Titkosítás, biztonság, privát szféra

Számos szoftvercég, internetes szolgáltató indított már a múltban "security bug bounty" programot. A legismertebbek talán a Mozilla, Google, Facebook, Paypal stb. programjai.

Ezen programok keretén belül a cégek különböző összegű "jutalmakat" fizetnek azoknak, akik termékeikben biztonsági hibákat találnak és azok részleteit felelős közlés magatartást követve számukra bejelentik.

Biztonsági szakemberek régóta várták, hogy a legnagyobb szoftvergyártó, a Microsoft is indít ilyen programot. Korábban több biztonsági szakember is kijelentette: nincsenek többé ingyenes bugbejelentések. Ha a cégek ilyet akarnak, fizessenek érte.

2010-ben a Microsoft kijelentette: nem fizet jutalmat a hozzá bejelentett bugok után. A redmondi vállalat részéről Jerry Bryant (jelenleg a Microsoft vezető rangidős biztonsági programigazgatója) akkor elmondta, hogy véleményük szerint nem az a legjobb megoldás, hogy jutalmat fizetnek a bugok után. Szerintünk biztonsági körökben nem minden esetben anyagi a motiváció az egyes bejelentésekkel kapcsolatban.

Megjegyezte, hogy a Microsoft rendszeresen megemlíti a biztonsági figyelmeztetőiben a hiba felfedezőjét, megemlékezve arról, hogy az adott kutató értékes információkkal járult hozzá a sebezhetőség orvoslására kidolgozott javítás elkészítéséhez. Annak ellenére, hogy nem osztanak hibánként jutalmat, elismerik és jutalmazzák a tehetséges embereket. Volt példa már arra, hogy biztonsági körökben befolyásosnak számító egyének csatlakozhattak a Microsoft biztonsági csapatához alkalmazottként. Ezen kívül a vállalat közvetlen szerződéseket köt biztonsági vállalatokkal és néha magánszemélyekkel azért, hogy azok leteszteljék biztonsági szempontból egyes termékeiket még a kiadás előtt.

Ez volt a helyzet 2010-ben. Azóta a vállalat revideálta álláspontját és a többi céghez hasonló bug bounty programot jelentett be.

Viviane Reding, az Európai Unió alapjogi biztosa levelet írt Eric Holder amerikai igazságügyi miniszternek. A biztos részletes magyarázatot vár Amerikától a PRISM megfigyelési üggyel kapcsolatban. Hét kérdést tett fel Holdernek. A kérdések:

A három legnagyobb internetes cég - a Google, Microsoft és a Facebook - azzal fordult az USA kormányzatához, hogy az biztosítson nagyobb átláthatóságot az általa feléjük indított, nemzetbiztonsággal összefüggő kérésekkel kapcsolatban. Hasonló témájú állásfoglalások jelentek meg kedden néhány órán belül a három cégtől, amelyben arra kérik az USA kormányát, hogy az tegye lehetővé számukra, hogy publikálhassák a titkosszolgálatoktól hozzájuk érkező adatkérések számát és tárgyát.

részlet a kiszivárogtatott dokumentumokból

A PRISM botrány tovább dagad. Előlépett az anonimitásból Edward Snowden, aki a The Guardian szerint a hír forrása volt. A lap szerint a 29 éves férfi több külsős vállalat - Booz Allen, Dell - embereként végzett munkákat az NSA-nak és technikai asszisztens minőségben a CIA-nak. Most Hongkongban tartózkodik.

A miértről és másról részletesen a vele készített szöveges interjúban és videóban.

A The Guardian és a The Washington Post által kirobbantott PRISM megfigyelési ügyben tegnap megszólalt a James R. Clapper, az amerikai nemzeti hírszerzés igazgatója. Közleményében arról ír, hogy feloldotta egyes információk titkosítását "annak reményében, hogy azok segítenek eloszlatni néhány mítoszt és megadják a szükséges háttért azokhoz, amik publikálásra kerültek."

A vezető által kiadott dokumentum:

Tavis Ormandy, a Google biztonsági csoportjának tagja 2010-ben már tett hasonlót. Három évvel ezelőtt egy 0day sebezhetőség részleteit közölte. Akkor a Microsoft nem örült. A Google alkalmazottja most egy 0day Windows exploitot tett közzé a full-disclosure levelezési listán. A H Security megerősítette, hogy az exploit használatával a támadó NT Authority\SYSTEM jogokhoz juthat az áldozat rendszerén.

Részletek itt.

Nem újdonság, de ha valakit érdekel, hogy Ubuntu 13.04 alatt hogyan lehet a $subject-ben említetteket egyszerűen és gyorsan összekalapálni, az látogasson el ide.

A Drupal.org biztonságért és infrastruktúráért felelős csapata nemrég észlelte, hogy illetéktelen hozzáférés történt a Drupal.org-on és groups.drupal.org-on tárolt felhasználói adatokhoz. Köztük felhasználónevekhez, e-mail címekhez és hash-elt jelszavakhoz. A Drupal.org-on tárolt összes jelszó hash-elt és sózott (salted) volt. A groups.drupal.org-on néhány régebbi jelszó nem volt sózva.

Az incidensről az érintettek levélben kaptak értesítést. A levél szerint az illetéktelen hozzáférés egy, a Drupal.org infrastruktúrájába telepített 3rd party programon keresztül történt.

A felhasználói jelszavakat resetelék, a felhasználóknak a következő belépéskor új jelszót kell létrehozniuk.

Az Oslo Freedom Forum egy évente megtartott rendezvény, amely annak lehetőségeit vizsgálja, hogy hogyan lehetne tiltakozni, fellépni a tekintélyelvűség ellen és amely a szabad és nyílt eszméket hirdeti. Az idei, május 13-tól 15-ig tartott konferencián volt egy workshop, amelyet szólásszabadság aktivistáknak rendeztek. Ezen a workshopon arról volt szó, hogy ezek az aktivisták hogyan próbálják megvédeni az általuk használt eszközöket a kormányzati megfigyelésekkel, lehallgatásokkal, ellenőrzésekkel szemben. A workshop alatt az egyik angolai résztvevő gépén Jacob Appelbaum felfedezett egy eddig még ismeretlen, OS X-es spyware-t, amelynek az az érdekessége, hogy egy érvényes Apple Developer ID-hoz tartozó tanúsítvánnyal írták alá. Mivel a malware megfelelően alá volt írva, a Gatekeeper nem jelzett a felhasználóknak.

Részletek az F-Secure blogjában.

A H Security azt állítja, hogy a Microsoft beleolvas a Skype-on keresztül küldött üzenetekbe. A weboldalt az egyik olvasó értesítette, aki azt állította, hogy szokatlan hálózati forgalmat észlelt azután, hogy egy Skype IM csevegést folytatott. Röviddel azután, hogy HTTPS URL-t küldött át az IM szolgáltatáson keresztül, az URL-t meglátogatták egy IP címről a Microsoft redmondi főhadiszállásáról. A H Security nekiállt tesztelni. Átküldött két HTTPS URL-t. Az egyik egy login információt tartalmazott, a másik pedig egy privát cloud-alapú fájlmegosztó szolgáltatásra mutatott. Az eredmény? Néhány órával később mindkét HTTPS URL-t meglátogatták egy IP-ről, amelyet a redmondi Microsoft-hoz regisztráltak.

A H Security szerint a Microsoft mind a login információkat, mind a privát cloud-alapú fájlmegosztó szolgáltatáshoz létrehozott spec. URL-t felhasználta.

A H Security kérdőre vonta a Skype-ot... A részletek itt olvashatók.