Titkosítás, biztonság, privát szféra

A Facebook mérnökei úgy gondolták, hogy lehetne jobban is csinálni az Android eszközökön az SD kártyára írt adatok titkosítását. Ezért megalkották a Conceal-t. A Conceal egy csokor könnyen használható Java API gyors és memóriatakarékos titkosításhoz és adathitelesítéshez. A fejlesztők céljai közt szerepelt, hogy a Conceal jól teljesítsen a lassú processzorral, kevés memóriával rendelkező, régi Android verziókat futtató készülékeken is.

Január közepén a Microsoft elismerte, hogy egyes kollégái adathalász támadások áldozataivá váltak. A támadások folytán illetéktelenek fértek hozzá a redmondi vállalat egyes közösségi hálózati fiókjaihoz és a Microsoft bloghoz.

Mint később kiderült, a támadók értékesebb adatokhoz is hozzájutottak. Adrienne Hall, a Trustworthy Computing Group igazgatója nemrég arról számolt be, hogy a támadások nyomán indított vizsgálat felfedte, hogy illetéktelenek fértek hozzá olyan dolgozói e-mail fiókokhoz is, amelyekben rendfenntartó, hatósági szervek által bekért adatokról szóló dokumentumok voltak. A vizsgálat szerint "úgy tűnik", hogy ezeket a dokumentumokat ellopták.

A vállalat azt ígéri, hogy tovább dolgozik azon, hogy megerősítse biztonságát. A részletek itt.

A Microsoft szóvivője megerősítette, hogy a Syrian Electronic Army (SEA) hozzáfért néhány ("small number") Microsoft alkalmazott levelezéséhez. A SEA több levelet is közzétett, amelyek látszólag Microsoft alkalmazottak OWA fiókjaiból származnak. A Microsoft szóvivője szerint kollégái adathalászat áldozataivá váltak. Úgy fest, hogy a SEA valamiért "kedveli" a Microsoft-ot. Az év elején a Microsoft érdekeltségbe tartozó Skype Twitter fiókja felett vették át ideiglenesen az irányítást és ott Microsoft-ellenes tweeteket publikáltak. Pár nappal ezelőtt pedig a Microsoft blog és Twitter fiók esett a SEA áldozatául.

A SEA újabb támadásokat helyezett kilátásba a Microsoft ellen, miközben a redmondi vállalat alkalmazottainak jelszókezelési gyakorlatát "dicséri".

A részletek itt olvashatók.

Ahogy arról pár nappal ezelőtt beszámoltunk, az OpenSSL projekt webszerverét támadás érte, amelynek során a weboldalt deface-elték. Az OpenSSL projekt a támadás észlelése után közvetlenül gyors vizsgálatot tartott és arra jutott, hogy a forráskód-tárolók nem érintettek. Részleteket későbbre ígéretek.

Ilja van Sprundel, az IOActive Pentest részlegének igazgatója az elmúlt években fokozott figyelemmel kísérte az X.Org kódját, mind kliens, mind szerver oldalon. 2012 végétől kezdve biztonsági sebezhetőségeket keresett az X.Org kódjában. Észrevételeit, tapasztalatait a fenti, 30c3 konferencián tegnapelőtt tartott, "X Security - It's worse than it looks" című előadásában összegezte.

Az OpenSSL projekt webszervere defacement áldozata lett. A szervert a támadás után lekapcsolták, a forrástárolókat ellenőrizték és azok az elsődleges vizsgálatok után érintetlennek tűntek. A weboldal közben visszatért, ismét online. Az OpenSSL projekt tájékoztatást későbbre ígért.

Andrew "bunnie" Huang blogján arról számolt be, hogy társával egy előadást tartottak a Chaos Computer Congress rendezvényen a minap, amely előadás során egyes SD kártyákban jelen levő, tetszőleges kódfuttatást lehetővé tevő sebezhetőségekről beszéltek.

Huang szerint egyes SD kártyák olyan sebezhetőségeket tartalmaznak, amelyek tetszőleges kódvégrehajtást tesznek lehetővé a kártyán magán. A rossz hír, hogy a memóriakártyán végrehajtott kódfuttatás MITM (man-in-the-middle) támadásokra adhat lehetőséget. A jó hír, hogy a hardverbuzik számára megnyílik a lehetősége annak, hogy nagyon olcsó és mindenhol fellelhető mikrokontroller forráshoz jussanak.

A blogbejegyzés itt olvasható. Az előadás diái itt találhatók.

A Reuters egyik cikkében nemrég arról írt, hogy az RSA titokban 10 millió dollárt kapott cserébe az NSA-tól azért, hogy BSAFE titkosítási library-jába tudottan hibás RNG-t építsen, majd azt alapértelmezetté tegye. Az RSA blogján azt írja, hogy ezt a vádat határozottan visszautasítja.

Az RSA nem titkolja, hogy széleskörű együttműködésben volt az NSA-val, úgy is mint gyártó és úgy is mint a biztonsági közösség aktív tagja. Mint írja, sosem titkolta ezt a kapcsolatot, sőt, nyíltan kezelte.