Titkosítás, biztonság, privát szféra

Lawrence Lessig professzor vehette át RMS-től a Free Software Foundation idei díját, azért a tevékenységéért, melyben a legkülönbözőbb fórumokon folyamatosan hirdette a nyílt forráskód elemi jelentőségét a közintézményekben. A dolog legnagyob jelentősége abban rejlik, hogy az elektronikus kormányzás és államigazgatás során személyes és bizalmas adatok ne kerüljenek például óriási gazdasági befolyással bíró multinacionális cégek, idegen kormányok kezébe a szoftverekbe épített kémprogramok által. Vagyis a legalapvetőbb jogainkról van szó.A díjat a Free & Open Source Developer's Meeting-en adták át, többek között a Free Software Foundation Europe - mert bizony ilyen is van - zsűrizésével. A döntés rávilágít, hogy a nyílt forrású szoftverek azért a legfontosabbak, mert a modern informatikai társadalmakban kizárólag ezekkel lehet biztosítani állampolgárok legalapvetőbb jogait, személyes adatainak védelmét, s elkerülni ayűz ilyen adatokkal való visszaélést, üldöztetést, diszkriminációt, stb., továbbá kizárólag ilyen szoftverekkel bizosítható a demokrácia gyakorlásának elektronikus formája, s ráadásul az állambiztonság is.

Minden amit meg akartál kérdezni a terjedőben lévő új rendszerről. De eddig nem merted. Itt a lehetőség.

A NetBSD operációs rendszerben nem olyan régen megjelent az a megoldás, hogy a Network Time Protocol Daemon-t (ntpd) egy privilégiumok nélküli felhasználó futtatja egy chroot börtönben. Emmanuel Dreyfus cikkében arról beszél, hogy milyen módszerekkel lehet a puffer túlcsorulások ellen védekezni a Unix rendszereken. A cikkben a chroot kerül terítére, és az okok, hogy mi miatt lehet hasznos számunkra az, hogy a programjaink ilyen zárt térben fussanak.

Emmanuel Dreyfus cikke itt.

Megjelent a Linux Advisory Watch eheti kiadása. A Linux Advisory Watch heti rendszerességgel megjelenő összefoglaló a Linux (FreeBSD) világában felbukkanó biztonsági hibákról. A héten megjelent figyelmeztetések a Caldera, Conectiva, Debian, Gentoo, Mandrake, Red Hat, Slackware, és a SuSE terjesztéseket, rendszereket érintik. Az érintett programok pedig a cups, canna, cvs, dhcp, libpng, kde, fnord, vim, printer-drivers, python, és a susehelp.

Linux felhasználóknak kötelező.

A hírlevelet elolvashatod itt.

A hálózat-alapú DDoS (Distributed Denial of Service) típusú támadás bedugítja a hálózati sávunkat olyan nemkívánatos forgalommal, amely a egy idő után 'elfogyasztja' a sávszélességünket, rossz esetben 'megeszi' a CPU időnket, elfogyasztja a rendelkezésre álló fizikai memóriát, rosszabb esetben felemészti az összes virtuális memóriát is, és a végén ez a rendszer teljes összeomlásához vezethet. Ez egy tipikus elosztott szolgáltatás-megtagadás típusú támadás sémája. Mi is részesei lehettünk egy ilyen típusú támadásnak pár évvel ezelőtt, amikor is külföldi támadók intéztek elosztott támadást egy magyar tanuló gépe ellen. Az eredmény: a tanuló internet hozzáférését biztosító internetszolgáltató összeomlott, és nem sok kellett hozzá, hogy a teljes magyarországi internetforgalom veszélybe kerüljön. (Bővebben itt a szegedi DDoS témadásról)A DDoS támadás kivitelezése többféleképpen is történhet, védekezni ellene nem könnyű. Sokak szerint egy jól megszervezett DDoS támadás ellen nem lehet védekezni. Iljitsch van Beijnum máshogy vélekedik. Szerinte van lehetőség védekezni a DDoS ellen. A BGP szerzője ebben a cikkben értekezik erről a dologról.

Megjelent a Linux Advisory Watch eheti kiadása. A Linux Advisory Watch heti rendszerességgel megjelenő összefoglaló a Linux (FreeBSD) világában felbukkanó biztonsági hibákról. A héten megjelent figyelmeztetések a Caldera, Debian, Mandrake, Red Hat, SuSE, és Yellow Dog terjesztéseket, rendszereket érintik. Az érintett programok pedig a wget, xpdf, openldap, libmcrypt, impsql, bugzilla, mod_php, cups, dhcpd, kde, leafnode, libpng, postgresql, mysql, vim, és az ethereal.

Linux felhasználóknak kötelező.

A hírlevelet elolvashatod itt.

Vajon a nyílt forrású szoftver a biztonságosabb, vagy a védett, szabadalmaztatott szoftver?

Megint egy örök kérdés. Whitfield Diffie, a publikus-kulcsú titkosítás társ feltalálója, a Sun Microsystems "öreg róka" fejlesztője, biztonsági csapatának vezetője járja körül az állandó központi kérdést.

Az írást megtalálod itt.

A bugtraq-on megjelent egy vicces (?) levél, amiben az illető kifejtette, hogy a RIAA (az a multimédia szerzői jogos cég, akinek 2 napja feltörték a honlapját :)) megbízásából (!?) fejlesztettek exploitokat ill. vírust/wormot napjaink népszerű médialejátszóihoz, így pl. mpg123, xine, mplayer, xmms, wmp stb. hogy azt p2p hálózatokon terjesztve hatalmukba kerítsék az illegálisan zenehallgatók gépeit :)


A levél:

http://marc.theaimsgroup.com/...

Sokak szerint fake a levél, ezen nem érdemes vitatkozni, szerintem is az. Viszont ha jobban belegondolunk, amit leír azt (hogy nem is pont úgy, és olyan simán) de meg lehet valósítani. A legtöbb médialejátszó (es ez alól az mplayer sem kivétel) elég rosszul viseli a hibás streameket. Főként azért, mert ha mindent 3x kellene leellenőrizni, akkor 3x olyan gyors gép is kéne hozzá, és a gyakorlatban úgysem valószínű, hogy sérült a file. (egy POP3 szervernél megengedhető, hogy a biztonság a sebesség rovására menjen, egy divx kodeknél nem annyira)Pl. két kezem kevés lenne megszámolni hány buffer overflow lehetőseg van pl. az mplayerben, így kapásból, és ezek csak azok amikről tudunk...így ha valaki elég ügyes, tudna írni exploitot rájuk.

A bugtraq-os levél írója mellékel is egy mpg123 exploitot, ami nekem ugyan nem működött, de nem néz ki fake-nak.

A témáról írtam bővebben az mplayer listára is, ha vkit érdekel (angolul):

http://www.mplayerhq.hu/../014850.html

A'rpi

Pár évvel ezelőtt az volt a nézet, hogy ha egy távoli gépre SSH (Secure Shell) segítségével kapcsolódsz be telnet, vagy egyéb "clear text"-ben adó alkalmazás helyett, akkor már nagyon-nagy biztonságban vagy. Azóta ez a nézet megdőlt, az SSH sem biztosít maradéktalan védelmet. Mennyire biztonságos az SSH? Ezt firtatja a NewsFactor cikke itt.

Megjelent a Linux Advisory Watch eheti kiadása. A Linux Advisory Watch heti rendszerességgel megjelenő összefoglaló a Linux (FreeBSD) világában felbukkanó biztonsági hibákról. A héten megjelent figyelmeztetések a Caldera, Debian, Gentoo, FreeBSD, Red Hat, és YellowDog Linux terjesztéseket, rendszereket érintik. Az érintett programok pedig a fetchmail, mhonarc, geneweb, xpdf, canna, tomecat4, FreeBSD kernel, dhcpd, libmcrypt, monopd, http-fetcher, lcdproc, libpng, pine, cyrus-sasl, ethereal, és a mozilla.

Linux felhasználóknak kötelező.

A hírlevelet elolvashatod itt.