Titkosítás, biztonság, privát szféra

Az NGSSoftware kutatói bejelentették, hogy súlyos biztonsági hibákat találtak az OpenOffice.org és a StarOffice irodai programcsomagokban, melyek kihasználásával a támadók tetszőleges kódot futtathatnak az aktuális felhasználó jogaival.

A matousec.com összehasonlította az öt legnépszerűbb - a felhasználók kb. 80%-a által - desktop környezetben használt tűzfalat, és meglepő(?) eredményre jutott. A teszt itt található, az egyes tűzfalak összefoglaló elmzései pedig itt.
Ugyanerről a felmérésről egy rövid összefoglaló magyarul a HWSW-n olvasható.

Az AVG-t fejlesztő GRISOFT nemrég néhány új verziójú antivírus terméket jelentett be a nyílt forrású FreeBSD és Linux platformokra. A termékek közt van az integrált spamvédelemmel ellátott AVG Email Server Edition 7.5 for Linux/FreeBSD, a AVG Anti-Virus Professional Edition 7.5 for Linux/FreeBSD és a AVG File Server Edition 7.5 for Linux/Free BSD. A bejelentés megerősíti a GRISOFT elkötelezettségét az alternatív operációs rendszerek - mint például a FreeBSD - felé. A bejelentés itt.

A tegnapi napon a mozilla egy, a Firefox 2.0-ben (operációs rendszertől függetlenül) jelenlévő kritikus hibát publikált, amelyet kihasználva a Password Manager-ben tárolt jelszavak third-party weboldalak számára is elérhetővé válhatnak. A hibát kihasználó exploit közkézen forog, és pl. egyes Myspace felhasználói oldalakon aktívan ki is használják.

Bugzilla site, PoC (Az ablakban megjelenő URL-t figyeld)

Biztonsággal összefüggő kutatásokkal foglalkozik az a John Heasman, aki olyan dokumentumot publikált a minap, amely leírja annak módját, hogy hogyan lehet ártó kódokat elrejteni úgy video és hálózati kártyákban, hogy azok túléljenek minden felismerésre irányuló keresést és teljes operációs rendszer újratelepítést is.

Megjelent a - népszerű IDS - Snort 2.6.1-es kiadása. Hibajavításokon és teljesítmény-növelésen kívül a következő fejlesztések történtek:

A mobil telefon és a radarok sugárzása ellen védelmet nyújtó tapétát fejlesztettek ki a németországi Ilmenau műegyetemének kutatói, ezzel komoly lépést téve az elektromos szmog csökkentése érdekében. Állítólag 1Ghz felett szűr... Bővebben itt.

Nem biztonságos a magyar elektronikus közigazgatás zászlóshajójának, a kormányzati portálon elérhető Ügyfélkapunak a használata – állapították meg dolgozatukban Krasznay Csaba és Szigeti Szabolcs, a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatikai Központjának munkatársai.

Történt augusztus elején, hogy a Microsoft IE sebezhetőségeket javított az MS06-042 névre hallgató patch-ében. A patch elvileg 8 IE hibát tett volna hidegre, de... Közben kiderült, hogy a javított hibák mellett a patch olyan sebezhetőséget "épít" a Windows operációs rendszerek egyes verzióiba, ami miatt az IE összeomolhat, mitöbb biztonsági szakemberek megtalálták a módját, hogy a hibát kihasználva kódot futtathassnak az érintett rendszereken.

Az eEye Digital Security vezető kutatója, Marc Maiffret elmondta, hogy a patch kiadása után a levlisták tele voltak olyan jelzésekkel, miszerint az IE összeomlik. Ezután az eEye egyik kutatója rájött, hogy hogyan lehet a sebezhetőséget kihasználni.

Rainer Wichmann cikkében összegyűjtött néhány módszert, amelyekkel védekezhetünk az SSH támadások ellen, ill. csökkenthetjük azok hatásfokát (bruteforce). Ezek külön-külön számtalan helyen le vannak írva, de összefoglalva, elemzéssel alátámasztva, pro és kontra érveket felsorakoztatva még nem láttam hasonlót.

Szó esik az alábbi módszerekről: