Titkosítás, biztonság, privát szféra

Közvetlenül a LinuxCon előtt kerül megrendezésre 2010. augusztus 9-én Boston-ban a 2010 Linux Security Summit konferencia. A rendezvény célja, hogy fórumot biztosítson a Linux kernel biztonságán dolgozó fejlesztők, kutatók és végfelhasználók közti együttműködéshez. A konferencián előadást tart többek közt Dan Walsh (Red Hat), Stephen Hemminger (Vyatta), Kees Cook (Canonical), Brad Spengler (grsecurity). A rendezvény előadástervezete itt. A LinuxCon-ra regisztráltak előtt nyitott a rendezvény.

A nyílt forrású UnrealIRCd fejlesztői nemrég bejelentették, hogy az általuk fejlesztett IRC szerver 3.2.8.1-es verziójának tar.gz csomagját a tükörszervereken kicserélték egy backdoor-t tartalmazó csomagra. A beépített backdoor tetszőleges parancs végrehajtását teszi lehetővé a támadó számára az áldozat szerverén annak a felhasználónak a nevében, aki az IRC szervert futtatja. Úgy tűnik, hogy a csere 2009. novemberében történt (legalábbis egyes tükörszervereken). A Windows binárisokat, a CVS-t és a 3.2.8-at és az annál régebbi verziókat nem érinti a probléma. A bejelentés itt olvasható.

Tavis Ormandy, a Google biztonsági csoportjának tagja tegnap egy, a Microsoft Windows Help and Support Center szolgáltatását érintő sebezhetőségéről számolt be a full-disclosure levelezési listán. A Microsoft nem örül annak, hogy Ormandy ilyeténformán hozta nyilvánosságra a sebezhetőséget. A redmondi vállalat a "felelős közlés" fontosságára hívja fel a figyelmet.

Joanna Rutkowska és csapata az Invisible Things Labs-nél már korábban felvázolta a Qubes névre hallgató elképzelését, amely a számítógépes desktop biztonságát virtualizáció segítségével valósítaná meg. Most Joanna egy friss blogbejegyzésben arról ír, hogy kollégája, Rafal Wojtczuk egy új, a Qubes Beta 1-ben bemutatkozó "killer" funkción kezdett el dolgozni. A neve: egyszer használatos VM-ek.

A liveusb-creator egy keresztplatformos segédprogram, amellyel egyszerűen lehet Live operációs rendszereket telepíteni USB pendrive-okra. Az egyik blogbejegyzés arra figyelmeztet, hogy különböző helyeken hostolva olyan liveusb-creator példányok bukkantak fel, amelyekbe rosszindulatú programot rejtettek. A liveusb-creator weboldala felhívja a figyelmet arra, hogy csak a hivatalos honlapról érdemes letölteni a szerszámot.

Aki úgy érzi, hogy nem tud a Google nélkül élni, de nincs megelégedve a vállalat privacy politikájával, az most segíthet magán a GoogleSharing névre hallgató megoldással. A GoogleSharing egy két részből álló megoldás. Áll egy Firefox add-on-ból és egy anonymizing proxy-ból. A GoogleSharing fals adatokat szolgáltat a Google-nek amikor a felhasználó olyan Google szolgáltatásokat vesz igénybe, amelyekhez nem kell fiókkal rendelkezni. Ilyen például a keresés, a news és képkereső szolgáltatások. A GoogleSharing használata teljesen transzparens a felhasználó számára és csak a Google felé irányuló forgalmat érinti.

Az Apache projekt szervereit kezelő Apache Infrastructure Team friss blogbejegyzésében arról számol be, hogy közvetlen, célzott támadás érte az infrastruktúrájukat, pontosabban azt a szervert, amelyen a hibakövető rendszerüket futtatták. Az Apache - egyebek mellett - az Atlassian JIRA megoldását használta erre a célra. A szoftvernek a brutus.apache.org szerver adott otthont, amelyen Ubuntu 8.04 LTS operációs rendszer futott.

Joanna Rutkowska nem ismeretlen a HUP hűséges olvasói előtt. Többször (0, 1, 2, 3) is szerepelt már a biztonsággal kapcsolatos híradásokban. A lengyel hölgy most egy új, nyílt forrású, Linux-ra, Xen-re és X Window System-re épített operációs rendszerrel állt elő, amelynek elsődleges célja, hogy erős biztonságot nyújtson a desktop felhasználáshoz. Az operációs rendszer a Qubes névre hallgat.

Elszeparált pehelysúlyú virtuális gép minden egyes feladat számára - ez lehetne a mottója a Qubes biztonsági koncepciójának. A Joanna által bemutatott operációs rendszer csökkentené azokat a károkat, amelyeket az egyes rosszindulatú szoftverek okozhatnának a rendszerünkben. Mindezt úgy, hogy az egyes feladatok külön virtuális gépben futnának.

Didier Stevens egy blogbejegyzésben számol be arról, hogy előállított egy olyan proof-of-concept PDF fájlt, amelyből sikerült végrehajtható állományt futtatnia anélkül, hogy bármilyen sebezhetőséget is ki kellett volna használnia. Az Adobe Reader-t futtató felhasználók ugyan kapnak egy figyelmeztető ablakot azelőtt, mielőtt a futtatásra sor kerülne, de a párbeszédablakban megjelenő üzentet a hacker részben tudja befolyásolni. Egy kis social engineering-gel kombinálva felhasználható lehet parancsok, script-ek futtatására az áldozat gépén.

A Microsoft egy videót tett közzé, amelyben azt kívánja demonstrálni, hogy a Google Chrome szinte minden egyes billentyűleütést, amelyet a felhasználó az "address bar"-on ejt, elküld a Google-nek. A Microsoft azt kritizálja, hogy a Google Chrome az address bar-t és a keresődobozt egy beviteli mezőben egyesíti. Ezzel szemben az IE8 ezt külön oldja meg és ezáltal jobban védi a felhasználó személyes adatait. Nem beszélve az In-private funkcióról...