Titkosítás, biztonság, privát szféra

Nemrég volt szó itt a HUP-on arról, hogy a SELinux hacker Dan Walsh azon dolgozik, hogy hogyan tudja a tetszőleges desktop alkalmazásokat - például a Mozilla Firefox-ot - sandbox-ba terelni. A munka eredményeként megszületett a SELinux sandbox-ához egy új funkció, amely a 'sandbox -X' segítségével érhető el. A munka ugyan még nagyon kezdeti fázisban van, azonban aki szeretne játszani vele, az megteheti, mert a megoldás integrálásra került a novemberi kiadásra tervezett Fedora 12-be. A részletek itt olvashatók.

Dan Walsh, a Red Hat alkalmazásában álló SELinux hacker blogjában egy, a SELinux sandbox-hoz készített új funkciót mutat be. A 'sandbox -X' lényegében kombinálja a sandbox-ot az "xguest"-tel és így lehetővé teszi sandbox létrehozását tetszőleges desktop alkalmazáshoz. A munka azután indult, hogy a fejlesztőt megkérdezték, lehetséges-e az acroread alkalmazást sandbox-ba tenni. A részletek itt.

Annak aki már ismeri:

Hitelesítési és találkozó lesz október első szerdáján este 17:30-20:00 között az alábbi címen. Minden hitelesítőt, és hitelesítendőt szeretettel várunk.

Annak aki még nem ismeri:

Idén is megrendezésre kerül a Hacktivity biztonsági konferencia. A "Kelet-Közép-Európa legnagyobb hackerkonferenciája"-ként beharangozott két napos rendezvény Budapesten zajlik majd 2009 szeptember 19-én és 20-án a Trefort Kertben lévő Gólyavár Rendezvényközpontban. A rendezvény programja letölthető innen. További részletek a rendezvény honlapján.

Egy svájci fejlesztő Megapanzer nevű weboldalán publikálta annak a programnak a forráskódját, amely képes az encrypted Skype beszélgetések megcsapolására. A kód trójai formájában juttatható az áldozat gépére.

Joey Hess öreg motoros Debian fejlesztő azt vette észre, hogy a Linux-alapú WebOS-t futtató Palm Pre periodikusan "haza telefonál" és ilyenkor érzékeny adatokat küld a gyártónak. Az adatok közt megtalálhatók csakúgy a telefon GPS koordinátái, mint a telepített alkalmazások listája. A fejlesztő a nem kívánt adatküldést a /etc/event.d/uploadd módosításával tudta letiltani, ami nyilvánvalóan nem opció a legtöbb Pre tulajdonos számára.

A Meterpreter (pdf) a Metasploit Framework egyik összetevője, egy fejlett payload, egy "memória-rezidens host exploitáló modul". Egyszerűen bővíthető a hozzá fejlesztett bővítményekkel. A Meterpreter egyik fő sajátossága, hogy mind maga, mind a hozzá írt kiterjesztések kizárólag a megtámadott host memóriájában hajtódnak végre, egyáltalán nem érintve a merevlemezt (kivéve, ha nincs más lehetőség), így a jelenléte rejtve maradhat a megszokott antivírus megoldások és lemez alapú analizáló, nyomkereső technikák előtt.

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a biztonsági szakértők és a biztonsággal foglalkozó közösség által elért eredményeket és kudarcokat "jutalmazzák". A Black Hat-ek Oscar-díjátadójának is nevezett "gála" ötlete Alex Sotirov és Dino Dai Zovi agyából pattant ki. Az első Pwnie-díjátadót 2007-ben tartották. Idén immár a harmadik díjkiosztóra került sor a Las Vegas-i Black Hat biztonsági konferencián. A győzeteseket a korábban bejelentett jelöltek közül választották ki.

Az évente megrendezésre kerülő, Black Hat névre hallgató biztonsági konferencia előestéjén a biztonsági ipar ismert szereplőinek privát adatait hozták nyilvánosságra ismeretlenek. A részletes adatokat a Zero for Owned (ZF0) elektronikus underground magazinban publikálták. A kiszivárogtatott adatok közt nagy mennyiségű e-mail, jelszó, chat log és egyéb privát információ található.

A Symbian Foundation a szoftvertesztelő és -aláíró folyamatának felülvizsgálatát tervezi azután, hogy tévedésből egy, a Symbian mobiltelefon operációs rendszert futtató telefonokhoz készült trójai programot látott el digitális aláírással. A Trend Micro elemzése szerint az aláírt trójai botnet képességekkel rendelkezik és emellett felhasználói adatokat lop.