Titkosítás, biztonság, privát szféra

Nem olyan régen szüleink és nagyszüleink még írógéppel írták meg hivatalos leveleiket. Talán még van közöttünk olyan, aki emlékszik arra, hogy miképp találták meg az írógépet - és így a lehetséges tettest - egy gépelt oldal alapján. Elégséges volt csak a gép fején lévő kialakítási hibákat és egyébb problémákat figyelembe venni. És máris mehetett mindkettő egy perhez tartozó bizonyítékok közé.

"John Doe egy kereskedő. EncFS-t használ arra, hogy védje a laptop-ján levő adatokat. Beleértve a mindennapi tevékenységekből származó dolgokat, mint például az e-mail-eket, találkozók időpontjait, tennivalólistát. Egy USB-n tárolt másodlagos jelszót használ arra, hogy védje a titkos információkat. Beleértve a közelgő szerződés részleteit, a cége pénzügyi helyzetére vonatkozó infókat, a jövőbeli termékekre vonatkozó terveket. A laptop-ját ellopták és a személyes jelszavát kitalálták szótáras támadások segítségével. John Doe nem választott erős jelszót. De a céges adatai biztonságban vannak. Az USB pendrive-ot nem lopták el." A Red Hat magazin egy howto-t kínál ennek a setup-nak a megvalósítására.

Nemrég jelent meg egy podcast a bsdtalk-on, amiben rövid áttekintést adnak az egyszerhasználatos jelszavakról. Ilyen jelszavakat használhatunk olyan esetben, mikor idegen gépről jelentkezünk be, például könyvtárból, vagy akar kiosk-ról. Az alap telepítés részét képezik az összes BSD-ben (FreeBSD, DragonFly OPIE-t, NetBSD, OpenBSD S/Key-t használ). Ezek a jelszavak egy sorozatszám és egy seed alapján generálhatóak.

A Verisign kötelékébe tartozó iDefense biztonsági cég "vérdíjat" fizet azoknak a biztonsággal foglalkozó szakembereknek, akik az általa megadott, az internetes szolgáltatások üzemeltetésében kritikus szerepet játszó alkalmazásokban eddig még ismeretlen, távolról kihasználható biztonsági hibát találnak. A jutalom azokért a távoli kódfuttatással járó hibákért jár, amelyeket az alábbi alkalmazásokban fedeznek fel a kutatók:

Kibővítettem egy további résszel a "Cryptfs partíció felcsatolása Debianon USBStick segítségével automatikusan" szócikket, amely a titkosított swap használatáról szól. Valamint készítettem egy új leírást arról, hogy hogyan lehet az ilyen titkosított swap területre hibernálni és onnan felébreszteni a rendszert egy pendrive segítségével.

A biztonsági forráskód-elemző szoftvert gyártó Coverity bejelentette, hogy a kritikus nyílt forrású szoftver projektek 6 000 hibajavításhoz jutottak a Coverity Scan Site működésének első évében. A Department of Homeland Security nyílt forráskód megerősítését célzó projektje jelenleg 150 alkalmazás, és 35 millió sornyi nyílt forrású programkód monitorozását végzi. A vizsgált alkalmazások közt van olyan is, amelynek a hibája felhasználók millióit érintené, mert közel 500 másik projekt is használja (pl. zlib). A bejelentés itt.

Frissítettem a cikket, kiegészítve azzal, hogy a pendrive, a titkos kulcsot tartalmazó partícióját titkosítsuk a számítógépen tárolt kulcs használatával. Íly módon a számítógép partíciója nem használható a pendrive nélkül és fordítva.

Ami történik:

"A múlthavi rovatban azt mondtam, hogy "nagyobb biztonságban vagyok egy Mac-en, mint Windows XP-n voltam". Néhányan közületek azt kérdezték, hogy hogyan szerepelne a Linux ebben az összehasonlításban. Ami azt illeti, azt kell mondjam, hogy lényegesen nagyobb biztonságban vagyok Linux-on, de én mindenképpen a Mac-et preferálom."

Már régóta szerettem volna megoldani, hogy a laptopom /home kötete titkosítva legyen. A héten volt egy kis időm utánajárni a dolognak és írtam róla pár sort a linuxbox.hu oldalon.

Az alap ötletet ez a cikk adta. Amit megvalósít: Debian Etch-en egy cryptfs-sel titkosított partíciót automatikusan, jelszó kérdezése nélkül, felcsatol úgy, hogy a kulcs a pendrive-on van.

Nem meglepő megállapítás, hogy a támadók dolgát könnyíti meg az, aki rendszeréhez gyenge jelszót választ. Könnyű ezt belátni. De, hogy ez ne csak feltételezés legyen, Michel Cukier adjunktus vezetésével egy tanulmány készült a Maryland Egyetemen, amely ezt a feltételezést igazolta. A kutatás során 24 napra az internetre helyeztek négy olyan linuxos gépet, amelyeken gyenge jelszavakat állítottak be. A gépekre körülbelül 270 000 behatolási kísérlet történt, kb. minden 39 másodperceben egy. Bővebben itt.