Titkosítás, biztonság, privát szféra

A Heartbleed probléma után az OpenBSD fejlesztők úgy döntöttek, hogy kiszórják az OpenSSL-ből a számukra felesleges dolgokat, megpróbálják csak a feltétlenül szükséges és ésszerű dolgokat megtartani, a kódot elvárt kódolási stílus szempontjából rendbe tenni, illetve kitisztítani. A nekiveselkedésnek egy nagyobb rendezkedés lett a vége, ami egy hét alatt körülbelül 250 commitet jelent eddig.

A rendrakás elején Theo de Raadt mindjárt letiltotta Seggelmann RFC520 heartbeat-jét. A munka oroszlánrészét Ted Unangst (tedu@), Miod Vallat (miod@), Joel Sing (jsing@), Theo de Raadt (deraadt@) és Bob Beck (beck@) végezte.

A változások áttekinthetők itt. További részletek itt.

Amikor az NSA megfigyelési botrányt kirobbantó Edward Snowden először kapcsolatba lépett a Guardian munkatársával, Glenn Greenwalddel, Snowden ragaszkodott ahhoz, hogy használjanak e-mail titkosítást az összes kommunikációjuk során. A Wired úgy tudja, hogy az e-mail titkosításon túl Snowden és csapata - Greenwald és Laura Poitras - a Tails nevű, Debian-alapú, nem tudni, hogy ki által létrehozott disztrót használták.

Nézzük mi ez a disztró:

Boot

A legfrissebb hírek, történések a "Heartbleed" OpenSSL buggal (CVE-2014-0160) kapcsolatban az elmúlt órákból, napokból:

• A Heartbleed bug által nem csak a szerverek, hanem a kliensek is támadhatók - Testing for "reverse" Heartbleed - Reverse Heartbleed Tester
• Még nem ért ide a Heartbleed tanúsítvány-visszavonási cunami - Heartbleed certificate revocation tsunami yet to arrive
• A Heartbleed kihívás - The Heartbleed Challenge: Can you steal the keys from this server? Has the challenge been solved yet? YES
• Az NSA tagadja, hogy tudott volna a Heartbleed bugról annak nyilvánosságra kerülése előtt - Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public
• A Bloomberg informátorokra hivatkozva arról ír, hogy az NSA tudhatott a Heartbleed bugról és azt valószínűleg ki is használhatta már jó ideje (minimum két éve) - NSA Said to Exploit Heartbleed Bug for Intelligence for Years
• Az USA kormánya a Heartbleed veszélyeire figyelmeztet - Reaction on “Heartbleed”: Working Together to Mitigate Cybersecurity Vulnerabilities
• A CloudFlare a legfontosabb kérdésre kereste a választ: a bug következtében lehetséges-e a privát kulcso(ka)t NGINX szerverekről ellopni. Arra jutottak, hogy minimum rettenetesen nehéz és valószínűsítik, hogy inkább lehetetlen. Kiderült, hogy tévedtek. Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?
• Cikk arról, hogy hogyan sikerült felfedezni a bugot, hogyan dolgozott a Codenomicon, valamint lehetséges-e, hogy két különálló "csapat" éppen ugyanazon a napon fedezte fel a több mint két éves bugot - Behind the Scenes: The Crazy 72 Hours Leading Up to the Heartbleed

Az Nmap biztonsági szkenner mögött álló Fyodor bejelentette, hogy újraindítja a nemrég bezárt Full disclosure levelezési listát. Mint írta, az új FD lista ugyanúgy gyártósemleges, gyengén moderált lista lesz. A moderátorok az aktív tagok közül kerülnek majd ki.

Részletek és feliratkozás itt.

A Full disclosure egy gyengén moderált, biztonsági témájú levelezési lista volt. A listát 2002 július 9-én hozta létre Len Rose, karbantartását John Cartwright végezte. John Cartwright szerdán egy levelet küldött a listára, amelyben kifakadt és közölte, hogy a listát bezárja.

Mint írta, amikor elindították a listát, tisztában voltak azzal, hogy számos jogi problémával kell majd megbirkózniuk és ezt el is fogadták. Kaptak is számos törlési kérést, felszólítást és ilyen-olyan jogi fenyegetést. Cartwright mindvégig abban a hitben volt, hogy a lista végét egyszer majd vállalattól, vállalatoktól érkező törlési felszólítás okozza majd. Elmondása szerint ez nem így lett, egy a "közösségen" belüli biztonsági "kutató" miatt telt be a pohár. Miután hosszabb időt töltött azzal, hogy a meg nem nevezett személy reklamációit kezelje, rájött, hogy elege van.