Titkosítás, biztonság, privát szféra

Ha valaki még nem frissítette iPhone-jának firmware-ét a legújabb 1.1.2-es verzióra, akkor valószínűleg jobb, ha óvatosan böngészi a világhálót. Az 1.1.1-es firmware TIFF sebezhetőségének kihasználását mutatja be a következő úriember egy videóban. Mivel az exploit és a sebezhetőség kihasználásának pontos leírásai (1, 2, 3) közkézen forognak, érdemes egy kicsit jobban odafigyelni. A videón a "fiatalember" egy speciálisan preparált weboldalat mutat be, amelyet a gyanútlan iPhone tulajdonos meglátogatva máris áldozattá válik.

Crispin Cowan egy, az LKML-re küldött dokumentumban foglalta össze az AppArmor névre hallgató biztonsági mechanizmus céljait. A dokumentum nem arról szól, hogy hogyan működik az AppArmor és nem is arról, hogy miért kellene az AppArmor-t más, hasonló céllal készült megoldás helyett használni.

Daniel J. Bernstein, a qmail szerzője egy dokumentumban tekint vissza az általa fejlesztett MTA elmúlt 10 évére biztonsági szemszögből.

Bár eredetileg ezt egy blog posztnak szántam, azért itt van a teljes szöveg teljes részleteiben:

A minap belebotlottam ebbe a régi HUP cikkbe, amely arra hívja fel a figyelmet október 28-án, hogy a PaX a születésnapját ünnepli. Most így sok évvel később azt gondolom, hogy illő lenne már ezt újra megünnepelni... De most már komolyan! :)

A PaX biztonsági megoldás - amely jelenleg kizárólag Linux-ra elérhető -, most ünnepeli a 7. születésnapját, ám sok kereskedelmi termék építkezik az ötleteiből már jóideje. Ha úgy is gondoljuk, hogy emiatt kissé évvesztes a kicsike, akkor is el kell gondolkoznunk azon, hogy most már legrosszabb esetben is iskolakezdő... ;)

Adathalászok nemrég 1 200 eBay felhasználó adatát lopták el és tették közzé online fórumon. Az Ebay alapos biztonsági vizsgálatot tartott a saját házatáján, amelynek során arra a felfedezésre jutott, hogy számos feltört, botnet hálózatba tartozó gép vesz részt az online támadásokban. Dave Cullinane, az eBay vezető biztonsági szakembere egy, a Microsoft által támogatott biztonsági konferencián beszélt erről. Cullinane szerint az adathalászok egyre ügyesebbek, egyre szervezettebbek. Beszélt arról is, hogy az online fenyegetések nagyrésze feltört, rootkit-tel ellátott Linux gépek felől érkezik.

Megjelent az INSECURE névre hallgató, digitális biztonsággal foglalkozó angol nyelvű lap 13. száma. PDF formátumban letölthető innen.

A Sourcefire - a Snort létrehozója által alapított cég, amely a Snort fejlesztése mögött állt és amely 2005 októberében eladta a Snort-ot a Check Point-nak - bejelentette, hogy megvásárolta a ClamAV névre hallgató, népszerű, nyílt forrású anti-virus és anti-malware megoldást.

A Niels Provos által fejlesztett systrace egy számítógépes biztonsági segédprogram, amely rendszerhívás házirendeken keresztül korlátozza az alkalmazások hozzáférését a rendszerhez. A systrace-t integrálták korábban az OpenBSD és a NetBSD projektekbe is, de portolták más operációs rendszerekre, például Linux-ra és Mac OS X-re is. A FreeBSD fejlesztő Robert N. M. Watson most egy, a WOOT07-en tartott előadásában a rendszerhívás wrapper-ekben - köztük a systrace-ben - található sebezhetőségre, illetve annak kihasználására hívta fel a figyelmet.

Nem olyan régen szüleink és nagyszüleink még írógéppel írták meg hivatalos leveleiket. Talán még van közöttünk olyan, aki emlékszik arra, hogy miképp találták meg az írógépet - és így a lehetséges tettest - egy gépelt oldal alapján. Elégséges volt csak a gép fején lévő kialakítási hibákat és egyébb problémákat figyelembe venni. És máris mehetett mindkettő egy perhez tartozó bizonyítékok közé.

"John Doe egy kereskedő. EncFS-t használ arra, hogy védje a laptop-ján levő adatokat. Beleértve a mindennapi tevékenységekből származó dolgokat, mint például az e-mail-eket, találkozók időpontjait, tennivalólistát. Egy USB-n tárolt másodlagos jelszót használ arra, hogy védje a titkos információkat. Beleértve a közelgő szerződés részleteit, a cége pénzügyi helyzetére vonatkozó infókat, a jövőbeli termékekre vonatkozó terveket. A laptop-ját ellopták és a személyes jelszavát kitalálták szótáras támadások segítségével. John Doe nem választott erős jelszót. De a céges adatai biztonságban vannak. Az USB pendrive-ot nem lopták el." A Red Hat magazin egy howto-t kínál ennek a setup-nak a megvalósítására.