Titkosítás, biztonság

"Tegyük a DragonFly BSD-t újra naggyá..." - avagy tetszőleges kódfuttatás kernel kontextusban

 ( trey | 2017. március 26., vasárnap - 11:56 )

A részletek itt olvashatók.

Az OpenSSL projekt a kódja újralicencelését tervezi

 ( trey | 2017. március 24., péntek - 20:06 )

2015-ben az OpenSSL projekt bejelentette, hogy lecserélné saját, eredeti licencét. A napokban pedig azt, hogy konkrét lépéseket tettek ennek érdekében. Az új licenc Apache Software License 2.0 lenne. A változtatási szándék és annak módja finoman fogalmazva sem nyerte el mindenki tetszését. Kiváltképp nem Theo de Raadt-ét, aki az eljáráson felbuzdulva úgy döntött, hogy újralicenceli a GCC-t.

Megfenyegették az Apple-t, hogy távolról letörlik az iPhone-okat, ha nem fizet váltságdíjat

 ( trey | 2017. március 22., szerda - 22:50 )

A magát csak "Turkish Crime Family"-nek hívó hackercsoport azzal fenyegette meg állítólag az Apple-t, hogy ha nem fizet váltságdíjat - Bitcoin-ban vagy Ethereum-ban -, akkor távolról letörlik (wipe) azokat az iPhone-okat, amelyeknek tulajdonosai iCloud és Apple email account-ját megszerezték. A fenyegetők azt állítják, hogy több mint 300 millió account adataihoz jutottak hozzá. Az Apple-nek vagy 75 000 ezer dollárt kellene fizetnie kriptovalutában vagy 100 000 dollár értékű iTunes ajándékkártyát kellene adnia az április 7-ig megszabott határidőig.

Hogy a fenyegetés valós vagy blöff? Jó eséllyel blöff. Hogy az Apple akként kezeli-e vagy sem? Részletek itt és itt.

Pwn2Own 2017 - videóösszefoglalók

 ( trey | 2017. március 19., vasárnap - 12:12 )


1. nap - Részletek itt

"A jelszó szabályok (házirendek) baromságok"

 ( trey | 2017. március 16., csütörtök - 10:19 )

Jeff Atwood, a Stack Overflow oldal alapítója úgy gondolja, hogy a jelszó szabályok baromságok. Itt fejti ki részletesen...

Napi parancsolat - Ne nézz online pornót nyilvános WiFi hálózatról!

 ( trey | 2017. március 16., csütörtök - 9:12 )

[ Az online pornó nézés rejtett veszélyei ]

Mikor kapcsolódtál utoljára nem megbízható hálózathoz? (otthon+munkahely="megbízható")

 ( m.informatikus | 2017. február 28., kedd - 18:05 )
Egy héten belül
33% (97 szavazat)
Egy hónapon belül
14% (42 szavazat)
Egy éven belül
20% (57 szavazat)
Pár évente
11% (31 szavazat)
Soha
10% (29 szavazat)
Csak az eredmény érdekel
6% (17 szavazat)
Mi az a nem megbízható hálózat?
6% (18 szavazat)
Összes szavazat: 291

HTTPS használata böngészőben...

 ( m.informatikus | 2017. február 27., hétfő - 20:28 )
HTTPS Everywhere Add-on
18% (50 szavazat)
HTTP Nowhere Add-on
0% (1 szavazat)
HTTPS Everywhere + HTTP Nowhere ÉS a csak http-s oldalak külön engedélyezése
3% (7 szavazat)
Kit érdekel...
41% (112 szavazat)
Egyik se!
38% (102 szavazat)
Összes szavazat: 272

LED-it-GO - adatlopás a HDD LED villogtatásán keresztül

 ( trey | 2017. február 26., vasárnap - 9:54 )

Az izraeli Ben-Gurion Egyetem kutatói egy tanulmányt publikáltak a minap arról, hogy a rendkívül biztonságosnak tartott, Air-Gapped (azaz a hálózatoktól, internettől fizikailag szeparált) számítógépekről hogyan lehet hatékonyan adatot lopni a HDD LED villogtatásán keresztül. Ha a gépet sikerül malware-rel megfertőzni, az képes a HDD LED-et akár 5800 villanás / másodperc sebességgel fel-le kapcsolgatni. A LED-et villogását - ahogy a videón is látszik - akár egy drónra szerelt kamerával dekódolni lehet.

Az Apple szakított a szerverei egy részét szállító Supermicro-val, miután (állítólag) malware fertőzött firmware-t talált

 ( trey | 2017. február 24., péntek - 23:43 )

Az Ars Technica egyik cikke szerint 2016 közepén az Apple állítólag malware-t talált a szervereinek egy részét szállító Supermicro által gyártott szerverek firmware-ében. Az Apple ezután szakított a hardvergyártó céggel és visszaküldte neki a tőle vásárolt felszerelést. Egy informátor szerint a megreklamált firmware-t a Supermicro támogatási oldaláról töltötték le és az most is megtalálható ott. A Supermicro egyik vezetője szerint csak az Apple-nek volt gondja a firmware-rel, több ezer más ügyfelüknek nem.

Részletek itt.

KKV-nál dolgozok, a logokat, logbejegyzéseket digitálisan aláírjuk

 ( saxus | 2017. február 24., péntek - 18:01 )
...mindent.
1% (3 szavazat)
...csak az üzleti szempontból fontosakat.
1% (3 szavazat)
...csak az IT szempontból fontosakat.
0% (1 szavazat)
...nem írjuk alá.
52% (125 szavazat)
(Nem érint a szavazás)
45% (109 szavazat)
Összes szavazat: 241

LK: SHA-1 ütközés előállítására használható technikát jelentettek be a Google és a CWI Institute kutatói (frissítve)

 ( trey | 2017. február 24., péntek - 13:13 )

Akkor:

és ma:

SHA-1 ütközés előállítására használható technikát jelentettek be a Google és a CWI Institute kutatói

 ( trey | 2017. február 23., csütörtök - 21:13 )

10 évvel az SHA-1 bemutatkozása után ma a Google és az amszterdami CWI Institute kutatói jelentős bejelentést tettek: ütközés előállítására használható gyakorlati technikát jelentettek be. PoC-ként pedig kiadtak két PDF fájlt különböző tartalommal, de egyező SHA-1 hash-sel.

Idézet:
Today, 10 years after of SHA-1 was first introduced, we are announcing the first practical technique for generating a collision. This represents the culmination of two years of research that sprung from a collaboration between the CWI Institute in Amsterdam and Google. We’ve summarized how we went about generating a collision below. As a proof of the attack, we are releasing two PDFs that have identical SHA-1 hashes but different content.

Részletek a itt.

Kritikus javításokat adott ki a Microsoft, de 0day hibákat hagyott javítatlanul továbbra is

 ( trey | 2017. február 23., csütörtök - 9:18 )

Még mindig nem tudni pontosan, hogy mi okozta azt a példa nélküli esetet, hogy a Microsoft elhalasztotta az aktuális havi biztonsági frissítéseinek kiadását. Mint az ismert, a redmondi szoftvergyártó meghatározatlan ideig eltolta a 2017 februári rendszeres biztonsági frissítések kiadását. A magyarázat nélküli, utolsó pillanatban közzétett közlemény szerint valamilyen, nem specifikált hiba miatt az összes javítás kiadását csúsztatta. Később az eredeti blogposztot a Microsoft azzal egészítette ki, hogy a februárra tervezett biztonsági javításokat majd a márciusban esedékes frissítésekkel együtt, március 14-én adja ki.

Ezek után a szoftvergyártó kedden mégis adott ki kritikus hibajavításokat (Flash Player), de továbbra sem javított olyan 0day hibákat, amelyekre publikus exploit érhető el. Az egyik egy korábban említett SMB bug, a másik pedig egy, a Google által a napokban publikált bug, melynek részleteit a Google már hónapokkal ezelőtt jelezte a Microsoftnak.

Azt ugyan még mindig nem tudni hivatalos forrásból, hogy miért halasztotta el a Microsoft az aktuális, havi patchek kiadását, de pletykák keringenek arról, hogy probléma lépett fel a cég build rendszerében.

Részletek itt.

AnC - hatékony támadás az ASLR ellen

 ( trey | 2017. február 16., csütörtök - 9:07 )

A holland Vrije University öt kutatója egy olyan támadást fejlesztett ki, amely rendkívül hatékonynak bizonyul az Address Space Layout Randomization (ASLR) védelmi mechanizmus áthágásában minimum 22 processzorarchitektúrán, beleértve a legnépszerűbb gyártók - Intel, AMD, ARM, Allwinner, Nvidia - termékeit. A támadást ASLR⊕Cache vagy röviden AnC néven emlegetik.

In this project, we show that the limitations of ASLR is fundamental to how modern processors manage memory and build an attack that can fully derandomize ASLR from JavaScript without relying on any software feature. [...] We are releasing the native version of AnC as a library to reverse engineer page table caches. We are not going to release the JavaScript version of AnC in order to protect Internet users from the AnC attack. However, we predict that any sufficiently advanced adversary can replicate our results in a few weeks with the knowledge from our NDSS’17 paper. [...] We started the disclosure process in coordination with the Dutch National Cyber Security Center (NCSC) in October of 2016 with a disclosure date set to February 15, . This was a challenging process involving many different parties including the processor, browser and OS vendors. Some processor vendors agreed with our findings that ASLR is no longer a viable security defense at least for the browsers. Others did not dispute our findings. From the browser vendors, most found AnC relevant.

Részletek a projekt weboldalán.

A biztonságos Signal üzenetküldő immár titkosított videóhívásra is képes

 ( trey | 2017. február 15., szerda - 9:59 )

Az Open Whisper System bejelentette, hogy biztonságos üzenetküldő alkalmazásának, a Signal-nak androidos és iOS-es új kiadása béta állapotú titkosított videohívás funkciót is kínál. A Signal egy GPL-es üzenetküldő alkalmazás, amely biztonságos (end-to-end titkosított) szöveges üzenet, telefonhívás és immár videohívás funkciókat is kínál.

Részletek a bejelentésben.

PoC exploitot adott ki a biztonsági szakember egy héttel a bug javítása előtt, mert a Microsoft "ül" a hibán

 ( trey | 2017. február 5., vasárnap - 21:21 )

Csütörtökön a US CERT egy biztonsági figyelmeztetőt publikált, amelyben egy, az összes támogatott Windows verziót érintő memóriakorrupciós hibára hívja fel a figyelmet. A hibát Laurent Gaffié fedezte fel és jelezte a Microsoftnak 2016. szeptemberében. A hiba az alábbi Windows verziókat érinti:

  • Windows XP
  • Windows Server 2003
  • Windows 7
  • Windows 8
  • Windows Server 2008
  • Windows Server 2012
  • Windows 10

Javítás még nincs a hibára, de PoC exploit már elérhető:

EU GDPR, készen állsz?

 ( csontika | 2017. január 28., szombat - 16:42 )
Mi az? Kis segítség: https://goo.gl/JkRyLY
41% (100 szavazat)
Nem érdekel!
17% (42 szavazat)
Elolvastam!
10% (25 szavazat)
Elkezdtük bevezetni!
2% (6 szavazat)
Jöhet a 2018. május 25.!
1% (3 szavazat)
Csak az eredmény érdekel / eredmény se érdekel stb.
27% (65 szavazat)
Összes szavazat: 241

Pwn2Own 2017 - Linux is szerepel a célpontok közt

 ( trey | 2017. január 20., péntek - 15:09 )

A Pwn2Own rendezvény az elmúlt egy évtizedben a biztonsági "vetélkedők" fénypontjává nőtte ki magát. Az évek során szerepelt a célpontok közt Windows, OS X, böngésző, mobiltelefon operációs rendszer, de Linux nem nagyon volt. Most ez változik. A 2017-es Pwn2Own célpontjai közé bekerült:

Idézet:
Local Escalation of Privilege

[...]

This is also the first time we included Linux as a target. In this category, the entry must leverage a kernel vulnerability to escalate privileges. If they do, contestants will earn $30,000 for Microsoft Windows 10, $20,000 for macOS, and $15,000 for Ubuntu Desktop.

További részletek a Trend Micro blogbejegyzésében.

OSX.Backdoor.Quimitchin

 ( trey | 2017. január 19., csütörtök - 13:44 )

A Malwarebytes Labs Mac-re szakosodott divíziójának vezetője, Thomas Reed arról ír, hogy egy ősi - az OS X előtti - kódokat felhasználó új Mac backdoor-t fedeztek fel. A backdoor-t a más törzsekhez beszivárgó azték kémek után Quimitchin-nek nevezték el. Részletek itt.

Desktop / notebook / laptop gépemen a fontos fájlokról leginkább .... készítek mentést.

 ( trey | 2017. január 11., szerda - 11:51 )
naponta többször
11% (39 szavazat)
naponta
15% (54 szavazat)
pár naponta
5% (18 szavazat)
hetente
6% (21 szavazat)
pár hetente
8% (28 szavazat)
havonta
4% (16 szavazat)
pár havonta
7% (25 szavazat)
évente
0% (1 szavazat)
rendszertelenül, random időközönként (ha eszembe jut, malware híreket olvasok stb.)
23% (84 szavazat)
csak alkalmakként (pl. op. rendszer upgrade előtt)
8% (31 szavazat)
soha
7% (24 szavazat)
egyéb, leírom
4% (14 szavazat)
csak az eredmény érdekel
4% (14 szavazat)
Összes szavazat: 369

Találkoztál már ransomware által eltitkosított linuxos géppel?

 ( trey | 2017. január 9., hétfő - 11:54 )
Igen.
2% (7 szavazat)
Nem.
91% (407 szavazat)
Egyéb.
1% (4 szavazat)
Csak az eredmény érdekel.
7% (31 szavazat)
Összes szavazat: 449

Linuxos KillDisk ransomware variáns felbukkanására figyelmeztet az ESET

 ( trey | 2017. január 9., hétfő - 11:37 )

Az ESET blogján arra figyelmeztet hogy felbukkant egy linuxos variáns az eredendően Windows gépeket molesztáló KillDisk ransomware-ből:

A Chrome következő verziója a HTTP-n kiszolgált jelszó- és bankkártya adatbekérő oldalakat nem biztonságosnak jelöli már

 ( trey | 2016. december 29., csütörtök - 15:09 )

Google Chrome HTTPS figyelmeztetés

A Google elkezdte kiértesíteni a webmestereket arról, hogy 2017. januárjától, az 56-os verziótól kezdve, a Chrome böngésző nem biztonságosnak jelöli azokat az oldalakat, amelyek jelszavakat és/vagy bankkártya adatokat kérnek be HTTP-n keresztül. A Google az általa kiküldött levélben példákat is mutat azokra az oldalakra, amelyek januártól figyelmeztetést fognak a böngészőben kiváltani.

A Google nem fog itt megállni, mert hosszútávú terve az, hogy az összes, nem HTTPS-en keresztül kiszolgált oldalt idővel nem biztonságosnak jelöli majd.

Részletek itt.