Titkosítás, biztonság, privát szféra

Jó ideje áll már a Sony PlayStation Network és Qriocity szolgáltatása. A tegnapi helyzetjelentés nyomán kiderült, hogy a behatolás során a támadók kezére kerültek, kerülhettek a játékosok különféle személyes adatai: név, cím, ország, e-mail cím, születési év, usernév / jelszó. A vállalat azt sem tartja kizárnak, hogy a hitelkártya adatok is illetéktelenek kezébe jutottak. Ugyan erre bizonyítékuk nincs, de ahogy a bejelentés fogalmaz, nem zárják ki ennek lehetőségét.

A részletek itt olvashatók.

A Joanna Rutkowska és csapata által megálmodott, hiperbiztonságos, nyílt forrású, Linux-ra, Xen-re és X Window System-re épített operációs rendszere, a Qubes (1, 2, 3) egy fontos fejlesztői mérföldkőhöz érkezett. Elérhető az első béta, amely a tesztelni vágyóknak okozhat nagy örömöt azzal, hogy most már van a rendszernek saját telepítője.

A kiadás jellemzői:

Az elmúlt napokban vált ismertté, hogy a Comodo Group, Inc.-től 9 SSL tanúsítvány került ki úgy, hogy azt nem a cég, hanem illetéktelenek adták ki. A cég elismerte, hogy az egyik dél-európai RA-jának felhasználóneve és jelszava illetéktelenek kezébe került. A támadók az adatok birtokában 9 tanúsítványt adtak ki publikus webhelyekhez, köztük az Mozilla (addons.mozilla.org), a Skype, a Yahoo! és Google és Microsoft weboldalaihoz. A támadást egy iráni IP címre lehetett visszakövetni. A Mozilla közleményt adott ki az esettel kapcsolatban. További részletek itt, itt.

A Heise Security új "Mac & i" magazinja nemrég interjút készített Charlie Miller-rel és Dino Dai Zovi-val, a "The Mac Hacker's Handbook" szerzőivel. A téma az Apple termékek biztonsága és annak áthágása volt. A H Security nemrég leközölte a teljes interjút.
Mind Miller, mind Dai Zovi régóta ismertek az Apple szoftverei ellen készített exploitjaikról. Charlie Miller többszörös Pwn2Own győztes OS X / iOS kategóriában. Dai Zovi is rendszeres látogatója ennek a biztonsági versenynek. 2007-ben neki sikerült térdre kényszerítenie a célpontként kiállított MacBook Pro-t egy QuickTime sebezhetőséget kihasználva. Az érdekes interjú elolvasható itt.

"A vancouveri CanSecWest biztonsági konferencián tegnap kezdődött a Pwn2Own verseny, ahol a népszerű böngészőket sikeresen feltörő szakemberek több ezer dollárral és a szoftvert futtató számítógéppel lettek gazdagabbak. Szokás szerint az Apple Safari esett el először, de az IE8 is elsőre kapitulált. [...] Az előző három évben Charlie Miller törte meg először a Safarit, 2011-ben ez a francia Vupen biztonsági cég csapatának sikerült, ők tették zsebre a 15 ezer dolláros (~3 millió forintos) fődíjat és nyerték meg a vadonatúj MacBook Prót - írja az amerikai Computerworld. A szabályok szerint a jelentkező csapatok között sorsolással döntötték el, ki próbálkozhat elsőre, a vakszerencse a Vupennek kedvezett, Charlie Miller már nem tudta bemutatni saját törését, mivel a Safari az első próbálkozás után kiesett a versenyből."

A teljes cikk itt olvasható.

Marcus Meissner nemrég arról számolt be az OSS Security levelezési listán, hogy zártkörű vendor-sec levelezési listát támadás érte. A vendor-sec levelezési listán elsősorban (de nem kizárólag) szabad és nyílt forrású operációs rendszerek fejlesztői, terjesztői, közreműködői tárgyalták ki az operációs rendszereik komponenseit potenciálisan, vagy ténylegesen érintő biztonsági sebezhetőségeket.

Tavaly nyáron a HP / Tippingpoint ernyője alatt működő Zero Day Initiative (ZDI) - ami egyébként a Pwn2Own biztonsági hackerverseny megrendezője is egyben - bejelentette, hogy változtat a hozzá bejelentett sebezhetőségek publikus közlésének folyamatán. Korábban a ZDI nem szabott meg konkrét határidőt a gyártók számára arra, hogy mennyi idő alatt kell(ene) javítaniuk a biztonsági sebezhetőségeket. A ZDI úgy találta, hogy ebből kifolyólag a gyártók nem törték össze magukat azért, hogy egy-egy kritikus sebezhetőséget mielőbb javítsanak. Így állt elő az a helyzet, hogy nem volt ritka az egy évnél öregebb, javítás nélkül álló biztonsági sebezhetőség sem.

Az IBM X-Force-os Jon Larimer a ShmooCon 2011 konferencián azt mutatta be, hogy a Linux desktop-ok is sérülékenyek lehetnek USB autorun támadásokkal szemben. A biztonsági szakértő diasorában nem csak arról ír, hogy hogyan lehet az USB-t felhasználni a támadáshoz, de azt is, hogy mit lehet kezdeni az olyan biztonsági mechanizmusokkal, szolgáltatásokkal, mint az AppArmor vagy a Linux kernel ASLR implementációja. A slidesor végén a szakember tippeket ad arra, hogy hogyan lehet megnehezíteni az ilyen támadásokkal operálók dolgát. Részletek itt.

Tavaly ősszel volt szó itt a HUP-on a NASDAQ OMX-ről annak apropóján, hogy a vállalat Linuxot használ világszerte tőzsdék üzemeltetéséhez. Nemrég fény derült arra, hogy biztonsági incidens történt a vállalatnál. Az előzetes vizsgálatok szerint a támadás a vállalat Directors Desk névre hallgató webes alkalmazását érinti, amelynek segítségével az ügyfelek bizalmas dokumentumokat oszthatnak meg egymással.

Immáron 5. alkalommal került hamarosan megrendezésre a kanadai Vancouver-ben a Pwn2Own névre hallgató biztonsági "törd meg, díjat kapsz érte" verseny. A verseny mögött a 3com-ot és a TippingPoint-ot is felvásárló HP, pontosabban a HP Tippingpont ernyője alatt működő Zero Day Initiative csapat áll. A hagyományoknak megfelelően a CanSecWest konferencia ideje alatt versenyezhetnek a jelöltek két nagy kategóriában. A 2011. február március 9-től 11-ig tartó megmérettetés alatt a webböngészők és a mobil platformok lesznek a fő célpontok.