Titkosítás, biztonság, privát szféra

iPhones secretly send call history to Apple, security firm says https://t.co/prypmBpiyI by @kimzetter

— ElcomSoft (@ElcomSoft) November 17, 2016

Az orosz ElcomSoft biztonsági cég azt állítja, hogy az iPhone készülékek titokban elküldik a hívásnaplót az Apple szervereinek akkor is, ha az iCloud backup ki van kapcsolva.

When PoisonTap (Raspberry Pi Zero & Node.js) is plugged into a locked/password protected computer, it:

• emulates an Ethernet device over USB (or Thunderbolt)
• hijacks all Internet traffic from the machine (despite being a low priority/unknown network interface)
• siphons and stores HTTP cookies and sessions from the web browser for the Alexa top 1,000,000 websites
• exposes the internal router to the attacker, making it accessible remotely via outbound WebSocket and DNS rebinding (thanks Matt Austin for rebinding idea!)
• installs a persistent web-based backdoor in HTTP cache for hundreds of thousands of domains and common Javascript CDN URLs, all with access to the user’s cookies via cache poisoning
• allows attacker to remotely force the user to make HTTP requests and proxy back responses (GET & POSTs) with the user’s cookies on any backdoored domain
• does not require the machine to be unlocked
• backdoors and remote access persist even after device is removed and attacker sashays away

[ PoisonTap weboldal ]

We're thrilled to announce that, starting today, you can use #LastPass on any device, anywhere, for free! https://t.co/2vodtKQCcU pic.twitter.com/Gkvc49jxKq

— LastPass (@LastPass) November 2, 2016

Részletek a blogbejegyzésben.

A Google biztonsági csapata október 21-én kritikus, 0day biztonsági problémákra hívta fel az Adobe és a Microsoft figyelmét. Az Adobe október 26-án frissítette a Flash Player-t, javítva a CVE-2016-7855 hibajegy alatt leírt sebezhetőséget. A Google, betartva a saját maga által felállított, aktívan kihasznált, kritikus biztonsági sebezhetőségekkel kapcsolatos közlési irányelvét, 7 nap után nyilvánosságra hozta a Windowsban még mindig jelen levő biztonsági sebezhetőség(ek) részleteit, amely(ek)hez a Microsoft eddig még sem biztonsági figyelmeztetőt, sem javítást nem adott ki. A Google felhívja a figyelmet arra, hogy a sebezhetőség különösen komoly, mert jelenleg azt aktívan kihasználják.

A szóban forgó biztonsági probléma egy helyi privilégiumszint-emelési sebezhetőség a Windows kernelben, amelyet sandboxból való kitörésre lehet felhasználni.

A sebezhetőségről bővebben itt lehet olvasni.

Nemrég volt szó a Mozilla bizalomvesztéséről a WoSign/StartCom tanúsítványkibocsátókkal szemben. Akkor a Mozilla az általa felfedezett technikai és menedzsmentbeli "hibák" miatt szankciókat helyezett kilátásba. A Mozilla friss blogbejegyzése szerint a szankciókat életbe is léptetik:

A TrueCrypt "halála" után életképes forknak bizonyult a VeraCrypt. A biztonsági eszközt komolyabban vallatásnak vetette alá a QuarksLab, az OSTIF pedig a napokban publikálta az audit eredményét. Az audit során a VeraCrypt 1.18-at és annak bootloader-ét vették szemügyre.

[ VeraCrypt 1.18 Security Assessment (PDF - 48. oldal) | részletek ]

Use @Yahoo? They secretly scanned everything you ever wrote, far beyond what law requires. Close your account today. https://t.co/dJrJUyyxk6

— Edward Snowden (@Snowden) October 4, 2016

Heads up: Any major email service not clearly, categorically denying this tomorrow -- without careful phrasing -- is as guilty as Yahoo. https://t.co/cZSDqi4a49

— Edward Snowden (@Snowden) October 4, 2016

A tegnapi nap botránya: a Yahoo titokban minden ügyfele levelét átnézte az amerikai hírszerzési ügynökségek megbízásából, messze túlmenően azon, amit a törvény előír számára. Magyarul kémkedett az ügyfelei után. Snowden arra biztat mindenkit, hogy azonnal törölje Yahoo fiókját.

A Zerodium tavaly azzal hívta fel magára a figyelmet, hogy 1 millió dolláros jutalmat ígért annak, aki exkluzív, böngésző alapú, untethered jailbreakkel áll elő az iOS 9-hez. Nem sokkal később a cég jelezte, hogy az 1 milliós díjat kifizették.

A Zerodium most bejelentette, hogy 1 millióról 1,5 millióra emelte az 0day iOS sebezhetőségért felmarkolható jutalmat:

Announcement - Our permanent bounty for iOS #0days increased to $1,500,000. New prices for Android, Chrome, Flash... https://t.co/fwqoXlbS0j

— Zerodium (@Zerodium) September 29, 2016

Ezzel egy időben új jutalomlistát adott ki:

As documented in Mozilla’s investigation and as confirmed by a Hebrew-speaking lawyer who has examined the documents for us, as of November 1st 2015, WoSign took 100% ownership of the Israel-based CA “StartCom”, through intermediary companies in the UK and Hong Kong. Issue R in the original list of issues covers this. While purchasing another CA is by no means illegal, Mozilla’s program requirements say that a change of CA ownership must be disclosed. In this case, that was not done - and in fact, the change was directly denied a few months after it happened. More recently, even after the evidence of total control was public, WoSign referred to their interest in StartCom in a press release as “an equity investment”, and maintain that the two businesses continue to be separate even today. They say “the original system ... of StartCom remains unchanged”. [...] Taking into account all the issues listed above, Mozilla’s CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA. Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly-issued certificates issued by either of these two CA brands.

A teljes dokumentum itt olvasható.

tl;dr A Mozilla CA csapat elveszítette a bizalmát a WoSign/StartCom tanúsítványkibocsátokkal szemben, egyebek mellett azért, mert "elfelejtették" közölni, illetve tagadták, hogy a WoSign megvásárolta a StartCom-ot. Ez ütközik a Mozilla CA Certificate Maintenance Policy dokumentumában foglaltakkal, ezért a Mozilla azt javasolja, hogy egy közeljövőben meghatározásra kerülő dátumtól kezdve a Mozilla termékek ne bízzanak meg a két nevezett tanúsítványkibocsátó által újonnan kibocsátott tanúsítványokban.