Titkosítás, biztonság

Tyupkin - Windows XP-s ATM-ek kirámolását segítő malware-t fedezett fel a Kaspersky Lab

 ( trey | 2014. október 8., szerda - 9:49 )

Pénzügyi szervezetek megbízásából a Kaspersky Lab szakértői nyomozásba kezdtek egy kelet-európai ATM-eket érintő cybertámadással kapcsolatban. A vizsgálat során egy malware-re bukkantak, amelynek segítségével támadók számára lehetővé vált az ATM-ek pénzkazettájának kiürítése.

OpenSSH 6.7

 ( trey | 2014. október 8., szerda - 7:46 )

Damien Miller bejelentette, hogy elérhető az OpenSSH 6.7-es kiadása. Érdemes átolvasni a bejelentést, mert benne potenciális inkompatibilitásról is szó esik. A szokásos hibajavítások mellett számos új funkció érkezik a kiadással. Részletek itt.

A Bash "Shellshock" sebezhetőség publikálása és aktív kihasználása óta

 ( hendrick | 2014. szeptember 30., kedd - 7:28 )
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, patcheltem (kézimunka)
12% (37 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, patcheltem (gyártó/szolgáltató által biztosított módon)
51% (152 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, még nincs konzerv-patch, várom a kiadását
2% (7 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, szerintem nem érintettek
2% (5 szavazat)
ellenőriztem, hogy a felügyeletem alatt lévő rendszerek érintettek-e, a gyártó/provider szerint nem érintettek
0% (1 szavazat)
próbáltam ellenőrizni, de a gyártó/provider még nem foglalkozott a problémával
0% (1 szavazat)
próbáltam ellenőrizni, de a gyártó/provider láthatóan nem érti a problémát, ami kiderült az általa kiadott hirdetményből
0% (0 szavazat)
nincs energiám ezzel foglalkozni (majd úgyis auto-update-el a rendszer)
9% (27 szavazat)
nincs energiám ezzel foglalkozni (majd valamikor kézzel updatelek, ha lesz patch, az is felmegy)
7% (21 szavazat)
egyéb / leírom / csak az eredmény érdekel / nem érdekel az egész
16% (49 szavazat)
Összes szavazat: 300

Apple közlemény a hírességek fotóival kapcsolatos vizsgálatról

 ( trey | 2014. szeptember 4., csütörtök - 15:08 )

Mint az ismert, számos hírességről szivárogtak ki privát képek az internetre. Több teória is van arról, hogy hogyan kerülhettek ezek a képek illetéktelenek kezére. Az egyik ilyen teória az, hogy az Apple szolgáltatásának sebezhetőségét kihasználva jutottak hozzá illetéktelenek.

Az Apple nyomozásban kezdett az üggyel kapcsolatban. Ahogy írják, 40 órányi vizsgálat után arra jutottak, hogy bizonyos hírességek fiókjait nagyon célzott, felhasználóneveket, jelszavakat és biztonsági kérdéseket érintő támadással sikerült feltörnie a támadóknak. Az Apple szerint a képek kiszivárgása nem az Apple rendszerekbe való betörés folyománya, a szolgáltatásaik - beleértve az iCloud és Find my iPhone - sértetlenek.

A közlemény itt olvasható.

Bankolsz mobiltelefon-alkalmazáson keresztül?

 ( trey | 2014. augusztus 25., hétfő - 12:27 )
Igen.
29% (172 szavazat)
Nem, nincs okostelefonom.
10% (62 szavazat)
Nem, a mobil OS-emet nem támogatja a bankom.
2% (11 szavazat)
Nem, a bankomnál nincs mobiltelefonos bankoló alkalmazás.
5% (28 szavazat)
Nem, nem is tudtam, hogy ilyet lehet.
2% (12 szavazat)
Nem, félek, hogy nem elég biztonságos.
21% (128 szavazat)
Nem, a telefon kényelmetlen erre.
24% (141 szavazat)
Egyéb, leírom.
3% (18 szavazat)
Csak az eredmény érdekel.
4% (25 szavazat)
Összes szavazat: 597

GNU hackerek állítják, hogy több országra kiterjedő, fenyegető kormányzati megfigyelőrendszert lepleztek le

 ( trey | 2014. augusztus 22., péntek - 7:07 )

Az Free Software Foundation blogjában arról számolt be, hogy GNU aktivisták és velük együttműködők egy több országra kiterjedő, fenyegetést jelentő kormányzati megfigyelőrendszert lepleztek le. A megfigyelőrendszer kódneve HACIENDA. A Heise.de szerint az Egyesült Államok, Kanada, az Egyesült Királyság, Ausztrália és Új-Zéland hírszerzési szervei üzemeltetik a HACIENDA-t, amelyet arra használnak, hogy 27 ország összes szerverét feltérképezzék a portszkennelésnek nevezett technikával.

Komoly mértékű előrelépést lát a Facebook az SMTP STARTTLS telepítésekben

 ( trey | 2014. augusztus 21., csütörtök - 11:45 )

SMTP STARTSSL deployment

A Facebook még májusban tett közzé egy megállapítást az SMTP STARTTLS telepítések helyzetéről. Akkor a közösségi hálózat üzemeltetői arról számoltak be, hogy a tőlük a felhasználókhoz kimenő értesítőüzenetek alig 28,6%-a került sikeresen titkosításra és ment át "strict" tanúsítvány-ellenőrzésen (a szám 58%, ha beleszámoljuk az "opportunistic" titkosítást is). A Facebook akkor bátorította a szolgáltatókat, hogy lépjenek az ügyben. Most, alig pár hónappal később újra megvizsgálták a kérdést és meglepődve tapasztalták, hogy a kimenő értesítéseik immár 95%-ban sikeresen titkosítottak. Az óriási előrelépést főként a Microsoft és Yahoo! reagálásának tulajdonítja a Facebook.

A részletek itt olvashatók.

Kétfaktoros autentikációt vezettek be a Linux kernel Git tárolóihoz

 ( trey | 2014. augusztus 20., szerda - 16:51 )

A Linux.com-on Konstantin Ryabitsev arról számolt be, hogy egy további biztonsági réteget szerettek volna bevezetni a Linux kernel Git tárolóinak védelme érdekében, ezért a kernel.org-ra account-tal rendelkező kernelfejlesztők számára kétfaktoros autentikációt valósítottak meg. A megvalósításához a Yubikey Hardware megoldásra esett a választás. A Yubikey gyártója, a Yubico a megkeresésre az összes, a kernel.org-ra account-tal rendelkező kernelfejlesztő számára elegendő eszközt adományozott.

A részletek itt olvashatók.

CryptoLocker által titkosított fájlok visszaállítására szakosodott oldal indult

 ( trey | 2014. augusztus 7., csütörtök - 14:52 )

CryptoLocker

Azon kevésbé szerencsés Windows felhasználók számára, akik beszopták a CryptoLocker ransomware-t, jó hír lehet, hogy elindult egy oldal, amely arra vállalkozott, hogy a malware által titkosított fájlokat visszaállítja használható állapotba.

A képlet (illetve a fenyegetés) egyszerű: az áldozat beszopja a malware-t, ami aztán titkosítja a felhasználói adatokat (office dokumentumok, mp3-ak, képek stb.), majd közli az áldozattal, hogy X órája van arra, hogy fizessen és cserébe megkapja a fájlok visszaállításához szükséges privát kulcsot. Ha nem fizet, akkor a kulcs - ami az interneten egy titkos helyen tárolódik - megsemmisül és onnantól kezdve a felhasználó búcsút mondhat (elvileg, de láthatjuk, hogy nem) örökre az adatainak.

BadUSB - amikor az USB-s eszközök gonosszá válnak

 ( trey | 2014. augusztus 2., szombat - 14:53 )

Nem újdonság az, hogy USB-n keresztül érhetik az embert meglepetések. Sőt! Tovább bővülhet azon ismert támadások száma, amely USB-n keresztül érheti a felhasználókat. Az SRLabs-os Karsten Nohl és Jakob Lell arra készül, hogy 2014. augusztus 7-én "BadUSB" címmel előadást tart az idei BlackHat konferencián. Az előadás során egy olyan új malware-típust mutatnak be, amely az USB-s eszközök belsejében található vezérlőáramkörökből folytatja tevékenységét. Ennélfogva a szokásos védelmi eszközök teljes mértékben hatástalanok ellene.

Az előadás során a szakemberek bemutatnak egy teljes rendszerkompromittálást USB felől és egy olyan
önterjesztő USB vírust, amit állításuk szerint a jelenleg használt védelmi mechanizmusokkal lehetetlen detektálni.

Részletek itt és itt.

Az oroszok bele akarnak nézni az Apple és SAP szoftverek forráskódjaiba

 ( trey | 2014. július 31., csütörtök - 11:37 )

A Reuters egyik cikke szerint Oroszország azt várja mind az Apple-től, mind az SAP-tól, hogy azok működjenek együtt velük és engedjenek betekintést az orosz hatóságok számára termékeik forráskódjába. Az oroszok biztosak akarnak lenni abban, hogy a gyártók szoftverei nem tartalmaznak kémkedésre alkalmas eszközöket, megoldásokat.

Az oroszok javaslata az együttműködésre múlt héten hangzott el, mikor is Nyikolaj Nyikiforov orosz távközlési és tömegkommunikációs miniszter találkozott Peter Engrob Nielsen-nel, az Apple, és Vyacheslav Orekhov-val, az SAP oroszországi képviselőivel. Ezt az orosz telekommunikációs minisztérium adta közre egy közleményben.

Nem ez az első eset, hogy az oroszok gyanakodva néznek a nyugati technológiára. Nemrég jött ha hír, hogy lecserélték az orosz tisztviselők iPad-jeit Samsung tabletekre.

Vásárolnál anonym (személyes adathoz nem kötött) telefonelőfizetést?

 ( Hiena | 2014. július 31., csütörtök - 8:40 )
Igen
66% (224 szavazat)
Nem
17% (58 szavazat)
Csak az eredmény érdekel.
17% (58 szavazat)
Összes szavazat: 340

Orfox OS - Tor-integrált Firefox OS érkezhet

 ( trey | 2014. július 30., szerda - 11:29 )

Azok közül, akik fontosnak tartják a privát szférájuk védelemét, az anonimitást, többen is esküsznek a Tor hálózat nyújtotta védelemre. Nekik lehet jó hír, hogy egy, a Vimeo-n felbukkant videó szerint Tor-integrált Firefox OS érkezhet OrFox OS néven, ami extra kicsi költség fejében mobiltelefonos anonimitást ígér. A videón egy 25 dolláros Firefox OS okostelefon prototípus készüléken fut látszólag egy Tor-integrált Firefox OS. A videó készítője további infókat ígér hamarosan...

Vezetéknélküli billentyűzetet ...

 ( traktor | 2014. július 29., kedd - 7:25 )
sosem használnék, mert nem biztonságos (lehallgatható).
4% (22 szavazat)
használnék/használok, de zavar, hogy nem biztonságos.
6% (33 szavazat)
használnék/használok és szerintem éppen elég biztonságos.
8% (40 szavazat)
használnék/használok és nem izgat a biztonságuk.
31% (161 szavazat)
nem érdekel a vezetéknélküli billentyűzet, akár biztonságos akár nem.
43% (221 szavazat)
Egyéb, lent leírom.
3% (14 szavazat)
Csak az eredmény érdekel.
4% (22 szavazat)
Összes szavazat: 513

iOS File Relay POC

 ( trey | 2014. július 27., vasárnap - 10:27 )

Jonathan Zdziarski nemrég publikálta széles körben, hogy az Apple backdoor-okat épített az iOS-be és azokról elfelejtette tájékoztatni a nagyérdeműt. Miután a szakértő publikálta amit talált, az Apple elismerte, hogy "diagnosztikai képességek" találhatók mobil operációs rendszerében.

BoringSSL-re váltott a Google a Chromium-ban

 ( trey | 2014. július 25., péntek - 7:46 )

Az OpenSSL Heartbleed sebezhetőség után két OpenSSL forkot is bejelentettek. Az egyik az OpenBSD-sek által fejlesztett LibreSSL, a másik a Google által házon belül karbantartott/fejlesztett BoringSSL. A Google alkalmazásában álló Ilya Grigorik a napokban linkelte be, hogy a Chromium fejlesztők BoringSSL-re váltottak.

Tails 1.1

 ( trey | 2014. július 24., csütörtök - 8:23 )

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.1-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

A Tails 1.1-ben több biztonsági hibát, sebezhetőséget is javítottak. A Tails felhasználóknak javasolt mielőbb frissíteni az 1.1-es kiadásra.

Részletek itt.

Frissítés: Az Exodus Intelligence egy, a Tails 1.1-et érintő 0day sebezhetőségre figyelmeztet. A sebezhetőség kihasználója képes lehet felfedni az anonimizált felhasználó kilétét.

Zdziarski szerint "backdoor"-ok, az Apple szerint "diagnosztikai képességek" találhatók az iOS-ben

 ( trey | 2014. július 23., szerda - 16:15 )

Jonathan Zdziarski iOS biztonsági szakértő "Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices" kutatási anyaga nem új, lassan fél éves. Mégsem jutott el a szélesebb nyilvánossághoz egészen addig, amíg a napokban a szerző a Twitter-en közölte, hogy elérhetővé tette gyakorlatilag bárki érdeklődő számára. Innentől kezdve az események felgyorsultak. A témát felkapta a sajtó és az Apple is felfigyelt rá.

SOHOpelessly BROKEN - otthoni routerek biztonságát firtató vetélkedő

 ( trey | 2014. július 20., vasárnap - 19:36 )

A Las Vegasban jövő hónapban megrendezésre kerülő Defcon biztonsági konferencia ideje alatt kerül sor a "SOHOpelessly BROKEN" hacking versenyre. A verseny célja az, hogy 10 elterjedt, népszerű, vezetéknélküli SOHO router biztonságát vizsgálja a legfrissebb firmware-ek futtatása mellett. A versenyben résztvevő routerek:

  • Linksys EA6500 [Ver.1.1.40 (build 160989)]
  • ASUS RT-AC66U (HW Ver. A2) [Version 3.0.0.4.374.
  • TRENDnet TEW-812DRU (H/W: v1.0R) [Version 2.0.6.0]
  • Netgear Centria WNDR4700 [Version V1.0.0.52]
  • Netgear WNR3500U/WNR3500L [Version V1.2.2.48_35.0.55]
  • TP-Link TL-WR1043ND (Ver. 1.10) [Version V1_140319]
  • D-Link DIR-865L (HW Ver. A1) [Version 1.05]
  • Belkin N900 DB (Model: F9K1104v1) [Version 1.00.23]
  • EFF Open Wireless Router [Details forthcoming]

Mivel ezek közül több készülék itthon is szép számban előfordul a végfelhasználóknál, a verseny kimenetele számunkra sem érdektelen. A részletek elolvashatók a kiírásban.

Bemutatkozik a getrandom(2) rendszerhívás

 ( trey | 2014. július 18., péntek - 9:40 )

Theodore Ts'o tegnap egy új, getrandom(2) rendszerhívást megvalósító patchet küldött véleményezésre az LKML-re. A rendszerhívást a portolható LibreSSL fejlesztői (és mások) kérték a Linux kernel fejlesztőitől. A getrandom(2) analóg az OpenBSD getentropy(2) rendszerhívásával.

A bejelentés itt olvasható.

Linuxon nem volt biztonságos a LibreSSL PRNG-je, megjelent a 2.0.2-es verzió

 ( trey | 2014. július 16., szerda - 7:36 )

A hétvégén a The OpenBSD Foundation részéről Bob Beck bejelentette, hogy elérhető a LibreSSL első (és második) portolható kiadása. A portolható kiadás megjelenésével lehetőség nyílt a LibreSSL nem OpenBSD platformokon - többek közt Linuxon - való használatára is. A 2.0.x-es verziószám ellenére a LibreSSL ezen kiadásai "preview" kiadásnak tekinthetők és nem ajánlottak éles rendszeren való használatra.

A LibreSSL fejlesztők visszajelzéseket vártak a közösségtől. Érkezett is. Andrew Ayer Linux fejlesztő egy blogbejegyzést írt arról, hogy a LibreSSL tesztelése és kódjának vizsgálata során arra a következtetésre jutott, hogy a LibreSSL PRNG-je nem elég robusztus Linuxon és valójában gyengébb mint az OpenSSL-é. Andrew a tesztelés során elő tudott idézni olyan helyzetet, amikor a LibreSSL PRNG-je teljesen egyforma adatot szolgáltatott:

Google bejelentés: Project Zero

 ( trey | 2014. július 15., kedd - 20:23 )

A Google egy új projektet indított útjára. A neve: Project Zero. A projekt vezetője Chris Evans, a Google ismert biztonsági szakértője. Evans azon dolgozik, hogy a világ legjobb biztonsági szakembereit szerződtesse a Project Zero-ba. Az induló gárda az alábbi tagokból áll: Ben Hawkes, Tavis Ormandy, George Hotz, Ian Beer.

Evans közölte, hogy a csapatába további tehetséges biztonsági szakemberek jelentkezését várja. Hogy mi a csoport célja?

LibreSSL 2.0.1

 ( trey | 2014. július 13., vasárnap - 15:52 )

Nem sokkal a portolható LibreSSL első kiadása után Bob Beck bejelentette a második kiadás elérhetőségét. Benne többségében a közösség által bejelentett portabilitási problémák javításai találhatók.

Beépített kamerával rendelkező eszközeimen,

 ( Hiena | 2014. július 13., vasárnap - 8:20 )
extra hardveres védelmet alkalmazok leskelődés ellen.
9% (34 szavazat)
extra szoftveres védelmet alkalmazok leskelődés ellen.
2% (8 szavazat)
extra szoftveres és hardveres védelmet alkalmazok leskelődés ellen.
2% (6 szavazat)
Nem alkalmazok semmilyen védelmet.
75% (288 szavazat)
Nincs beépített kamerával rendelkező eszközöm.
12% (47 szavazat)
Összes szavazat: 383

Megjelent a portolható LibreSSL első kiadása

 ( trey | 2014. július 12., szombat - 6:51 )

Amikor az OpenBSD fejlesztők tavasszal bejelentetették, hogy forkolták az OpenSSL-t és létrehozták a LibreSSL-t, ígéretet tettek arra is, hogy amint a körülmények lehetővé teszik, más operációs rendszerek számára is elérhetővé teszik.