Titkosítás, biztonság, privát szféra

Miután a Symantec elismerte, hogy illetéktelenek eltulajdonították több szoftvere - egyebek mellett a pcAnywhere - forrását, azt javasolta ügyfeleinek, hogy ideiglenesen álljanak le a szoftver használatával. Közben egy illető - bizonyos Yamatough -, aki azt állította, hogy birtokában vannak a kódok, pénzt akart kicsikarni a vállalatból annak fejében, hogy nem publikálja a forrást az interneten. A Symantec együttműködött a hatóságokkal annak érdekében, hogy kiderítsék, ki fenyegeti. Állítólag a hatóságok egy Sam Thomas nevű kitalált Symantec alkalmazott bőrébe bújva léptek kapcsolatba a hallgatási pénzt kérővel.

A minap akadtam rá a Mobile-OTP oldalra, ami leginkább - de nem kizárólag - a mobiltelefonra telepíthető klienssel való jelszógenerálásról szól.

A lényeg dióhéjban:

Mint az ismert, a Symantec egyes termékeinek forráskódja publikus lett. Na nem azért, mert a cég azt nyílt forrásúvá tette, hanem azért, mert ahhoz illetéktelenek fértek hozzá. Ezt a cég a Facebookon elismerte. De nem csak hozzáfértek a kódokhoz, hanem azok egy részét publikálták is az interneten. A vállalat szerint nem a saját hálózatára törtek be, hanem egy 3rd party-tól szerezték meg illetéktelenek a forráskódokat. Eleinte a Symantec igyekezett nyugtatni az ügyfeleit, állítva, hogy régi - több éves - kódokról van szó és ráadásul az egyik érintett termék már nyugdíjazásra került. Viszont most arról ír a ComputerWorld, hogy a cég azt javasolja ügyfeleinek, hogy a álljanak le a pcAnywhere szoftver használatával addig, amíg ahhoz frissítés nem érkezik. A Metasploit mögött álló H.D. Moore, meglepődött azon, hogy egy Symantec kaliberű cég ilyesmire kéri ügyfeleit.

A részletek itt olvashatók.

Szemfülesek észrevették, hogy az X.Org 1.11-es verziójától kezdve egy commitnak köszönhetően olyan "feature" mutatkozott be (újra, ezúttal alapértelmezetten), amelyet fel-/kihasználva bárki feloldhatja a képernyőzárt (Lock Screen) azon a gépen, amelyhez fizikai hozzáférése van. A képernyőzár feloldásához mindössze a Ctrl+Alt+Keypad-Multiply kombót kell alkalmaznia. A feltehetően érintett Linux disztrók listája itt. A felsorolt Linux disztrók mellett más OS-ek is érintettek lehetnek, amennyiben a problémás X.Org verziókat használják.

A cím kissé hatásvadásznak tűnhet, a helyes alcím az lehetne, hogy “Avagy miért használjunk HTTPS-t ahol csak lehet”.
Az itt bemutatott technika nagyon régi, de még napjainkban is működik, valamint nem korlátozódik a facebookra, szinte tetszőleges, cookie vagy egyéb alapú azonosítást használó site feltörhető vele.
Természetesen nem túl etikus dolog ilyet csinálni, tekintsük inkább szakmai kihívásnak csupán a dolgot, mint anno kezdő fejlesztő korunkban életünk első vírusának megírását :)

A cikk elolvasható itt.

A Sony után újabb játékfejlesztőt/terjesztőt ért incidens. A Valve bejelentette, hogy vasárnap este illetéktelenek fértek hozzá a fórumához és a Steam digitális tartalomterjesztő rendszerének adatbázisához. A behatolók hozzáfértek a felhasználónevekhez, a hashed + salted jelszavakhoz, a játékvásárlás-történetekhez, e-mail címekhez, számlázási adatokhoz és a titkosított hitelkártyaadatokhoz.

A CrySysLab egy új, nyílt forrású eszközt adott ki, amely képes észlelni a Duqu trójai nyomait és a futó Duqu példányokat. A részletek elolvashatók a crysys.hu-n.

Charlie Miller-t - többszörös Pwn2Own győztes, ismert arról, hogy rendszeresen talál biztonsági sebezhetőséget az Apple termékeiben - az Apple kizárta az iOS Developer programból. Az ok: Miller ismét biztonsági rést talált az Apple termékében, arra készített egy PoC alkalmazást, amelyet beküldött az App Store-ba, majd miután közölte, hogy az alkalmazás "többet is tud" mint aminek látszik, az Apple megvonta a fejlesztői licencét. Ezt Miller közölte a Twitter-en.

Miller a következő videóban mutatja be a problémát és az arra készített InstaStock alkalmazást, amelyet az Apple szeptemberben fogadott be az App Store-ba:

A Duqu (vagy, ahogy itt-ott hivatkoznak rá "Stuxnet 2") egy trójai, amelynek felfedezése magyar vonatkozású. A Duqu egy, a Windows kernelben aktívan jelen levő sebezhetőséget használ ki. Javítás nincs, workaround létezik a hibára. A biztonsági szakembereket tömörítő, független NSS Labs mérnökei most egy nyílt forrású keresőeszközt adtak ki, amely szerintük képes az összes Duqu drivert észlelni. A bejelentés - amely számos információt tartalmaz a Duqu-ról - megemlíti, hogy a kereső 100%-ban detektálja a trójai drivereit "false positive", azaz ok nélküli riasztás nélkül.