Titkosítás, biztonság, privát szféra

Charlie Miller (1, 2, 3, 4, 5, 6, 7, ....) - többszörös díjnyertes biztonsági szakértő - tegnap reggel a Twitter-en bejelentette, hogy hétfőtől a Twitter biztonsági csapatát erősíti. Miller nem az első profi biztonsági szakértő a Twitter-nél. A cégnél tevékenykedik az a Moxie Marlinspike is, aki szintén nem ismeretlen a HUP kitartó olvasói előtt. A Twitter tavaly vette meg Marlinspike Whisper Systems nevű biztonsági startup-ját. Részletek itt.

Az AntiSec a Twitter-en bejelentette, hogy 1 millió + 1 iPhone "Unique Device Identifier"-t, röviden UDID-et tett közzé. A csoport azt állítja, hogy a részlet egy olyan fájlból származik, amelyben 12 millió UDID található személyes információk (usereik, APNS tokeneik) társaságában és amelyet egy FBI ügynök laptopján találtak. A részletek itt olvashatók.

Pod2G - iOS biztonsági szakértő, jailbreak eszköz fejlesztő - blogjában és a Twitter-en arról számol be, hogy egy általa komolynak ítélt biztonsági problémát fedezett fel az iPhone SMS kezelésében. A szakember szerint a hiba a kezdetektől jelen van az iPhone SMS implementációjában és még benne van az iOS 6 beta 4-ben is. Pod2G figyelmeztet: "Sose bízz első látásra az iPhone-on érkező SMS-ben". És ha egy ilyen kaliberű szakértő ilyesmire hívja fel a figyelmet, akkor érdemes odafigyelni...

A Pwnium után itt a Pwnium 2. Míg az első megmérettetésen a Google 1 millió dollárt ajánlott fel, most 2 millióra növelte a jutalomkeretet. A Pwnium 2-t a Kuala Lumpurban (Malajzia) megrendezésre kerülő Hack In The Box konferencia alatt tartják 2012. október 10-én. A jutalomkeret a következők szerint kerül szétosztásra:

Dave Airlie egy exploitot tett közzé ma a full-disclosure levelezési listán az NVIDIA linuxos bináris driver-éhez, driver-eihez. Airlie azt állítja, hogy névtelenül kapta és nála működik. Elküldték az NVIDIA-nak több mint egy hónappal ezelőtt, de semmi reakció. A szerző névtelen akart maradni, de egyben azt is akarta, hogy az exploit publikálásra kerüljön, ezért Airlie elküldte a listára.

Akinek olyan rendszere van, amelyen prop. NVIDIA driver-rel hajtott chip/kártya található, annak érdemes fokozott figyelemmel kísérnie a fejleményeket. Arról semmilyen információ nincs, hogy mely driver verziókat érinti a probléma. A részletek itt olvashatók.

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők, valamint a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a hatodik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzteseket a korábban bejelentett jelöltek közül választották ki.

Június közepén vált széles körben publikussá a Rafal Wojtczuk által felfedezett és jelentett SYSRET 64 bites opererációs rendszer "privilege escalation" sebezhetőség, amellyel Intel processzoros rendszereken kellett számolni. A Las Vegas-ban megrendezésre került - 2012. július 21-26. - Black Hat konferencián beszélt a szakember a sebezhetőségről. A beszámolók szerint Wojtczuk elmondta, hogy a Linux kernelben a hibát 2006-ban javították, viszont a Windows, FreeBSD, NetBSD rendszerek az elmúlt 6 évben sebezhetők voltak, egészen hat héttel ezelőttig. A részletek itt olvashatók.

A Duo Security - lásd előző cikk - tagjai egy sebezhetőségi szkenner programot fejlesztettek ki "X-Ray for Android" néven. A program egyelőre privát béta fázisban van, de ma publikusan is elérhetővé válik.

Frissítés: Már elérhető az eszköz: xray.io/dl

Jon Oberheide, a Duo Security biztonsági szakembere nemrég publikált blogbejegyzésében az Android 4.1 (kódnevén "Jelly Bean") biztonsági, védelmi mechanizmusait veszi górcső alá. Ugyan már az Android 4.0-ban (kódnevén "Ice Cream Sandwich") megjelent az Address Space Layout Randomization (ASLR) funkció, az valójában nem volt megfelelően implementálva ahhoz, hogy valós körülmények közt előforduló támadásokkal szemben hatékony védelmet nyújtson. Ahogy azt egyik szakértő - Dug Song - akkor megjegyezte, "TL;DR: ICS ASLR = FUBAR".

Oberheide azt vizsgálta újabb blogbejegyzésében, hogy a Jelly Bean-nel történt-e előrelépés ASLR téren, illetve melyek azok a további technikák, amelyeket alkalmazva a fejlesztők még biztonságosabbá tehetnék az Android-ot.