Titkosítás, biztonság, privát szféra

A Reuters egyik tegnapi cikke szerint titkos szerződés köti össze a biztonsági/titkosítási iparág egyik kulcsszereplőjét, az RSA vállalatot és az amerikai nemzetbiztonsági hivatalt, az NSA-t. A Reuters cikke Edward Snowden-től származó dokumentumokra hivatkozva állítja, hogy az NSA titokban 10 millió dolláros szerződést kötött az RSA-val. A hírügynökség szerint a Snowden-től származó dokumentumokból kiderül, hogy az NSA létrehozott egy szándékosan hibás "formulát" véletlenszám-generáláshoz annak érdekében, hogy az biztonsági termékekben alkalmazva "backdoor"-t hozzon létre. Ezután arra kérte az RSA-t, hogy terjessze azt el. A Reuters szerint az RSA lett ennek a megoldásnak a legfőbb disztribútora a BSAFE toolkit-en keresztül.

A cikk szerint az RSA azért kapta a 10 millió dollárt, hogy az NSA által szándékosan meggyengített random number generator-t kínálja preferáltan, alapértelmezetten a BSAFE toolkit-ben.

A lengyel biztonsági szakértő, Joanna Rutkowska tegnap bejelentette, hogy elérhető a biztonságra kihegyezett Qubes (1, 2, 3) operációs rendszer R2 verziójának harmadik bétája.

A TextSecure egy nyílt forrású, keresztplatformos (jelenleg Android és iOS) kliens / protokoll, amely az SMS üzeneteidet titkosítja mind lokálisan, mint átküldéskor, ha az átküldés egy másik TextSecure felhasználóhoz történik. A TextSecure-t az Open WhisperSystems tartja karban, ahol is a titkosítás, biztonság világban jól ismert Moxie Marlinspike felügyeli a vele kapcsolatos fejlesztéseket.

A Symantec blogjában egy érdekes dologról ír. Idén májusban kifinomult eszközöket használó támadók jutottak be az egyik nagy internet hosting szolgáltatóhoz. A támadás során hozzáfértek a belső adminisztrációs rendszerhez. Úgy tűnt, hogy a támadók ügyfélinformációkat - felhasználóneveket, e-mail címeket, jelszavakat akartak megszerezni. A támadók egy fejlett backdoort helyzetek el a rendszerben. Ugyan a cég adatbázisában már nyár óta található bejegyzés a terméke(i) által csak Linux.Fokirtor-ként detektált backdoor-ról, valamiért csak most blogoltak róla.

Damien Miller bejelentette az OpenSSH 6.4 elérhetőségét. A kiadás egy biztonsági hibajavító kiadás, amely egy memóriakorrupciós hibát javít. A hiba az sshd post-authentikációs folyamatában van, de csak bizonyos körülmények közt jelentkezik. Ha a hibát kihasználják, a sebezhetőség lehetőséget adhat kódfuttatásra az authentikált felhasználó privilégiumaival, ily módon lehetőséget adhat a korlátozott shell/parancs konfigurációk áthágására.

Részletek a bejelentésben és a hibaleírásban.

Összefogás jött létre egy új, nyílt forrású, biztonságos email-protokoll, a Dark Mail megalkotására. A közös kezdeményezést a Silent Circle és a Lavabit - a két, korábban biztonságos email-szolgáltatást üzemeltető vállalat - indította. A két cég augusztusban húzta le a rolót, mert állításuk szerint nem tudják felhasználóik adatainak biztonságát garantálni.

Az elmúlt napokban egy titokzatos dolog foglalkoztatja a biztonsági szakembereket. A neve badBIOS, a Twitteren, Google+-on #badBIOS. Megosztja a biztonsági szakértőket, vannak, akik mellette, vannak akik ellene érvelnek. Vannak, akik - feltehetően nem szeretnék magukat később kellemetlen helyzetbe hozni - nem kívánnak állást foglalni sem mellette, sem ellene.

Miről van szó? Adott egy, a biztonsági világban jól ismert ember, Dragos Ruiu. Az úriember biztonsági konferenciák - CanSecWest, PacSec - szervezője, valamint alapítója a HUP-on is jól ismert Pwn2Own biztonsági "vetélkedőnek". Azaz nem egy jöttment, ismeretlen ember. Sokan most mégis kételkednek a szavaiban.

A PHP projekt nemrég arról számolt be, hogy biztonsági incidens történt két szerverével kapcsolatban. Egyelőre még nem ismert, hogy a két szerverre milyen módszerrel sikerült a támadóknak bejutniuk. Az összes érintett szolgáltatást másik szerverekre költöztették. Ellenőrizték a git tárolójukat, de ahhoz nem sikerült a támadóknak hozzáférniük. Elképzelhető azonban, hogy a támadók hozzáfértek a php.net SSL tanúsítványának privát kulcsához, így azt azonnal visszavonták. Folyamatban van új tanúsítvány beszerzése.

[ uProxy (jelenleg zárt béta) | Google blogbejegyzés ]