Titkosítás, biztonság, privát szféra

Nemrég jelent meg egy podcast a bsdtalk-on, amiben rövid áttekintést adnak az egyszerhasználatos jelszavakról. Ilyen jelszavakat használhatunk olyan esetben, mikor idegen gépről jelentkezünk be, például könyvtárból, vagy akar kiosk-ról. Az alap telepítés részét képezik az összes BSD-ben (FreeBSD, DragonFly OPIE-t, NetBSD, OpenBSD S/Key-t használ). Ezek a jelszavak egy sorozatszám és egy seed alapján generálhatóak.

A Verisign kötelékébe tartozó iDefense biztonsági cég "vérdíjat" fizet azoknak a biztonsággal foglalkozó szakembereknek, akik az általa megadott, az internetes szolgáltatások üzemeltetésében kritikus szerepet játszó alkalmazásokban eddig még ismeretlen, távolról kihasználható biztonsági hibát találnak. A jutalom azokért a távoli kódfuttatással járó hibákért jár, amelyeket az alábbi alkalmazásokban fedeznek fel a kutatók:

Kibővítettem egy további résszel a "Cryptfs partíció felcsatolása Debianon USBStick segítségével automatikusan" szócikket, amely a titkosított swap használatáról szól. Valamint készítettem egy új leírást arról, hogy hogyan lehet az ilyen titkosított swap területre hibernálni és onnan felébreszteni a rendszert egy pendrive segítségével.

A biztonsági forráskód-elemző szoftvert gyártó Coverity bejelentette, hogy a kritikus nyílt forrású szoftver projektek 6 000 hibajavításhoz jutottak a Coverity Scan Site működésének első évében. A Department of Homeland Security nyílt forráskód megerősítését célzó projektje jelenleg 150 alkalmazás, és 35 millió sornyi nyílt forrású programkód monitorozását végzi. A vizsgált alkalmazások közt van olyan is, amelynek a hibája felhasználók millióit érintené, mert közel 500 másik projekt is használja (pl. zlib). A bejelentés itt.

Frissítettem a cikket, kiegészítve azzal, hogy a pendrive, a titkos kulcsot tartalmazó partícióját titkosítsuk a számítógépen tárolt kulcs használatával. Íly módon a számítógép partíciója nem használható a pendrive nélkül és fordítva.

Ami történik:

"A múlthavi rovatban azt mondtam, hogy "nagyobb biztonságban vagyok egy Mac-en, mint Windows XP-n voltam". Néhányan közületek azt kérdezték, hogy hogyan szerepelne a Linux ebben az összehasonlításban. Ami azt illeti, azt kell mondjam, hogy lényegesen nagyobb biztonságban vagyok Linux-on, de én mindenképpen a Mac-et preferálom."

Már régóta szerettem volna megoldani, hogy a laptopom /home kötete titkosítva legyen. A héten volt egy kis időm utánajárni a dolognak és írtam róla pár sort a linuxbox.hu oldalon.

Az alap ötletet ez a cikk adta. Amit megvalósít: Debian Etch-en egy cryptfs-sel titkosított partíciót automatikusan, jelszó kérdezése nélkül, felcsatol úgy, hogy a kulcs a pendrive-on van.

Nem meglepő megállapítás, hogy a támadók dolgát könnyíti meg az, aki rendszeréhez gyenge jelszót választ. Könnyű ezt belátni. De, hogy ez ne csak feltételezés legyen, Michel Cukier adjunktus vezetésével egy tanulmány készült a Maryland Egyetemen, amely ezt a feltételezést igazolta. A kutatás során 24 napra az internetre helyeztek négy olyan linuxos gépet, amelyeken gyenge jelszavakat állítottak be. A gépekre körülbelül 270 000 behatolási kísérlet történt, kb. minden 39 másodperceben egy. Bővebben itt.

Bill Cheswick egyike azoknak az embereknek akik megteremtettek a tűzfalak koncepcióját. Sok nagyon hasznos írást jelentetett meg Steve Bellovinnal karöltve. A cikk a SecurityFocus-on jelent meg. Érintett témák: drop vs rst, botnetek, IPv6, BGP, DNS, ...

Alan Cox, az ismert Linux kernelhacker a Lordok Házában történt meghallgatáson annak a véleményének adott hangot, miszerint a programozót - dolgozzon az nyílt vagy zárt forrású programon - nem kellene felelősségre vonni az általa írt kód biztonságossága miatt. A fejlesztő egy a Lords Science and Technology Committee által az internetes személyes biztonságot vizsgáló meghallgatás során elmondta, hogy mind a nyílt, mind a zárt forrású fejlesztőknek - beleértve a Microsoft fejlesztőit is - etikai kötelességük, hogy olyan biztonságos kódot írjanak, amennyire az csak lehetséges.