Titkosítás, biztonság, privát szféra

A Google biztonsági csapatát erősítő Michał "lcamtuf" Zalewski a napokban arról blogolt, hogy a számítógép kriminalisztikában és a számítógépes biztonság egyéb területein tevékenykedő biztonsági szakemberek (is) előszeretettel futtatják a "strings" segédprogramot az internetről származó, kétes eredetű binárisokon. Teszik ezt abban a tudatban, hogy a strings úgysem nem csinál semmi mást, mint végigszkenneli a fájlt és a talált stringeket kitolja a stdout-ra - ez pedig nem hangzik túl veszélyesnek.

Pedig nem kéne ezt tenniük, kiváltképp akkor nem, ha a strings GNU Binutils-ban fellelhető verzióját használják. Szóval érdemes változtatni a szokásokon, vagy rászokni a "-a" kapcsoló használatára. A disztribútoroknak pedig érdemes lenne megfontolniuk a "-a" alapértelmezetté tételét.

A részletek itt olvashatók.

A kaliforniai August Germar által megálmodott Anonabox egy Tor-képes OpenWrt eszköz lett volna. Pontosabban, egy "kifejezetten Tor futtatásához tervezett, nyílt forrású, beágyazott hálózati eszköz". A létrehozásához egy Kickstarter kampány indult 7500 dolláros céllal indult, de 5 nap alatt több mint fél millió dollár jött össze.

A kampány kezdete után azonban hamarosan kétségek merültek fel az Anonabox-szal kapcsolatban. A kétségeket August nem tudta eloszlatni, ezért a Kickstarter felfüggesztette kampányát.

Az Anonabox kampánya ugyan elbukott, de egy dologra biztosan jó volt: megmutatta, hogy a közösség éhes egy ilyen biztonsági/privacy eszközre.

A VeraCrypt egy újabb TrueCrypt fork. Honlapja szerint számos olyan biztonsági problémát javít, ami megtalálható a TrueCrypt-ben, illetve több dolgot is jobban csinál, mint a TrueCrypt. A VeraCrypt tárolási formátuma nem kompatibilis a TrueCrypt tárolási formátumával.

Részletek a projekt weboldalán.

Megjelent a Tor Browser (korábbi nevén Tor Browser Bundle - TBB) 4.0-s kiadása. A Tor Browser a Tor Project egyik zászlóshajó terméke. Összetevői: Firefox ESR alap, TorButton, TorLauncher, NoScript, HTTPS Everywhere kiegészítő valamint Tor Proxy. Futtatható cserélhető adattárolóról. Elérhető Windowsra, Mac OS X-re és Linuxra.

A Tor Browser használatakor automatikusan elindítja a Tor folyamatot és a böngészési forgalmat a Tor hátózaton keresztül hajtja. A böngészés befejeztével a böngésző minden érzékeny adatot - sütiket, böngészési előzményt stb. - töröl.

A 4.0-s kiadásban egyebek mellett letiltották az SSLv3 protokollt a POODLE sebezhetőség miatt. Részletek a bejelentésben.

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.2-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

Az 1.2-es kiadásban számos biztonsági hibát javítottak. A kiadásba belekerült a Tor Browser, ami az eddigi Iceweasel-alapú böngészőt váltotta. A Tor Browser ezen verzióját már nem érinti a POODLE sebezhetőség.

Részletek a bejelentésben.

A projekt kampánya a Kickstarter-en indult. A projekt gazdája 7500 dollárt kért. Eddig 592 266 dollár jött össze. Még 26 nap van a kampányzárásig.

Frissítés: Több helyen is felmerültek kétségek az Anonabox-szal kapcsolatban. Olvasd el a részleteket itt.

Google Security Team három szakembere - Bodo Möller, Thai Duong, Krzysztof Kotowicz - felfedezték, hogy az SSL 3.0-nak komoly tervezési hibája van. Noha az SSL 3.0 már 15 éves, még mindig széles körben támogatott maradt. Például szinte az összes böngésző támogatja annak érdekében, hogy megkerülhessék a HTTPS szerverek bugjait. Ha ezek a böngészők bugos HTTPS szerverrel találkoznak, megpróbálják újra létrehozni a hibás kapcsolatot egy régebbi protokollal (fallback), például SSL 3.0-val. Mivel a hálózati támadó képes kapcsolati hibát előidézni, ezzel rákényszerítheti az áldozat böngészőjét az SSL 3.0 használatára és így kihasználhatja a régi, ám széles körben használt protokoll sebezhetőségét.

A Google azt reméli, hogy a következő hónapokban teljes mértékben eltávolíthatják az SSL 3.0 támogatást a klienstermékeikből.

[ bejelentés | problémaleírás ]

Ugyan számos internetes híroldal arról számolt be, hogy feltörték a Dropboxot és felhasználónév/jelszó párosok szivárogtak ki, a Dropbox tagadja, hogy bármi ilyesmi történt volna. A Dropbox szerint a felhasználók adatai biztonságban vannak. Az első jelentések megérkezése óta újabb felhasználónév/jelszó párosokat tartalmazó lista került nyilvánosságra. A Dropbox ellenőrizte a listát, de azok nem hozhatók összefüggésbe Dropbox fiókokkal.

Részletek a cég állásfoglalásában.

David A. Wheeler egy részletes összefoglalót készített a bash nemrégiben széles körben nyilvánossá vált Shellshock sebezhetőségéről. Aki csak felületesen tájékozódott eddig a problémáról, annak most egy helyre összeszedte a szerző a legfontosabb részleteket, tudnivalókat. Elolvasható itt.

Pénzügyi szervezetek megbízásából a Kaspersky Lab szakértői nyomozásba kezdtek egy kelet-európai ATM-eket érintő cybertámadással kapcsolatban. A vizsgálat során egy malware-re bukkantak, amelynek segítségével támadók számára lehetővé vált az ATM-ek pénzkazettájának kiürítése.