Titkosítás, biztonság, privát szféra

Brent Cook bejelentette az OpenSSL OpenBSD-s forkjának, a LibreSSL-nek 2.1.7-es és 2.2.0-s kiadását. Az új kiadások újdonsága, hogy immár támogatják az IBM AIX operációs rendszerét, illetve a Cygwin környezetet is.

Az újdonságok mellett a fejlesztők refaktoráltak, kódot tisztítottak, illetve különböző bugokat javítottak. A windowsos binárisok kicsit csúsznak, várhatóan a jövő héten jelennek meg.

Részletek a bejelentésben.

Az Ernst and Young biztonsági szakembere, Jan Soucek egy olyan keretrendszert ütött össze, amellyel bemutathatja, hogy hogyan lehetne adathalászat típusú támadással rászedni az iOS felhasználókat. Az iOS 8.3 Mail.app inject kit-et elérhetővé tette a GitHub-on. Soucek azt állítja, hogy a problémát januárban jelezte az Apple-nek, de az eddig nem készített javítást rá. Soucek szerint a bug az iOS Mail.app-jében található. A fenti videó egy példát mutat a probléma adathalászatra való kihasználására.

Előállt a Locker titkosító ransomware állítólagos készítője, aki egy Pastebin üzenetben elnézést kért az okozott problémákért. Azt írta, hogy nem állt szándékában kiadni a malware-t. Az üzenetben tudatta, hogy feltöltötte a mega.co.nz-re az adatbázist, amely tartalmazza az adatokat "bitcoin cím, publikus kulcs, privát kulcs" formában, CSV formátumban. Az adatbázis állítólag az összes adatot tartalmazza és a legtöbb kulcsot még nem használták. Vannak, akik megerősítették, hogy az adatbázis valós.

A bejegyzés szerint az automatikus kititkosítás ma éjfélkor megkezdődik.

A részletek itt olvashatók. További részletek itt.

A brit kormányzat tavaly támogatási szerződést kötött 5,5 millió angol fontért az általa még használt Windows XP-kre a Microsoft-tal. A szerződés egy évre szólt, idén április 14-ig tartott. A kormányzat úgy döntött, hogy nem hosszabbítja meg a szerződést, annak ellenére sem, hogy a Whitehall-on még számítógépek ezrei futtatják az "ősi szoftvert".

Ugyan a kormányzat nem újítja meg a szerződést, az egyes minisztériumok és kormányzati hivatalok önállóan dönthetnek a szerződés meghosszabbításáról. A Metropolitan Police a meghosszabbításról tárgyal, mert majdnem 36 ezer gépen futtat még XP-t. Viszont van olyan hivatal, amelyiknek nincs terve a problémára.

Részletek itt és itt.

A Cyanogen Inc. partnerségre lépett a True Software Scandinavia AB-vel. A partnerség keretében a Cyanogen Inc. hozzáreszeli a Truecaller szolgáltatást a Cyanogen OS-hez. A szolgáltatás segítségével a felhasználóknak lehetősége nyílik a bejövő hívások caller ID-alapú szűrésére és a kéretlen hívások blokkolására. A OnePlus One felhasználók OTA frissítés keretében jutnak majd a szolgáltatáshoz. Mivel a Cyanogen mindig a választás lehetőségéről szól, a szolgáltatás használata teljes mértékben opcionális lesz.

Részletek itt.

A Team Jellyfish egy GPU-alapú (egyelőre, de várhatóan nem kizárólag) linuxos rootkit-tel és egy szintén GPU-alapú keylogger-rel örvendeztette meg a nagyérdeműt. Mindkét megoldás PoC, jelenleg nem teljes. A csapat célja az volt, hogy felhívja a figyelmet arra, hogy GPU-alapú malware nem fikció, nem sci-fi, hanem valóság.

A kódok GPLv2 alatt megtalálhatók a GitHub-on: Jellyfish rootkit | Demon keylogger

Sok szervezetben okoz gondot a rengeteg különböző jelszó tárolása. A GitHub-on elérhető egy remek megoldás erre. AD-ból authentikál és titkosítva tárol mindent MySQL-ben. Két kulccsal titkosít, amit meg kell jegyezni mivel azok hiányában az alkalmazás nem fog elindulni. Kvázi mester kulcsok.