Titkosítás, biztonság, privát szféra

Theodore Ts'o tegnap egy új, getrandom(2) rendszerhívást megvalósító patchet küldött véleményezésre az LKML-re. A rendszerhívást a portolható LibreSSL fejlesztői (és mások) kérték a Linux kernel fejlesztőitől. A getrandom(2) analóg az OpenBSD getentropy(2) rendszerhívásával.

A bejelentés itt olvasható.

A hétvégén a The OpenBSD Foundation részéről Bob Beck bejelentette, hogy elérhető a LibreSSL első (és második) portolható kiadása. A portolható kiadás megjelenésével lehetőség nyílt a LibreSSL nem OpenBSD platformokon - többek közt Linuxon - való használatára is. A 2.0.x-es verziószám ellenére a LibreSSL ezen kiadásai "preview" kiadásnak tekinthetők és nem ajánlottak éles rendszeren való használatra.

A LibreSSL fejlesztők visszajelzéseket vártak a közösségtől. Érkezett is. Andrew Ayer Linux fejlesztő egy blogbejegyzést írt arról, hogy a LibreSSL tesztelése és kódjának vizsgálata során arra a következtetésre jutott, hogy a LibreSSL PRNG-je nem elég robusztus Linuxon és valójában gyengébb mint az OpenSSL-é. Andrew a tesztelés során elő tudott idézni olyan helyzetet, amikor a LibreSSL PRNG-je teljesen egyforma adatot szolgáltatott:

A Google egy új projektet indított útjára. A neve: Project Zero. A projekt vezetője Chris Evans, a Google ismert biztonsági szakértője. Evans azon dolgozik, hogy a világ legjobb biztonsági szakembereit szerződtesse a Project Zero-ba. Az induló gárda az alábbi tagokból áll: Ben Hawkes, Tavis Ormandy, George Hotz, Ian Beer.

Evans közölte, hogy a csapatába további tehetséges biztonsági szakemberek jelentkezését várja. Hogy mi a csoport célja?

Nem sokkal a portolható LibreSSL első kiadása után Bob Beck bejelentette a második kiadás elérhetőségét. Benne többségében a közösség által bejelentett portabilitási problémák javításai találhatók.

Amikor az OpenBSD fejlesztők tavasszal bejelentetették, hogy forkolták az OpenSSL-t és létrehozták a LibreSSL-t, ígéretet tettek arra is, hogy amint a körülmények lehetővé teszik, más operációs rendszerek számára is elérhetővé teszik.

Mint az ismert, a Microsoft figyelmeztetés nélkül pert indított június közepén a NO-IP.com (és két magánszemély) ellen, azt állítva, hogy a cég ingyenes dinamikus-DNS szolgáltatásával szerepet vállalt milliók számítógépeinek malware-rel való megfertőzésében.

A redmondi cég és a NO-IP.com most közös bejelentést tettek. A bejelentés lényege, hogy sikerült rendezniük a vitát a Microsoft Corporation v. Mutairi, et al. ügyben. A Microsoft átnézte a Vitalwerks (NO-IP.com anyacége) által rendelkezésére bocsátott bizonyítékokat és ezt követően megegyeztek abban, hogy a Vitalwerks nem vett részt szándékosan a malwareterjesztésben. A malwareterjesztők visszaéltek a Vitalwerks szolgáltatásával.

A biztonságos e-mail szolgáltatók számának fogyatkozásával minden bizonnyal lenne igény egy ilyen szolgáltatásra. Így gondolhatták azok is, akik közösségi finanszírozási kampányt indítottak ProtonMail néven nemrég. A kezdet nem volt zökkenőmentes, mert a Paypal június végén befagyasztotta a projekt kampányszámláját. A Paypal szerette volna tudni, hogy a ProtonMail-nek van-e kormányzati jóváhagyása ilyen szolgáltatás indítására. Hogy melyik kormányzat jóváhagyásának örültek volna, az rejtély a ProtonMail alapítói előtt...
Nem sokkal később a Paypal feloldotta a számla zárolását. A ProtonMail projekt 100 ezer dollárt kért IndieGoGo kampányában. Még 12 nap van a kampányzárásig, de már majdnem a négyszerese jött össze a kért összegnek.

További részletek a ProtonMail-ről a kampányoldalon.

Az ARD német közszolgálati műsorszóró weboldalán megjelent egyik cikk újabb Snowden-dokumentumokra hivatkozva állítja, hogy az NSA a privacy-tudatos embereket is gyanúsnak és megfigyelésre érdemesnek tartja. Az NSA által alkalmazott - már nem annyira titkos - XKeyscore megfigyelőrendszer nyilvánosságra került szabályaiból kiderül, hogy már az is elegendő volt arra, hogy az NSA kövessen egy IP címet, hogy arról keresést indítottak privacy eszközökre, például TAILS-re (korábbi cikkünk), vagy arról az IP címről meglátogatták a régóta üzemelő egyik "szélsőséges fórumot", a Linux Journal-t.

További részletek itt és a Linux Journal oldalán olvashatók. Természetesen mindenki csak saját felelősségére látogassa meg a "szélsőséges" Linux Journal weboldalt, számolva azzal, hogy esetleg az NSA látókörébe kerül (ha még linuxosként nem került volna egyébként) - ezzel a cselekedetével!

A dinamikus DNS szolgáltató NO-IP.com egy közleményt adott ki tegnap, amelyben arról ír, hogy a Microsoft a malware terjesztők ellen vívott vehemens küzdelmében elérte az egyik bíróságnál, hogy rátehesse a kezét a NO-IP.com huszonkét leggyakrabban használt tartományára. Tette a Microsoft mindezt azért, mert állítása szerint malware terjesztők e tartományok altartományait használták fel illegális tevékenységeikhez.

A NO-IP.com azt írja, hogy nagyon meglepődött ezen a lépésen. Állítása szerint régóta együttműködik más cégekkel, ha felmerül a gyanúja annak, hogy valaki rosszindulatúan használja a szolgáltatásukat. A NO-IP.com szerint a Microsoft sosem lépett kapcsolatba velük amiatt, hogy blokkoljanak egy altartományt, noha közvetlen kommunikációs csatornájuk van a Microsoft vezetői felé.