Titkosítás, biztonság, privát szféra

A Chrome Security Team azt javasolja, hogy a böngészők fejlesztői fokozatosan kezdjék el jelezni a nem biztonságos eredetű elemekről, hogy azok nem biztonságosak. A javaslat célja az, hogy a gyártók még egyértelműbben jelezzék a felhasználók felé, hogy a HTTP nem nyújt semmilyen adatbiztonságot. A csapat 2015-ben tervezi kidolgozni a dolog mikéntjét.

Addig is javaslatokat, ötleteket visszajelzéseket várnak. A részletek itt olvashatók.

Biztonsági szakemberek egy olyan rendkívül rejtőzködő Linux trójait fedeztek fel, amelyet vélhetően kormányzati szervek, gyógyszerészeti vállalatok ellen vetnek be világszerte, hogy segítségével érzékeny adatokat lophassanak. Az eddig ismeretlen malware valószínűleg egy darabja a Kaspersky Lab és a Symantec által augusztusban említett ún. Turla APT (Advanced Persistent Threat) műveletnek.

[ The 'Penquin' Turla ]

"The POODLE bites again" címmel közölt blogbejegyzésében a Google crypto szakértője, Adam Langley arról írt, hogy ugyan nagyot léptek előre az SSLv3 kiirtásával a POODLE sebezhetőség felszámolásában, de még van mit tenni. Pontosabban kiderült, hogy egyes TLS implementációk is sebezhetők lehetnek.

[ Poodle Bites TLS | SOL15882: TLS1.x padding vulnerability CVE-2014-8730 ]

A Linux specifikus, tervezési hibából/gyengeségből adódó ASLR sebezhetőség leírása, PoC exploit, a probléma lehetséges javításai stb. itt.

Brent Cook tegnap betekintést adott abba, hogy hol tart az OpenBSD OpenSSL-forkjának, a LibreSSL-nek Windowsra való portolása. Az érdeklődők elolvashatják a helyzetjelentést itt.

David A. Wheeler a shellshock összefoglalójához hasonlóan egy részletes összefoglalót készített az Apple "gotofail" néven elhíresült, széles körben nyilvánossá vált sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

The Electronic Frontier Foundation (EFF) egy olyan új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát. A Let's Encrypt jövőre indul.

További részletek itt.

A gyakran előforduló rookie/lamer kérdés: "De hát hogyan lett a gépem vírusos, ha van naprakész vírusirtóm?". Nekik ajánlott a fenti playlist.

Robert Freeman, az IBM X-Force Research csapat tagja egy olyan jelentős Windows sebezhetőségről (CVE-2014-6332) számolt be a minap, ami minden Windows verzióban jelen volt és van a Windows 95-től kezdve. Az X-Force 2014. májusában jelentette be a sebezhetőséget egy működő PoC exploit társaságában a Microsoft-nak. A redmondi cég tegnap javította a sebezhetőséget. A sebezhetőség távolról kihasználható az Internet Explorer 3.0 óta. A támadó felhasználhatja a sebezhetőséget távoli kódfuttatáshoz, kikerülve az IE 11 Enhanced Protected Mode sandbox-át, illetve a Enhanced Mitigation Experience Toolkit-et (EMET) is. A Microsoft figyelmeztetője szerint az EMET 5.0 már felkészíthető az exploitálás ellen egy extra konfig hozzáadásával.

Részletek Robert Freeman-től itt.

Chad Brubaker (Android Security Engineer) tegnap bejelentette a Google biztonsági blogján, hogy az Android Security Team kiadott egy hálózatbiztonsági eszközt, amelyet arra terveztek, hogy segítésével a biztonsági szakemberek és fejlesztők felismerhessék és javíthassák a hibás, gyenge TLS/SSL kapcsolatokat, a cleartext hálózati forgalmat.

Az eszköz neve nogotofail (névadók: iOS/GnuTLS). A kiadott forrás Apache licenc alatt érhető el.

[ bejelentés | kód a Github-on ]