Titkosítás, biztonság, privát szféra

Bruce Schneier biztonsági szakértő arról ír blogjában, hogy reagálva a Snowden-fiaskóra, az NSA kétemberes felügyeleti szabályt vezetett be a rendszeradminisztrátorai számára. Ez azt jelenti, hogy az ügynökség bármelyik rendszeradminisztrátora csak egy másik admin jelenléte mellett férhet hozzá és dolgozhat kulcsfontosságú információkhoz. Mivel közel 15 ezer telephelyen kell az új szabályt bevezetni, időbe telik majd, amíg mindenhol érvényre jut.

Keith Alexander, az NSA vezetője elmondta, hogy most már a zárva vannak a szerverszobák ahol ilyen jellegű adatokat tárolnak és csak kétfős csapatokban lehet azokba bejutni. Alexander azt is elmondta, hogy az NSA tesztidőszak után ezek a biztosítékok beépítésre kerülnének a Pentagon és a hírszerző ügynökségeknél.

Részletek itt.

Állítólag a 2000-es évek közepe óta a szállított notebookok hardver / firmware backdoorral rendelkeznek, ezért a kormányügynökségek minősített hálózatokon nem használhatnak ilyen eszközöket az USA-ban, Angliában, Kanadában és Új-Zélandon.
A mérsékeltebb írás a BBC-től, és a bulvárosabb, forrásmegjelölés nélküli a THN-től. De a Slashdottól a Computerworldig több portál lehozta a hírt.

(A legtöbb cikk által idézett forrás itt - a szerk.)

A Microsoft nemrég jelentette be, hogy változtatott korábbi álláspontján és számos iparági szereplőhöz hasonlóan saját biztonsági jutalomprogramot indít. A program első jutalmazottjai a hírek szerint Google alkalmazottak. Fermín Serna egy, az Internet Explorer-t érintő információszivárgásos sebezhetőség, Ivan Fratric (@ifsecure) pedig egy, az Internet Explorer 11 Preview-ot érintő sebezhetőség részleteiért részesült jutalmazásban. Fratric elsőségét Katie Moussouris (@k8em0), a Microsoft BlueHat és Bug Bounty programjaiért felelős csapatának tagja erősítette meg.

A részletek itt olvashatók.

Hosszabb kiesést szenved el az Apple fejlesztőknek szóló oldala, a developer.apple.com/devcenter. Egy darabig csak annyi volt olvasható az oldalon, hogy a karbantartás hosszabb időt vesz igénybe az előzetesen vártnál, illetve az, hogy azoknak a fejlesztőknek, akiknek a kiesés alatt járt le az programtagságuk, az Apple meghosszabbítja azt.

Szombaton egyesek már gyanakodni kezdtek arra, hogy valami biztonsági probléma lehet az oldallal, mert fura, jelszó alaphelyzetbe állítással kapcsolatos leveleket kezdtek kapni.

Az Ubuntu Forums jelenleg nem elérhető. A weboldalon egy közlemény olvasható arról, hogy a szolgáltatást támadás érte, ezért leállították. A Canonical infrastruktúra csapata megkezdte a szolgáltatás helyreállítását.

A támadók nem csak deface-elték az vBulletin-alapú fórumot, hanem elvitték a közel 2 millió regisztrált felhasználó felhasználónevét, jelszavát, e-mail címét. A jelszavak nem plain text-ben tárolódtak. Ennek ellenére, ha valaki ugyanazt a jelszót használta az Ubuntu Forums-on és más helyeken is, célszerű a többi helyen mihamarabb jelszót váltani. Az Ubuntu One, Launchpad és más Ubuntu/Canonical szolgáltatások nem érintettek az incidensben.

A részletek közleményben.

A The Guardian újabb cikkében ismét arról ír, hogy Edward Snowden - aki a korábbi hírek ellenére még nem fogadta el Venezuela ajánlatát - "top secret" dokumentumokat adott át részére. A lap szerint a dokumentumokból kiderül, hogy a Microsoft hogyan adott hozzáférést az NSA számára a titkosított üzenetekhez.

A The Guardian a dokumentumokra hivatkozva állítja, hogy az Outlook.com titkosítását már azelőtt megnyitották az NSA előtt, hogy a szolgáltatás elindult volna, a Skype pedig együttműködött annak érdekében, hogy a PRISM program keretén belül videóhívásokat tudjanak elfogni.

Tavis Ormandy (@taviso) - a Google biztonsági csapatának tagja - májusban közölte egy súlyos, a Windows változatok széles skáláját érintő biztonsági sebezhetőség részleteit. A sebezhetőség kihasználására alkalmas PoC exploitot tett közzé nem sokkal később. A H Security állítja, hogy a Microsoft - noha tisztában volt azzal, hogy a sebezhetőséget célzottan kihasználják - nem figyelmeztette a sebezhetőséggel kapcsolatban ügyfeleit. A tegnapi patchkedden számos más súlyos sebezhetőség mellett javítás érkezett erre a sebezhetőségre is.

A részletek itt.

Az Opera Software részéről Sigbjørn Vik közölte, hogy 2013. június 19-én cégük belső hálózatán illetéktelen támadási tevékenységet észleltek, számoltak fel. A rendszerüket "megtisztították" és nem találtak bizonyítékot arra, hogy felhasználói adatok sérültek volna a támadás során. Együttműködnek a nyomozóhatóságokkal.

Mindazonáltal a támadás során a támadók legalább egy régi, lejárt Opera kódaláíró tanúsítványt elloptak, majd azt malware aláírására használták fel. Ez lehetővé tette számokra rosszindulatú szoftverek terjesztését, amelyek úgy tűnhettek, hogy azokat az Opera Software terjesztette.

Számos szoftvercég, internetes szolgáltató indított már a múltban "security bug bounty" programot. A legismertebbek talán a Mozilla, Google, Facebook, Paypal stb. programjai.

Ezen programok keretén belül a cégek különböző összegű "jutalmakat" fizetnek azoknak, akik termékeikben biztonsági hibákat találnak és azok részleteit felelős közlés magatartást követve számukra bejelentik.

Biztonsági szakemberek régóta várták, hogy a legnagyobb szoftvergyártó, a Microsoft is indít ilyen programot. Korábban több biztonsági szakember is kijelentette: nincsenek többé ingyenes bugbejelentések. Ha a cégek ilyet akarnak, fizessenek érte.

2010-ben a Microsoft kijelentette: nem fizet jutalmat a hozzá bejelentett bugok után. A redmondi vállalat részéről Jerry Bryant (jelenleg a Microsoft vezető rangidős biztonsági programigazgatója) akkor elmondta, hogy véleményük szerint nem az a legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban.

Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá a sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt.

Ez volt a helyzet 2010-ben. Azóta a vállalat revideálta álláspontját és a többi céghez hasonló bug bounty programot jelentett be.

Viviane Reding, az Európai Unió alapjogi biztosa levelet írt Eric Holder amerikai igazságügyi miniszternek. A biztos részletes magyarázatot vár Amerikától a PRISM megfigyelési üggyel kapcsolatban. Hét kérdést tett fel Holdernek. A kérdések: