Titkosítás, biztonság, privát szféra

A Princeton egyetem egyik számítógépes biztonsággal foglalkozó kutatója vezette csoport olyan eljárást dolgozott ki, amellyel ellophatók a számítógépek memóriájában tárolt adatok (beleértve a biztonsági szempontból érzékeny információkat, kulcsokat is) még jóval a gépek kikapcsolása után is. Sokáig abban a hitben voltunk, hogy a kikapcsolt gép memóriájából nem lehet érzékeny adatokat kinyerni. Sajnos ez nem igaz. A kikapcsolás után akár percekkel is lehetséges adatot kinyerni a számítógépek memóriájából. Csak egy kis jég kell... Meg némi szoftver. A következő videó bemutatja, hogy hogyan...

A Pittsburgh Supercomputing Center-nél dolgozó srácok úgy gondolták, hogy lehetne javítani az OpenSSH teljesítményén. Az eredeti OpenSSH hálózati teljesítményét a felépítéséből adódóan több helyen is szűk keresztmetszetek rontják. A PSC-sek által készített patch-ek egyike például többszálúsított (multi-threaded) titkosítási módot (Multi-Threaded AES-CTR) ad az OpenSSH-hoz. A patch-nek köszönhetően a módosított OpenSSH képes teljes mértékben kihasználni a multi-core rendszerekben rendelkezésre álló CPU erőforrásokat. A projekt honlapja itt.

Frissítés: A projekt létezését valaki felvetette az openbsd-misc listán, amelyek nyomán élénk diskurzus kezdődött.

Bármely levelezőrendszerhez használható biztonsági csomagokat jelentett be a Google. Az ezekhez kapcsolódó szolgáltatások a tavaly megvásárolt Postini termékeire épülnek. Bővebb információ itt és itt.

A Shimmer projekt kriptográfián alapuló megoldást ad a fontos (pl. SSH) nyitott portok elrejtésére. A Shimmer automatikusan továbbítja az adott portintervallumba érkező kapcsolatokat, de csak egy bizonyos portra érkező kapcsolatot továbbít a védett szolgáltatáshoz, a többi portra érkezőt blacklist-re teszi. A portkészletet percenként váltogatja. Csak a titkos kulcsot ismerő felhasználó tudja megállapítani azt a portot, amely szolgáltatás portjára (pl. az SSH) továbbítódik. Bővebb infó a projekt honlapján.

A Coverity, melyet szabad szoftverek kódjának biztonsági felülvizsgálatával bízott meg az USA kormánya, 11 szabad szoftvert nyilvánított biztonságosnak. A lista:

A kriptográfiával foglalkozó Bruce Schneier nemrég arra hívta fel a figyelmet, hogy potenciális backdoor lehet az új amerikai szabványként elfogadott véletlenszám generátorok (Random Number Generator - RNG) egyikében. A National Institute for Standards and Technology (NIST) által publikált négy RNG közül az egyik - a Dual_EC_DRGB - észrevehetően különbözik a másik háromtól.

A Crypto 2007 konferencián Nils Ferguson és Dan Shumow egy olyan véletlenszám generátor sebezhetőségre hívta fel a figyelmet, amelyet Schneier szerint inkább potenciális backdoor-nak kellene tekinteni. A Dual_EC_DRBG-ben használt algoritmus elliptikus görbéken alapul, amelyet konstans sorozatok írnak le. Annak ellenére, hogy ezek a konstansok fel vannak sorolva a NIST dokumentum függelékében, nincs információ az eredetükről.

Mivel innen is részt vettek néhányan a játékban, egy FYI-t érdemel:

Tegnap egy "Szolgálati közlemény" került a Microsoft és a NetAcademia közös "hackme" játékának honlapjára, amely arról tájékoztat, hogy:

A Microsoft-os Jeff Jones a minap összehasonlítást publikált, amelyben a Mozilla Firefox böngésző sebezhetőségeinek számát hasonlította össze a Microsoft Internet Explorer sebezhetőségeinek számával. Válaszul Window Snyder - aki egykor maga is a Microsoft egyik biztonsággal foglalkozó vezető beosztású alkalmazottja volt mielőtt a Mozilla biztonsági stratégája lett - blogbejegyzésében leírja, hogy miért értelmetlen az összehasonlítás a nyílt forrású Mozilla FF és a zárt forrású MS IE közt.

Jeremy Allison, a Samba fejlesztői csapatának tagja egy cikkben beszél a népszerű, nyílt forrású CFS/SMB implementáció újabban bejelentett biztonsági hibáiról. Az írásban szóba kerül, hogy a fejlesztés elindításától kezdve az idők során hogyan változott a projekt biztonsági hibákra adott reakciója, reakcióideje valamint az is, hogy hogyan próbálják elkerülni az újabb biztonsági problémákat. A cikk itt.

A finn F-Secure biztonságtechnikai cég a közelmúltban vizsgálta az Electronic Frontier Foundation-től eredő TOR (The Onion Router) hálózat biztonságát.