Titkosítás, biztonság, privát szféra

Úgy 2005-ben született meg itt a HUP-on a "Linux, mint svájci bicska: Windows jelszó visszaállítás" című cikk. Nem volt hasznontalan megírni, mert a 31337 számú olvasás (elit mi? nem vicc, tényleg ennyien olvasták el ma reggelig) azt mutatja, hogy volt érdeklődés. A cikk azt mutatja be, hogy hogyan lehet kiütni "a Windows" elfelejtett jelszavát egy linuxos LiveCD és egy ügyes segédprogram (nt_pass) segítségével. A cikk 19 lépésben mutatja be a műveletet. De hogy van ez Windows Vista esetében?

Az automatikus forráskód-ellenőrző, biztonsági elemző szoftvereket gyártó Coverity - amely az Amerikai Egyesült Államok Belbiztonsági Minisztériumának (U.S. Department of Homeland Security) megbízásából a Stanford Egyetemmel együttműködve az "Open Source Hardening Project" keretein belül nyílt forrású szoftverek forráskódját elemzi évek óta biztonsági hibák után kutatva - bejelentette a nyílt forrású szoftvereken folytatott elemzésének 2008. évi eredményét.

A Google biztonsággal foglalkozó blogjában olvashatjuk, hogy "a mérnökeinket bátorítjuk arra, hogy mind szoftverrel, mind idővel járuljanak hozzá a nyílt forrású törekvésekhez. Rendszeresen visszajuttatjuk a közösségnek a nyílt forrású szoftverekkel kapcsolatos automatikus és manuális biztonsági elemzéseink eredményeit, beleértve az ezekkel kapcsolatos szoftveres fejlesztési időt is. Emellett a mérnöki csapataink gyakran adnak ki szoftvert nyílt forrású licencek alatt. [...] Ezek az erőfeszítések egy területet teljesen lefedetlenül hagynak -- a biztonsági problémák gyors javítását, majd ezen javítások gyors terjesztését. Nem volt világos, hogy hogyan oldjuk meg ezt a kérdést a legjobban. Nincs központosított biztonsági hatóság a nyílt forrású projektek számára,"

Hosszú idő után megjelent a grsec patch újabb verziója a 2.4-es illetve 2.6-os kernelekhez. Többek közt az alábbi változtatások történtek:

Újra PaX patch jelent meg a 2.4.x és a 2.6.x kernelsorozatokhoz. A 2.6.24.4-hez március 26-án, míg a 2.4.36.2-höz március 29-én. A 2.6.24.4-es kernelhez a patch elérhető itt. A 2.4.36.2-es kernelhez pedig itt.

Miután egy ellopott laptop-ból 2 500 páciens személyes adatai kerültek illetéktelenek kezébe, a szövetségi kormány nemzeti egészségügyi hivatala (National Institutes of Health - NIH) megtiltotta az összes MacBook-ot használó alkalmazottja számára, hogy érzékeny adatokat kezeljenek gépeikkel. A hivatalnál dolgozó alkalmazottaknak, akik orvosi és személyes adatokat kezelnek laptop-jaikon, Windows vagy Linux operációs rendszert kell használniuk.

"Nem volt érdeklődés az Ubuntu iránt," - mondta Terri Forslof, annak a 3Com-hoz tartozó Tippingpoint-nak az igazgatója, amely a CanSecWest-en megrendezésre került PWN to OWN verseny pénzdíjait ajánlotta fel. A vezető szerint az ilyen versenyek nem tekinthetők az operációs rendszerek relatív biztonságossági fokmérőinek.

A PWN to OWN biztonsági vetélkedő első napján nem sikerült feltörni az egyik kiállított rendszert sem. Az Ubuntu-t futtató Sony VAIO, a Windows Vista-t futtató Fujitsu U810 és a Mac OS X-et futtató MacBook Air is túlélte a támadásokat. A második napon azonban - mikoris a szervezők könnyítettek a szabályokon - a MacBook Air 2 perc alatt kapitulált. A harmadik napon már csak az Ubuntu-s és a Vista-s gép játszott.

Ahogy arról tegnap szó volt, idén is megrendezésre került a PWN to OWN biztonsági vetélkedő, ahol Ubuntu-t, Windows Vista-t és Mac OS X-et futtató gépeket lehetett biztonsági szempontból vizsgáztatni. A gépeket az első napon távolról, felhasználói közreműködés nélkül senkinek sem sikerült feltörni, így a maximális 20K dolláros díj nem került kiosztásra. Azonban a második napon, amikor már igénybe lehetett venni felhasználói interakciót, a Mac OS X-et futtató MacBook Air két perc alatt megadta magát.

Tegnap nyitotta kapuit az idén kilencedik alkalommal megrendezésre kerülő CanSecWest biztonsági konferencia. A konferencia ideje alatt ismét megrendezésre került (és éppen folyik) a "PWN to OWN" névre hallgató biztonsági "vetélkedő", amelynek során a jelentkezőnek Ubuntu 7.10, Mac OS X 10.5.2 és Microsoft Windows Vista SP1 operációs rendszert futtató laptop számítógépeket kell feltörniük a megnyerhető díjakért. A versenyt 3Com érdekeltségi körbe tartozó TippingPoint szponzorálja. A megnyerhető legmagasabb díj magából a feltört számítógépből plusz max. 20 000 amerikai dollárból áll.