Titkosítás, biztonság, privát szféra

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót tavaly tartották. A második díjkiosztóra 2008 augusztusában kerül sor a Las Vegas-i BlackHat USA biztonsági konferencián.

"A kritikus szerepüknél fogva az lenne az elvárás a csomagkezelőkkel szemben, hogy azok rendkívül biztonságosak legyenek. Megvizsgáltunk 10 népszerű, Linux és BSD rendszerekhez használható csomagkezelőt (APT, YUM, YaST, stb.) és mindegyikükben sebezhetőségeket találtunk. Az itt tárgyalt támadások lehetőséget adhatnak a támadóknak arra, hogy bármelyik file-t olvassák vagy töröljék a számítógépeden, hozzájussanak a jelszavakhoz, backdoor-t telepítsenek a rendszeredre, stb. anélkül hogy bármely kulcs vagy jelszó megtörésére lenne szükség."

A University of Arizona egy tanulmányt tett közzé a csomagkezelő rendszerek biztonsági problémáiról. A tanulmány elolvasható itt. Úgy tűnik, hogy a Linux disztribútorok is olvasták, mert a SUSE és openSUSE felhasználókat egy közleményben tájékoztatták arról, hogy nem kell aggódniuk a tanulmányban foglaltak miatt.

Eva Chen, a Trend Micro vezérigazgatója erős szavakat használ, amikor a cége profiljába vágó iparág elmúlt két évtizedét jellemzi. Chen szerint az antivírus piac résztvevői túlhypeolták, hogy mennyire hatékonyak a termékeik, s ezzel éveken keresztül félrevezették az ügyfeleiket. A Trend Micro vezetője hiszi, hogy egyetlen cég sincs a piacon, aki megfelelő védelmet tudna nyújtni a cyberbűnözők által előállított összes új vírus ellen. A biztonsági iparág szerint 2007-ben öt és fél millió új vírusmintát észleltek.

Számos kereskedelmi laptop nyomkövető megoldás érhető el napjainkban. Ezek legtöbbje egy központi szerverre regisztrálja be a hordozható számítógépet, majd rendszeresen jelentést küld. Az ilyen laptop nyomkövető megoldásoknak rendszerint akkor veszik hasznát, ha a laptopot ellopták vagy elvesztik. Ilyen esetben a laptop gazdája távolról elérheti a gépet, logolhatja a tolvaj tevékenységét, vagy - ha a gépben rendelkezésre áll webkamera - akár fényképet is készíthet az illetéktelen felhasználóról.
Az Adeona egy nyílt forrású és szabadon használható (GPLv2) laptop nyomkövető eszköz, amely Linux, Mac OS X és Windows operációs rendszereket futtató számítógépekhez használható.

A hétvégen megpróbáltam megfoglamazni, a laikusok számára is érthetően, mire is használható egy digitálisan aláírt és vagy titkosított e-mail. Hogy ez mennyire sikerült, mindenki eldöntheti miután itt elolvasta. Észrevételeket a fogalmazásra, javításra szívesen fogadok.

"Hiszel a szellemekben? Képzelj egy láthatatlan script-et, amely csendben követ miközben böngészel – még akkor is miután változik az URL 1000 alkalommal. Ez a szellem mindent lát, amit csinálsz, beleértve, hogy mit böngészel és mit gépelsz be (a jelszavakat is), és ráadásul kitalálja a következő lépésed."

Körülbelül ezeket a mondatokat mondta Manuel Caballero zárt ajtók mögött a Microsoft BlueHat Security Briefing konferencián május elején. Manuel független biztonsági szakértő, aki jelenleg a Microsoft megbízásából behatolási (penetration) teszteket végez olyan termékeken, mint például az Internet Explorer, a Silverlight, stb.

CAcert tanúsítvány, GNUPG aláírás, valamint Thawte talalkozó kerül megrendezésre Budapesten 2008 június 27-én. Az eseményhez a helyszínt a Sun Microsystems biztosítja. Gyülekező a Moszkva téren lesz. A CAcert egy olyan tanúsítványkiállító szervezet, ami ingyenes tanúsítványokat állít ki közösségi alapon. Minden érdeklődőt szeretettel várunk! További információk és jelentkezés itt.

A napokban bejelentette létezését az a közösségi-alapú kezdeményezés, amely céljaként tűzte ki a nyílt forrású szoftverek biztonságával kapcsolatos információk gyűjtését és közlését. Az Open Source Software Security közösség (oss-security) szándéka az, hogy bátorítsa a nyílt forrású közösségen belül a biztonsági hibák, biztonsággal kapcsolatos ötletek, módszerek nyílt megvitatását. Nem célja a projeknek a jelenleg meglevő, üzemelő levlisták, csoportok leváltása. Az oss-security közösség a Foresight Linux, a Mandriva, az Openwall és a Red Hat támogatásával jött létre, de a kezdetek óta többen is csatlakoztak már a kezdeményezéshez. A projekt weboldala itt található, a levlista archívuma pedig itt böngészhető.

Úgy 2005-ben született meg itt a HUP-on a "Linux, mint svájci bicska: Windows jelszó visszaállítás" című cikk. Nem volt hasznontalan megírni, mert a 31337 számú olvasás (elit mi? nem vicc, tényleg ennyien olvasták el ma reggelig) azt mutatja, hogy volt érdeklődés. A cikk azt mutatja be, hogy hogyan lehet kiütni "a Windows" elfelejtett jelszavát egy linuxos LiveCD és egy ügyes segédprogram (nt_pass) segítségével. A cikk 19 lépésben mutatja be a műveletet. De hogy van ez Windows Vista esetében?

Az automatikus forráskód-ellenőrző, biztonsági elemző szoftvereket gyártó Coverity - amely az Amerikai Egyesült Államok Belbiztonsági Minisztériumának (U.S. Department of Homeland Security) megbízásából a Stanford Egyetemmel együttműködve az "Open Source Hardening Project" keretein belül nyílt forrású szoftverek forráskódját elemzi évek óta biztonsági hibák után kutatva - bejelentette a nyílt forrású szoftvereken folytatott elemzésének 2008. évi eredményét.