Titkosítás, biztonság, privát szféra

December elején jött a hír először a Google-féle Native Client-ről, a nyílt forrású (BSDL) technológiáról, amely lehetővé teszi natív x86 kódok webböngészőben való futtatását. A bejelentéskor egyesek elkezdtek cimmogni azon, hogy mi lesz a biztonsággal. A Google is kíváncsi rá.

"Az amerikai fővárosban zajló Black Hat konferencia zárónapján Moxie Marlinspike olyan módszert ismertetett, amellyel az SSL-t használó weboldalakról is megszerezhetők a felhasználók által megadott bizalmas adatok. A titok nyitja egy "man in the middle" támadás, vagyis beépülés a felhasználó és a weboldal közötti kommunikációba."

"Nem kevesebb mint 250 ezer dolláros, vagyis 58 millió forintnak megfelelő vérdíjat tűzött ki a Microsoft a Conficker féregért felelős bűnözők fejére. Az F-Secure adatai alapján legalább 1,9 millió IP-címen találhatók fertőzött számítógépek, melyek száma valószínűleg 10 millió felett van -- Magyarországon is legalább tízezres nagyságrendben."

A tavaly márciusban megrendezésre került, TippingPoint szponzorálta PWN to OWN vetélkedőn operációs rendszereket lehetett támadni (Windows, OS X, Linux) komoly díjakért. Akkor a verseny végére az Ubuntu maradt talpon. Ez a tény nagy vitákat szült. Volt aki szerint azért, mert azt senki sem támadta, volt aki szerint azért, mert az biztonságosabb. Éppen ezért valószínűleg sokan várták az idei megmérettetést.

Pavel Machek - ismert Linux kernelhacker - egy furcsa kéréssel fordult a Bugtraq és az android-security levlisták olvasóihoz. Egy vadiúj cseh verziójú T-Mobile G1-es telefon tulajdonosa. A jelenlegi firmware nem teszi lehetővé, hogy root jogokhoz jusson a telefonon, a korábbi firmware-ekre (ahol ez megoldható lenne) pedig nem tud downgradelni.

A The Register egyik cikke szerint az OpenDNS (korábbi cikkünk) névre hallgató, publikusan használható DNS szolgáltató olyan új szolgáltatást vezetne be, amely monitorozná és blokkolná a Conficker (ismert még Downup, Downadup, Kido) néven ismert számítógépes worm tevékenységét.

"Nem zárható ki a hackertámadás lehetősége az ügyfélkapu szombati problémái kapcsán - mondta vasárnap Daróczi Dávid kormányszóvivő. Jóri András adatvédelmi biztos helyszíni vizsgálatban kívánja tisztázni az üzemzavar körülményeit."

A fejlesztő állítása szerint az eszköz adatvédelmi technológiája proprietary, úgyhogy egyedül a gyártóban bízhat. A részletek itt.

Kétszáz darab Sony PlayStation 3 játékkonzolból álló cluster számítási teljesítményét és körülbelül 700 dollár értékű teszt digitális tanúsítványt felhasználva egy amerikai és európai biztonsági szakemberekből álló csoport megtalálta a módját annak, hogy az MD5 ismert gyengeségét kihasználva olyan "rogue" CA (Certification Authority) tanúsítványt hozzon létre, amelyben megbízik az összes modern böngésző.

A kutatás eredménye - amelyet ma mutatott be Alex Sotirov és Jacob Appelbaum a Németországban megrendezett 25C3 konferencián - eredményesen alkalmazható az ellen a metódus ellen, amelyet felhasználva a modern böngészők megbíznak a biztonságos weboldalakban és egy olyan támadási módot biztosít a támadók számára, amellyel azok gyakorlatlag felfedezhetetlen adathalász (phishing) támadásokat indíthatnak.

Megjelent a grsecurity biztonsági patch 2.1.12-es verziója a 2.4.37-es és 2.6.27.10-es kernelekhez. A 2.1.11-es kiadás óta számos hibajavítás mutatkozott be mind a grsecurity-hez, mind a PaX-hoz. Egyebek mellett a 2.6-os kernelhez használható patch-ben bemutatkozik egy új PaX szolgáltatás, a PAX_REFCOUNT. A bejelentés szerint ez az új szolgáltatás képes megelőzni a kernelben levő "reference count overflow" sebezhetőségek legtöbbjét.