Titkosítás, biztonság, privát szféra

A legfrissebb hírek, történések a "Heartbleed" OpenSSL buggal (CVE-2014-0160) kapcsolatban az elmúlt órákból, napokból:

• A Heartbleed bug által nem csak a szerverek, hanem a kliensek is támadhatók - Testing for "reverse" Heartbleed - Reverse Heartbleed Tester
• Még nem ért ide a Heartbleed tanúsítvány-visszavonási cunami - Heartbleed certificate revocation tsunami yet to arrive
• A Heartbleed kihívás - The Heartbleed Challenge: Can you steal the keys from this server? Has the challenge been solved yet? YES
• Az NSA tagadja, hogy tudott volna a Heartbleed bugról annak nyilvánosságra kerülése előtt - Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public
• A Bloomberg informátorokra hivatkozva arról ír, hogy az NSA tudhatott a Heartbleed bugról és azt valószínűleg ki is használhatta már jó ideje (minimum két éve) - NSA Said to Exploit Heartbleed Bug for Intelligence for Years
• Az USA kormánya a Heartbleed veszélyeire figyelmeztet - Reaction on “Heartbleed”: Working Together to Mitigate Cybersecurity Vulnerabilities
• A CloudFlare a legfontosabb kérdésre kereste a választ: a bug következtében lehetséges-e a privát kulcso(ka)t NGINX szerverekről ellopni. Arra jutottak, hogy minimum rettenetesen nehéz és valószínűsítik, hogy inkább lehetetlen. Kiderült, hogy tévedtek. Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed?
• Cikk arról, hogy hogyan sikerült felfedezni a bugot, hogyan dolgozott a Codenomicon, valamint lehetséges-e, hogy két különálló "csapat" éppen ugyanazon a napon fedezte fel a több mint két éves bugot - Behind the Scenes: The Crazy 72 Hours Leading Up to the Heartbleed

Az Nmap biztonsági szkenner mögött álló Fyodor bejelentette, hogy újraindítja a nemrég bezárt Full disclosure levelezési listát. Mint írta, az új FD lista ugyanúgy gyártósemleges, gyengén moderált lista lesz. A moderátorok az aktív tagok közül kerülnek majd ki.

Részletek és feliratkozás itt.

A Full disclosure egy gyengén moderált, biztonsági témájú levelezési lista volt. A listát 2002 július 9-én hozta létre Len Rose, karbantartását John Cartwright végezte. John Cartwright szerdán egy levelet küldött a listára, amelyben kifakadt és közölte, hogy a listát bezárja.

Mint írta, amikor elindították a listát, tisztában voltak azzal, hogy számos jogi problémával kell majd megbirkózniuk és ezt el is fogadták. Kaptak is számos törlési kérést, felszólítást és ilyen-olyan jogi fenyegetést. Cartwright mindvégig abban a hitben volt, hogy a lista végét egyszer majd vállalattól, vállalatoktól érkező törlési felszólítás okozza majd. Elmondása szerint ez nem így lett, egy a "közösségen" belüli biztonsági "kutató" miatt telt be a pohár. Miután hosszabb időt töltött azzal, hogy a meg nem nevezett személy reklamációit kezelje, rájött, hogy elege van.

Az FSF egy blogbejegyzést tett közzé arról, hogy a felügyelete alatt fejlesztett, teljesen szabad (free/libre) Android-verzió, a Replicant fejlesztése közben backdoor-ra bukkantak.

Az FSF szerint ismert tény, hogy a mobiltelefonok proprietary operációs rendszert futtató baseband-je (hívják még modem, radio néven is) tartalmaz olyan backdoor-t amelynek segítségével a telefonból kémeszközt csinálhatnak és így a telefon használója után kémkedhetnek. Például bekapcsolhatják a mikrofont, a kamerát, meghatározhatják a felhasználó földrajzi helyzetet a GPS segítségével, vagy hozzáférhetnek a telefonon tárolt adataihoz. Ráadásul, mivel a baseband szinte mindig folyamatos kapcsolatban áll a szolgáltató hálózatával, a backdoor gyakorlatilag állandóan elérhető.

Poul-Henning Kamp (FreeBSD fejlesztő) előadása a FOSDEM '14-en.