Titkosítás, biztonság, privát szféra

Jeremy Allison, a Samba fejlesztői csapatának tagja egy cikkben beszél a népszerű, nyílt forrású CFS/SMB implementáció újabban bejelentett biztonsági hibáiról. Az írásban szóba kerül, hogy a fejlesztés elindításától kezdve az idők során hogyan változott a projekt biztonsági hibákra adott reakciója, reakcióideje valamint az is, hogy hogyan próbálják elkerülni az újabb biztonsági problémákat. A cikk itt.

A finn F-Secure biztonságtechnikai cég a közelmúltban vizsgálta az Electronic Frontier Foundation-től eredő TOR (The Onion Router) hálózat biztonságát.

Ha valaki még nem frissítette iPhone-jának firmware-ét a legújabb 1.1.2-es verzióra, akkor valószínűleg jobb, ha óvatosan böngészi a világhálót. Az 1.1.1-es firmware TIFF sebezhetőségének kihasználását mutatja be a következő úriember egy videóban. Mivel az exploit és a sebezhetőség kihasználásának pontos leírásai (1, 2, 3) közkézen forognak, érdemes egy kicsit jobban odafigyelni. A videón a "fiatalember" egy speciálisan preparált weboldalat mutat be, amelyet a gyanútlan iPhone tulajdonos meglátogatva máris áldozattá válik.

Crispin Cowan egy, az LKML-re küldött dokumentumban foglalta össze az AppArmor névre hallgató biztonsági mechanizmus céljait. A dokumentum nem arról szól, hogy hogyan működik az AppArmor és nem is arról, hogy miért kellene az AppArmor-t más, hasonló céllal készült megoldás helyett használni.

Daniel J. Bernstein, a qmail szerzője egy dokumentumban tekint vissza az általa fejlesztett MTA elmúlt 10 évére biztonsági szemszögből.

Bár eredetileg ezt egy blog posztnak szántam, azért itt van a teljes szöveg teljes részleteiben:

A minap belebotlottam ebbe a régi HUP cikkbe, amely arra hívja fel a figyelmet október 28-án, hogy a PaX a születésnapját ünnepli. Most így sok évvel később azt gondolom, hogy illő lenne már ezt újra megünnepelni... De most már komolyan! :)

A PaX biztonsági megoldás - amely jelenleg kizárólag Linux-ra elérhető -, most ünnepeli a 7. születésnapját, ám sok kereskedelmi termék építkezik az ötleteiből már jóideje. Ha úgy is gondoljuk, hogy emiatt kissé évvesztes a kicsike, akkor is el kell gondolkoznunk azon, hogy most már legrosszabb esetben is iskolakezdő... ;)

Adathalászok nemrég 1 200 eBay felhasználó adatát lopták el és tették közzé online fórumon. Az Ebay alapos biztonsági vizsgálatot tartott a saját házatáján, amelynek során arra a felfedezésre jutott, hogy számos feltört, botnet hálózatba tartozó gép vesz részt az online támadásokban. Dave Cullinane, az eBay vezető biztonsági szakembere egy, a Microsoft által támogatott biztonsági konferencián beszélt erről. Cullinane szerint az adathalászok egyre ügyesebbek, egyre szervezettebbek. Beszélt arról is, hogy az online fenyegetések nagyrésze feltört, rootkit-tel ellátott Linux gépek felől érkezik.

Megjelent az INSECURE névre hallgató, digitális biztonsággal foglalkozó angol nyelvű lap 13. száma. PDF formátumban letölthető innen.

A Sourcefire - a Snort létrehozója által alapított cég, amely a Snort fejlesztése mögött állt és amely 2005 októberében eladta a Snort-ot a Check Point-nak - bejelentette, hogy megvásárolta a ClamAV névre hallgató, népszerű, nyílt forrású anti-virus és anti-malware megoldást.

A Niels Provos által fejlesztett systrace egy számítógépes biztonsági segédprogram, amely rendszerhívás házirendeken keresztül korlátozza az alkalmazások hozzáférését a rendszerhez. A systrace-t integrálták korábban az OpenBSD és a NetBSD projektekbe is, de portolták más operációs rendszerekre, például Linux-ra és Mac OS X-re is. A FreeBSD fejlesztő Robert N. M. Watson most egy, a WOOT07-en tartott előadásában a rendszerhívás wrapper-ekben - köztük a systrace-ben - található sebezhetőségre, illetve annak kihasználására hívta fel a figyelmet.