (jelenleg Android és iOS) kliens / protokoll, amely az SMS üzeneteidet titkosítja mind lokálisan, mint átküldéskor, ha az átküldés egy másik TextSecure felhasználóhoz történik. A TextSecure-t az Open WhisperSystems tartja karban, ahol is a titkosítás, biztonság világban jól ismert Moxie Marlinspike felügyeli a vele kapcsolatos fejlesztéseket.

Védett kommunikációs protokollt használó Linux backdoor

 ( trey | 2013. november 16., szombat - 14:25 )

A Symantec blogjában egy érdekes dologról ír. Idén májusban kifinomult eszközöket használó támadók jutottak be az egyik nagy internet hosting szolgáltatóhoz. A támadás során hozzáfértek a belső adminisztrációs rendszerhez. Úgy tűnt, hogy a támadók ügyfélinformációkat - felhasználóneveket, e-mail címeket, jelszavakat akartak megszerezni. A támadók egy fejlett backdoort helyzetek el a rendszerben. Ugyan a cég adatbázisában már nyár óta található bejegyzés a terméke(i) által csak Linux.Fokirtor-ként detektált backdoor-ról, valamiért csak most blogoltak róla.

OpenSSH 6.4

 ( trey | 2013. november 9., szombat - 8:54 )

Damien Miller bejelentette az OpenSSH 6.4 elérhetőségét. A kiadás egy biztonsági hibajavító kiadás, amely egy memóriakorrupciós hibát javít. A hiba az sshd post-authentikációs folyamatában van, de csak bizonyos körülmények közt jelentkezik. Ha a hibát kihasználják, a sebezhetőség lehetőséget adhat kódfuttatásra az authentikált felhasználó privilégiumaival, ily módon lehetőséget adhat a korlátozott shell/parancs konfigurációk áthágására.

Részletek a bejelentésben és a hibaleírásban.

Kickstarter kampányt indított a Lavabit a Dark Mail-ért

 ( trey | 2013. november 5., kedd - 10:12 )

Összefogás jött létre egy új, nyílt forrású, biztonságos email-protokoll, a Dark Mail megalkotására. A közös kezdeményezést a Silent Circle és a Lavabit - a két, korábban biztonságos email-szolgáltatást üzemeltető vállalat - indította. A két cég augusztusban húzta le a rolót, mert állításuk szerint nem tudják felhasználóik adatainak biztonságát garantálni.

badBIOS - titokzatos szupervírus? paranoia? halloweeni átverés? social engineering?

 ( trey | 2013. november 2., szombat - 18:47 )

Az elmúlt napokban egy titokzatos dolog foglalkoztatja a biztonsági szakembereket. A neve badBIOS, a Twitteren, Google+-on #badBIOS. Megosztja a biztonsági szakértőket, vannak, akik mellette, vannak akik ellene érvelnek. Vannak, akik - feltehetően nem szeretnék magukat később kellemetlen helyzetbe hozni - nem kívánnak állást foglalni sem mellette, sem ellene.

Miről van szó? Adott egy, a biztonsági világban jól ismert ember, Dragos Ruiu. Az úriember biztonsági konferenciák - CanSecWest, PacSec - szervezője, valamint alapítója a HUP-on is jól ismert Pwn2Own biztonsági "vetélkedőnek". Azaz nem egy jöttment, ismeretlen ember. Sokan most mégis kételkednek a szavaiban.

Saját telefonomon van céges levelezés és ... az adminisztrátor számára a remote wipe-ot.

 ( trey | 2013. október 29., kedd - 14:15 )
lehetővé tettem
18% (36 szavazat)
nem tettem lehetővé
46% (94 szavazat)
nem tudom, hogy lehetővé tettem-e
13% (27 szavazat)
Egyéb, leírom.
23% (46 szavazat)
Összes szavazat: 203