Titkosítás, biztonság, privát szféra

Az idei Black Hat konferencia egyik témája a Mickey Shkatov és Toby Kohlenberg által előadásra kerülő "We have you by the Gadgets". Miután kiderült, hogy a két úriember a fenti témában ad majd elő, a Microsoft egy biztonsági figyelmeztetőt (MSA 2719662) tett közzé "Vulnerabilities in Gadgets Could Allow Remote Code Execution" címmel. A redmondi vállalat a figyelmeztető mellé kiadott egy FixIT-et is, amellyel le lehet tiltani az oldalsávot (sidebar) és a minialkalmazásokat (gadgets).

A si6networks-nél biztonsági szakértőként dolgozó Fernando Gont a napokban egy rakás, az elmúlt években általa készített, IPv6-tal kapcsolatos biztonsági eszköz elérhetőségét jelentette be. Az eszközök Linux és BSD rendszereken fordulnak és futnak, de Gont tervezi őket OS X-re is portolni.

A Google alkalmazásában álló OpenBSD/OpenSSH fejlesztő, Damien Miller tweetelt egy kedveset az AVG antivírusról. Miller szerint az AVG egy malware. Követve a tweet linkjét, a szintén Google alkalmazott Peter Kasting írásához juthatunk, ahol Kasting arról ír, hogy ha valaki "Your profile could not be opened correctly" üzenetet kap Chrome 20-szal és a gépén AVG van, akkor feltehetően az AVG a ludas. Kasting szerint az AVG oly módon nyúl a fájlokhoz, hogy az már malware tevékenységnek tekinthető. A szakember azt javasolja, hogy ha valaki még használna a gépén AVG-t, távolítsa el és helyette használjon más ingyenesen elérhető AV terméket, pl. a Microsoft Security Essentials-t stb.

A Microsoft alkalmazásában álló Terry Zink - Microsoft Forefront Online Security programigazgató - friss blogbejegyzésében azt állítja, hogy bizonyítéka van arra, hogy Android telefonokból álló botnet spammel. Mint írja, már egy ideje hallottak arról, hogy spammer olyan botnetet irányít, amely Android telefonokon "lakik", de ez volt az első eset, hogy személyes kapcsolatba került(ek) vele.

A blogbejegyzés itt olvasható. A Sophos is elemzi a helyzetet itt. A Sophos egyetért Zink-kel abban, hogy a jelek Android malware-re utalnak.

Frissítés: Zink egyetért azzal, hogy nem bizonyított, hogy a spam Android eszközökről érkezett.

A napokban megjelent a Google Chrome 20 a "stable" csatornában. A Google blogon közzétett bejelentésben azonban a szokásos hibajavítások felsorolásán kívül nem esett szó egy fontos újdonságról. Chris Evans, a Google egyik biztonsági szakértője arról ír blogjában, hogy a Chrome 20 Linuxon komolyabb Flash biztonságot tud felmutatni. Legalábbis 64 bites Ubuntu 12.04-en, a korábban már említett seccomp filters-nek köszönhetően. A részletek itt olvashatók.

(Evans egyébként az általa fejlesztett vsftpd-be is implementálta a seccomp filters sandboxing támogatást. Teszteléséhez 64 bites Ubuntu 12.04-re és 64 bites vsftpd-re van szükség. A részletek itt. Várhatóan egyre többen fogják felkapni a seccomp filters támogatást. Korábban Damien Miller jelezte, hogy az OpenSSH 6.0-hoz is elkészült a szükséges patch.)

A H Security egyik cikke arról ír, hogy az FBI július 9-én, hétfőn lekapcsolja azt a DNS szervert, amely jelenleg a DNSChanger-rel fertőzőtt gépek DNS kéréseit kiszolgálja. A FBI felszámolta a DNSChanger hálózatot és ideiglenes intézkedésként felállított egy szervert, amely a fertőzött gépeket kiszolgálta. Ez a gép áll le hétfőn. Ez azt jelenti, hogy azok a gépek, amelyek ezzel a malware-rel fertőződtek, hétfőn elveszíthetik az "internetezési" képességüket. A felhasználóknak azt tanácsolják, hogy az említett dátum előtt ellenőrizzék le, hogy nem fertőződtek-e meg a malware-rel. Az ellenőrzést elvégezhetik a dnschanger.eu ill. dns-ok.us webhelyeken.

A részletek itt olvashatók.

Tomasz Kojm, a ClamAV alapítója tegnap egy, három társa által is aláírt levelet küldött a clamav-announce levlistára, amelyben arról írt, hogy idén 10 éves lesz a ClamAV projekt. Az első kiadás 2002. május 8-án jelent meg és egy egyszerű, parancssori szkennert (clamscan), valamit egy, az adatbázis frissítésére szolgáló eszközt (freshclam) tartalmazott. A hobbiként indult projekt az évek során a közreműködők segítségével komplett AV megoldássá nőtte ki magát és emellett az egyik legnépszerűbb nyílt forrású biztonsági eszközzé vált. Napjainkban a ClamAV több mint kétmilliós aktív telepített bázissal rendelkezik és fájlok százezreit vizsgálja naponta.

Phil Zimmermann, a Pretty Good Privacy (PGP) megalkotója összeállt néhány Navy Seal-es veteránnal és létrehozta a Silent Circle nevű céget, hogy olyan, titkosított mobilkommunikációt lehetővé tevő megoldást hozzon létre, amely védelmet nyújt a megfigyelésekkel, lehallgatásokkal szemben. A cég a tényleges működését valamikor az év későbbi szakaszában kezdi meg. Az ügyfelek havi 20 dollárért egy olyan csomagot kapnak, amellyel titkosított e-mail, szöveges üzenet, telefonhívás és videokonferencia kommunikációt végezhetnek. A megoldás letölthető mobilalkalmazásból és szerverekből áll. A munka nagy részét a szoftver végzi, de szükség van backend szerverekre is. A cég a weblapján azt írja, hogy megoldása garantáltan backdoor-mentes.

A részletek itt.

A US-CERT (United States Computer Emergency Readiness Team) arra figyelmeztet, hogy egyes, Intel CPU-n futó 64 bites operációs rendszerek és virtualizációs szoftverek sebezhetők helyi privilégiumszint-emelés támadással szemben. A sebezhetőség kihasználható helyi privilégiumszint-emelésre, vagy guest-to-host irányú kitörésre virtuális gépen. A hibát Rafal Wojtczuk (Bromium, Inc.) fedezte fel.

A virtualizációs szoftver és operációs rendszer gyártók eddig kiadott hibajegyei, figyelmeztetői, tájékoztatói:

• Xen: CVE-2012-0217 / XSA-7 - 64-bit PV guest privilege escalation vulnerability
• FreeBSD: FreeBSD-SA-12:04.sysret: Privilege escalation when returning from kernel
• Microsoft: User Mode Scheduler Memory Corruption Vulnerability - MS12-042 - Important
• Red Hat: RHSA-2012:0720-1 & RHSA-2012:0721-1

Részletek, további infók: US-CERT Vulnerability Note VU#649219

A LinkedIn incidens apropóján írt egy cikket az ACMQUEUE hasábjaira Poul-Henning Kamp FreeBSD fejlesztő, az md5crypt megalkotója. Kamp írásában azt elemzi, hogy miért hibázott a Linkedin, mikor a jelszavakat unsalted SHA1 hash-ek formájában tárolta.