Titkosítás, biztonság, privát szféra

A PHP projekt nemrég arról számolt be, hogy biztonsági incidens történt két szerverével kapcsolatban. Egyelőre még nem ismert, hogy a két szerverre milyen módszerrel sikerült a támadóknak bejutniuk. Az összes érintett szolgáltatást másik szerverekre költöztették. Ellenőrizték a git tárolójukat, de ahhoz nem sikerült a támadóknak hozzáférniük. Elképzelhető azonban, hogy a támadók hozzáfértek a php.net SSL tanúsítványának privát kulcsához, így azt azonnal visszavonták. Folyamatban van új tanúsítvány beszerzése.

[ uProxy (jelenleg zárt béta) | Google blogbejegyzés ]

Dilma Rousseff brazil elnök - aki az amerikai megfigyelési és kémbotrány miatt a múlt hónapban lemondta esedékes washingtoni útját és egy találkozóját Barack Obama elnökkel, valamint aki ugyanezért keményen bírálta nemrég Washingtont a New York-i ENSZ-közgyűlésen - vasárnap bejelentette, hogy kormánya biztonságos e-mail rendszert építtet ki annak érdekében, hogy megóvja a hivatalos kommunikációjukat az amerikai kémkedéssel szemben. Rousseff utasította a szövetségi adatfeldolgozó hivatalt, a SERPRO-t, hogy hozzon létre egy biztonságos e-mail rendszert a szövetségi kormányzat számára.

A részletek itt olvashatók.

Augusztus elején volt szó arról, hogy Ladar Levison, a Lavabit tulajdonosa és üzemeltetője bejelentette, hogy hosszas mérlegelés után úgy döntött, felfüggeszti a szolgáltatás üzemeltetését. A Lavabit volt az a biztonságos e-mail szolgáltatás, amelyet az NSA-sztoriból ismert Edward Snowden is használt. Levison akkor azzal magyarázta lépését, hogy nem akar bűnrészessé válni amerikaiak ellen elkövetett bűntettekben.

A héten nyilvánosságra hozott dokumentumokból kiderült, hogy Levison több alkalommal is elutasította a hatóságok azon kérését, hogy adja át számukra az általa üzemeltetett rendszer titkosítási kulcsait.

Augusztus elején volt szó arról, hogy az RSA biztonsági szakemberei egy új, linuxos trójait fedeztek fel orosz underground körökben. A trójait 2000 dollárért kínálta fejlesztője, aki állította, hogy "terméke" Linux disztribúciók és desktop környezetek széles skálájával működik megbízhatóan. Később az Avast szakértői is megvizsgálták a Hand of Thief (HoT) nevű malware-t.

Yotam Gottesman, az RSA FraudAction Research Labs részlegének rangidős biztonsági kutatója alaposan szemügyre vette a HoT-ot. A vizsgálat végezetével arra jutott, hogy a malware sokkal inkább egy kezdetleges prototípus, mintsem egy valódi, kereskedelmileg életképes trójai megoldás.

Az RSA blogbejegyzése itt. További részletek itt.

Az elmúlt napokban annyi hír látott napvilágot, hogy az egyenkénti megemlítésnél jobbnak láttam csokorba szedni őket. Íme:

• Matthew Green professzor: Az NSA-ról
• Kérdezd a Slashdot-ot: Linux biztonság az NSA crypo-felforgató ténykedésének fényében
• Bruce Schneier: NSA megfigyelés - útmutató ahhoz, hogy hogyan maradj biztonságban
• A Tor crypto kulcsainak többsége feltehetően törhető az NSA számára az egyik biztonsági szakember szerint
• A 1Password FAQ-ja az NSA balhéval kapcsolatban
• Re: [Cryptography] Opening Discussion: Speculation on "BULLRUN"
• Az NSA képes az okostelefonok adatait is megcsapolni (beleértve a Blackberry-t is)
• Az NSA-nak ellenálló Android alkalmazás "elégeti" az érzékeny üzeneteket
• Bruce Schneier: Az NSA a legtöbb titkosítást töri az Interneten
• A Silent Circle titkosított szöveges üzenet alkalmazást adott ki Android-ra
• Az NSA nevet a PC-ken, inkább a routerek, switchek meghackelését kedveli

(folyamatosan frissítve)

Brad Smith a Microsoft részéről arról blogolt nemrég, hogy a Microsoft és a Google általában egymással szemben áll, de most éppen vállvetve harcolnak az átláthatóságért. Mindkét céget aggasztja, hogy az amerikai kormányzat továbbra sem hajlandó lehetővé tenni számukra, hogy elegendő adatot publikáljanak a hozzájuk beérkezett Foreign Intelligence Surveillance Act (FISA) adatkérő utasításokkal, elrendelésekkel kapcsolatban. Hogy a problémát megoldják, júniusban mindkét cég bírósághoz folyamodott. Mindkét cég hisz abban, hogy az amerikai alkotmány lehetővé teszi számukra, hogy még több információt oszthassanak meg a nyilvánossággal. A Microsoft és a Google azt várja a bíróságtól, hogy az megerősítse alkotmányos jogaikat és így ők további adatokat tehessenek közzé.

Részletek a blogbejegyzésben.

Nemrég volt szó a "Hand of Thief" nevű linuxos banking trójairól. Az Avast most alaposabban szemügyre vette a rosszindulatú programot. A program érdekessége, hogy számos beépített "önvédelmi" és anti-elemző mechanizmussal rendelkezik. Például elindulás után azonnal ellenőrzi, hogy virtuális gépen fut-e, vagy a /-t chroot-olták. Ha bármi jelét látja ennek, azonnal befejezi a futást. Ezen kívül az Avast szakemberei megfigyelték, hogy a malware rendelkezik egy beépített rutinnal, amely azt figyeli, hogy fut-e Wireshark vagy tcpdump a gépen. Ha igen, akkor a program nem kommunikál kifelé.

A részletek elolvashatók itt.

A Lavabit sztorit már ismerjük. A szolgáltatás alapítója, Ladar Levison nemrég úgy döntött, hogy lehúzza a rolót, mert nem tudja garantálni felhasználói adatainak biztonságát. Levison felhagyott az elektronikus levelezéssel. A Groklaw alapítója, Pamela Jones hosszas mérlegelés után úgy döntött, hogy követi Levison példáját. Személyes döntése az, hogy elkerüli az internetet, amennyire csak tudja.

Mivel privát levelezés nélkül a Groklaw nem tud működni, az oldal befejezi működését. Az utolsó, búcsúzó Groklaw cikk itt olvasható.

A Bitcoin nemrég arra hívta fel a figyelmet, hogy tudomásuk szerint az Android biztonságos véletlen számok létrehozásáért felelős komponense súlyos sebezhetőséget tartalmaz. Emiatt az augusztus 11-ig bezárólag bármely Android alkalmazás által generált összes Android tárca (wallet) sebezhető és lopás áldozatává válhat. A Bitcoin a teljesség igénye nélkül felsorolt néhány érintett - Bitcoin Wallet, blockchain.info wallet, BitcoinSpinner, Mycelium Wallet - alkalmazást. Azóta ezen alkalmazások már frissültek, a friss verziók telepíthetők a Google Play-ből. A hírek szerint a sebezhetőséget kihasználva már történt lopás a múlt héten.

Tegnap a Google részéről hivatalos megerősítés érkezett. Alex Klyubin - Android Security Engineer - a probléma hátteréről ír "Some SecureRandom Thoughts" blogbejegyzésében.

A blogbejegyzésből kiderül, hogy a sebezhetőség nem korlátozódik kizárólag a Bitcoin tárcaprogramokra, illetve fejlesztőknek szóló javaslatokat is tartalmaz a probléma elkerüléséhez.