Titkosítás, biztonság, privát szféra

A Google biztonsággal foglalkozó blogjában olvashatjuk, hogy "a mérnökeinket bátorítjuk arra, hogy mind szoftverrel, mind idővel járuljanak hozzá a nyílt forrású törekvésekhez. Rendszeresen visszajuttatjuk a közösségnek a nyílt forrású szoftverekkel kapcsolatos automatikus és manuális biztonsági elemzéseink eredményeit, beleértve az ezekkel kapcsolatos szoftveres fejlesztési időt is. Emellett a mérnöki csapataink gyakran adnak ki szoftvert nyílt forrású licencek alatt. [...] Ezek az erőfeszítések egy területet teljesen lefedetlenül hagynak -- a biztonsági problémák gyors javítását, majd ezen javítások gyors terjesztését. Nem volt világos, hogy hogyan oldjuk meg ezt a kérdést a legjobban. Nincs központosított biztonsági hatóság a nyílt forrású projektek számára,"

Hosszú idő után megjelent a grsec patch újabb verziója a 2.4-es illetve 2.6-os kernelekhez. Többek közt az alábbi változtatások történtek:

Újra PaX patch jelent meg a 2.4.x és a 2.6.x kernelsorozatokhoz. A 2.6.24.4-hez március 26-án, míg a 2.4.36.2-höz március 29-én. A 2.6.24.4-es kernelhez a patch elérhető itt. A 2.4.36.2-es kernelhez pedig itt.

Miután egy ellopott laptop-ból 2 500 páciens személyes adatai kerültek illetéktelenek kezébe, a szövetségi kormány nemzeti egészségügyi hivatala (National Institutes of Health - NIH) megtiltotta az összes MacBook-ot használó alkalmazottja számára, hogy érzékeny adatokat kezeljenek gépeikkel. A hivatalnál dolgozó alkalmazottaknak, akik orvosi és személyes adatokat kezelnek laptop-jaikon, Windows vagy Linux operációs rendszert kell használniuk.

"Nem volt érdeklődés az Ubuntu iránt," - mondta Terri Forslof, annak a 3Com-hoz tartozó Tippingpoint-nak az igazgatója, amely a CanSecWest-en megrendezésre került PWN to OWN verseny pénzdíjait ajánlotta fel. A vezető szerint az ilyen versenyek nem tekinthetők az operációs rendszerek relatív biztonságossági fokmérőinek.

A PWN to OWN biztonsági vetélkedő első napján nem sikerült feltörni az egyik kiállított rendszert sem. Az Ubuntu-t futtató Sony VAIO, a Windows Vista-t futtató Fujitsu U810 és a Mac OS X-et futtató MacBook Air is túlélte a támadásokat. A második napon azonban - mikoris a szervezők könnyítettek a szabályokon - a MacBook Air 2 perc alatt kapitulált. A harmadik napon már csak az Ubuntu-s és a Vista-s gép játszott.

Ahogy arról tegnap szó volt, idén is megrendezésre került a PWN to OWN biztonsági vetélkedő, ahol Ubuntu-t, Windows Vista-t és Mac OS X-et futtató gépeket lehetett biztonsági szempontból vizsgáztatni. A gépeket az első napon távolról, felhasználói közreműködés nélkül senkinek sem sikerült feltörni, így a maximális 20K dolláros díj nem került kiosztásra. Azonban a második napon, amikor már igénybe lehetett venni felhasználói interakciót, a Mac OS X-et futtató MacBook Air két perc alatt megadta magát.

Tegnap nyitotta kapuit az idén kilencedik alkalommal megrendezésre kerülő CanSecWest biztonsági konferencia. A konferencia ideje alatt ismét megrendezésre került (és éppen folyik) a "PWN to OWN" névre hallgató biztonsági "vetélkedő", amelynek során a jelentkezőnek Ubuntu 7.10, Mac OS X 10.5.2 és Microsoft Windows Vista SP1 operációs rendszert futtató laptop számítógépeket kell feltörniük a megnyerhető díjakért. A versenyt 3Com érdekeltségi körbe tartozó TippingPoint szponzorálja. A megnyerhető legmagasabb díj magából a feltört számítógépből plusz max. 20 000 amerikai dollárból áll.

Szerfelett kellemetlen, ha egy antivírus cég weboldala trójai és backdoor áldást szór a látogatóira. Ez történt a hírek szerint a Trend Micro-val. A cég egyik szóvivője szerint 32 weboldaluk esett a fertőzés áldozatául. A Trend Micro weboldalába injektált kód egy kínai szerverről szórta a látogatókat a kártékony programokkal. A Heise Security egyik cikke szerint valószínű, hogy nem a Trend Micro volt a támadás célpontja, inkább az történhetett, hogy egy nagymértékű - 20 000 weboldalt érintő - támadás egyik áldozata lett a japán központú antivírus cég weboldala, a kártékony kódot pedig valószínűleg egy, a Microsoft Active Server Pages technológiájában levő bug kihasználásán keresztül juttatták az oldalakba.

Az Ars Technica egyik cikkében arról ír, hogy a PayPal biztonsági okokból nem ajánlja felhasználóinak, ügyfeleinek a Safari böngésző használatát. Az online fizetésre szakosodott eBay leányvállalat az Apple böngészője helyett IE 7, IE 8, Firefox 2, Firefox 3 vagy Opera böngészőprogramokat javasol. Az ok: a Safari nem támogatja az adathalászat-ellenes (anti-phishing) technikákat, nem jelez a felhasználóinak, ha azok olyan oldalra tévednek, amely érzékeny adatokat próbálhat meg kicsalni tőlük. A cikk szerzője leírja, hogy a probléma valós, hiszen egy álmos reggelen ő maga is majdnem adathalászok áldozatává vált. A problémáról bővebben itt.