Titkosítás, biztonság, privát szféra

Azok közül, akik fontosnak tartják a privát szférájuk védelemét, az anonimitást, többen is esküsznek a Tor hálózat nyújtotta védelemre. Nekik lehet jó hír, hogy egy, a Vimeo-n felbukkant videó szerint Tor-integrált Firefox OS érkezhet OrFox OS néven, ami extra kicsi költség fejében mobiltelefonos anonimitást ígér. A videón egy 25 dolláros Firefox OS okostelefon prototípus készüléken fut látszólag egy Tor-integrált Firefox OS. A videó készítője további infókat ígér hamarosan...

Jonathan Zdziarski nemrég publikálta széles körben, hogy az Apple backdoor-okat épített az iOS-be és azokról elfelejtette tájékoztatni a nagyérdeműt. Miután a szakértő publikálta amit talált, az Apple elismerte, hogy "diagnosztikai képességek" találhatók mobil operációs rendszerében.

Az OpenSSL Heartbleed sebezhetőség után két OpenSSL forkot is bejelentettek. Az egyik az OpenBSD-sek által fejlesztett LibreSSL, a másik a Google által házon belül karbantartott/fejlesztett BoringSSL. A Google alkalmazásában álló Ilya Grigorik a napokban linkelte be, hogy a Chromium fejlesztők BoringSSL-re váltottak.

Megjelent a "The Amnesic Incognito Live System" - röviden Tails - 1.1-es kiadása. A Tails az utóbbi időben került reflektorfénybe azzal, hogy kiderült, Snowden és csapata, Bruce Schneier is felhasználója, valamint, hogy az NSA-nál könnyen megfigyelésre jelölt lehet az, aki utána érdeklődik.

A Tails 1.1-ben több biztonsági hibát, sebezhetőséget is javítottak. A Tails felhasználóknak javasolt mielőbb frissíteni az 1.1-es kiadásra.

Részletek itt.

Frissítés: Az Exodus Intelligence egy, a Tails 1.1-et érintő 0day sebezhetőségre figyelmeztet. A sebezhetőség kihasználója képes lehet felfedni az anonimizált felhasználó kilétét.

Jonathan Zdziarski iOS biztonsági szakértő "Identifying Back Doors, Attack Points, and Surveillance Mechanisms in iOS Devices" kutatási anyaga nem új, lassan fél éves. Mégsem jutott el a szélesebb nyilvánossághoz egészen addig, amíg a napokban a szerző a Twitter-en közölte, hogy elérhetővé tette gyakorlatilag bárki érdeklődő számára. Innentől kezdve az események felgyorsultak. A témát felkapta a sajtó és az Apple is felfigyelt rá.

A Las Vegasban jövő hónapban megrendezésre kerülő Defcon biztonsági konferencia ideje alatt kerül sor a "SOHOpelessly BROKEN" hacking versenyre. A verseny célja az, hogy 10 elterjedt, népszerű, vezetéknélküli SOHO router biztonságát vizsgálja a legfrissebb firmware-ek futtatása mellett. A versenyben résztvevő routerek:

• Linksys EA6500 [Ver.1.1.40 (build 160989)]
• ASUS RT-AC66U (HW Ver. A2) [Version 3.0.0.4.374.
• TRENDnet TEW-812DRU (H/W: v1.0R) [Version 2.0.6.0]
• Netgear Centria WNDR4700 [Version V1.0.0.52]
• Netgear WNR3500U/WNR3500L [Version V1.2.2.48_35.0.55]
• TP-Link TL-WR1043ND (Ver. 1.10) [Version V1_140319]
• D-Link DIR-865L (HW Ver. A1) [Version 1.05]
• Belkin N900 DB (Model: F9K1104v1) [Version 1.00.23]
• EFF Open Wireless Router [Details forthcoming]

Mivel ezek közül több készülék itthon is szép számban előfordul a végfelhasználóknál, a verseny kimenetele számunkra sem érdektelen. A részletek elolvashatók a kiírásban.

Theodore Ts'o tegnap egy új, getrandom(2) rendszerhívást megvalósító patchet küldött véleményezésre az LKML-re. A rendszerhívást a portolható LibreSSL fejlesztői (és mások) kérték a Linux kernel fejlesztőitől. A getrandom(2) analóg az OpenBSD getentropy(2) rendszerhívásával.

A bejelentés itt olvasható.

A hétvégén a The OpenBSD Foundation részéről Bob Beck bejelentette, hogy elérhető a LibreSSL első (és második) portolható kiadása. A portolható kiadás megjelenésével lehetőség nyílt a LibreSSL nem OpenBSD platformokon - többek közt Linuxon - való használatára is. A 2.0.x-es verziószám ellenére a LibreSSL ezen kiadásai "preview" kiadásnak tekinthetők és nem ajánlottak éles rendszeren való használatra.

A LibreSSL fejlesztők visszajelzéseket vártak a közösségtől. Érkezett is. Andrew Ayer Linux fejlesztő egy blogbejegyzést írt arról, hogy a LibreSSL tesztelése és kódjának vizsgálata során arra a következtetésre jutott, hogy a LibreSSL PRNG-je nem elég robusztus Linuxon és valójában gyengébb mint az OpenSSL-é. Andrew a tesztelés során elő tudott idézni olyan helyzetet, amikor a LibreSSL PRNG-je teljesen egyforma adatot szolgáltatott: