Titkosítás, biztonság, privát szféra

Theo de Raadt, az OpenBSD projekt vezetője, egy érdekes levelet kapott a minap. Egy bizonyos Gregory Perry küldte neki a levelet, akivel Theo és az OpenBSD csapat több mint 10 évvel ezelőtt kapcsolatban állt. Perry annak a NETSEC-nek volt akkoriban a műszaki igazgatója, aki támogatásokat intézett az OpenBSD Crypto Framework (OCF) fejlesztéséhez. Abban az időben Perry az FBI-jal is kapcsolatban állt konzulensi minőségben. Az FBI "GSA Technical Support Center" divíziójával összefüggően adott tanácsokat. Ez a csoport Perry szerint egy crypto reverse engineering projekt volt, amely azzal a céllal működött, hogy hátsó kapukat (backdoor) építsen smart card és más hardver-alapú biztonsági eszközökbe.

Perry szerint az FBI-jal kötött titoktartási megállapodásának (NDA) időtartama nemrég lejárt, így figyelmeztetni akarja Theo-t, hogy az FBI több backdoor-t és adatszivárogtatást lehetővé tevő mechanizmust építtetett bele az OpenBSD Crypto Framework-be azzal a kifejezett céllal, hogy monitorozni tudja az EOUSA által implementált site-to-site VPN titkosítási rendszert.

Stéphane Graber az Orlando-ban nemrég megrendezett Ubuntu Developer Summit (UDS) rendezvény alatt dobott össze egy csokornyi kódot, amely lehetővé teszi (majd) az újabb Linux kerneleket futtató felhasználók számára a desktop alkalmazások sandbox-ba zárását. A proof-of-concept projekt ugyanazokat a kernelszolgáltatásokat használja, amelyeket az LXC használ.

Guillaume Delugré biztonsági szakértő, aki a Sogeti European Security Expertise Center-nek (ESEC) dolgozik. Delugré nemrég előadást tartott hack.lu rendezvényen a Broadcom Ethernet NetExtreme hálókártya-család firmware-ének visszafejtéséről, módosításáról, az ehhez használható eszközökről, illetve saját firmware készítéséről.

A Broadcom adott ki ehhez a kártyacsaládhoz specifikációt, dokumentációt (ami ugyan nem teljes és itt-ott pontatlan), továbbá rendelkezésre áll a kártya linuxos eszközmeghajtó-programja (tg3). A szakember ezeket az erőforrásokat felhasználva létrehozott egy eszközkészletet, amelynek segítségével piszkálni tudta a hálókártya firmware-ét. Ezzel mi volt a célja? Hogy olyan rootkit-et készítsen, ami a megszokottaktól eltérően nem az operációs rendszeren belül működik, hanem a hálózati kártyában foglal helyet.

Nemrég volt szó arról, hogy a Microsoft kritikus, az Internet Explorer 6, 7, 8 verzióit egyaránt érintő sebezhetőségre hívta fel a figyelmet. A redmondi vállalat akkor arról számolt be, hogy a sebezhetőséget korlátozott mértékben kihasználják az interneten. A Microsoft akkor nem jelezte, hogy a sebezhetőséget mikor javítja. Az AVG blogjában arról ír, hogy az elmúlt napokban észlelni kezdték az exploit-ot az Eleonore Exploit Kit-ben. A cég szerint ez jelentősen megnöveli rizikót, hiszen bárki megvásárolhatja a készletet pár száz dollárért és hozzájuthat a működő 0day exploit-hoz. Az AVG szerint a Microsoft-nak meg kellene fontolnia a sebezhetőség soron kívüli javítását. A részletek itt. A javításig érdemes a kiadott workaround-ot használni.

A Mozilla régóta fizet jutalmat azoknak, akik ismeretlen biztonsági hibát jelentenek be hozzá. A hibák súlyosságától függően kaphatnak a felfedezők jutalmakat. Kevésbé súlyos hibákért 500 dollár, komolyabb hibákért akár 3000 dollár jutalom is ütheti a bejelentő markát. Nemrég a Mozilla egy puffer túlcsordulásos és memóriakorrupciós hibát (CVE-2010-3179) javított ki. A hibát egy 12 éves srác jelentette be.

Nyáron volt szó arról, hogy a Lenovo egyes weboldalaiba ismeretlen támadók rosszindulatú kódokat injektáltak. Úgy tűnik, hogy a vállalat egyik oldala ismét áldozatul esett. A www.lenovoservicetraining.com a
hackload.AD névre hallgató malware-t terjeszti. Hétfőn figyelmeztették a céget a problémára, de úgy tűnik, hogy tegnap még nem sikerült azt megoldani. Addig is a Google Safe Browsing API-jában az oldal veszélyesnek van jelölve, így lehetővé válik a böngészők - mint például a Firefox, a Chrome - számára az oldal blokkolása. A hírek szerint a nagyobb antivírus szoftverek is tudnak a problémáról.

Scott Charney, a Microsoft Trustworthy Computing divíziójának alelnöke egyik blogbejegyzésében arról írt, hogy el kellene különíteni az interneten a védelem nélkül levő és a fertőző számítógépeket. A vezető nemrég előadást tartott erről az elképzelésről Berlinben az International Security Solutions Europe konferencián.

A Joanna Rutkowska és csapata, az Invisible Things Lab által megálmodott hiperbiztonságos, nyílt forrású, Linux-ra, Xen-re és X Window System-re épített operációs rendszere, a Qubes harmadik alpha verziójához érkezett. Aki lemaradt volna, részletesen olvashat az elképzelésről a korábbi "Qubes: biztonság virtualizáción keresztül" és "Qubes: egyszer használatos VM-ek" című cikkekben.

A Siemens szóvivője nemrég megerősítette, hogy németországi ipari vállalatoknál is felbukkant az a Stuxnet worm, amelyről egy biztonsági szakértő nemrég azt állította, elképzelhető, hogy az iráni atomprogram szabotálásra készítették. A Stuxnet botnet a korábban nagyobb visszhangot kapott .lnk sebezhetőség mellett több másik Windows sebezhetőséget használ ki. A Siemens szerint 15 vállalat érintett világszerte. Az érintett vállalatok körülbelül egyharmada németországi vállalat. A Siemens állítja, saját gyáregysége nem érintett.

A részletek itt.

2010. szeptember 18-19-én kerül sor a Hacktivity 2010 konferenciára a Dürer kertben. Kelet-Közép-Európa legnagyobb hackerkonferenciájára az eddigi regisztrációk alapján akár 1024 fő is érkezhet, köztük sok külföldi, mivel idén először az előadásokat folyamatos szinkrontolmácsolás kíséri.