Összesen 29 találat.
A Flash kiegészítő halálát már évek óta mondogatják (talán azt remélik, hogy így legalább önbeteljesítő lesz a jóslatuk), de még mindig számos helyen találkozhatunk vele. Azonban tényleg több sebből is vérzik a kiegészítő, szinte minden platformra van hozzá sérülékenység, ami miatt be lehet hatolni a rendszerünkbe, és ezt a különböző csoportok ki is használják, ahogy például a Hacker Team is tette. (Ne felejtsük el, hogy a Flash a háttérbe, láthatatlanul is futhat.)
Erre nyújt megoldást a Flash-control, ami letiltja a Flash elemeket, és csak akkor aktiválja őket, ha rájuk kattintunk, így több fronton is nyerünk:
Elérhető Chrome és Firefox böngészőhöz is.
Manapság sokan használják a böngészőjüket jegyzetfüzetnek. Megnyitnak sok sok lapot, majd bezárás nélkül továbblépnek, nyitnak egy új lapot, hogy madj az előbbire visszatérnek. A sok megnyitott lapra nem figyelünk folyamatosan, mondva, hogy ha lesz rá idő, akkor megcsinálom.
Ezt használja ki a tabnabbing adathalász módszer. Figyeli a megnyitott lapokat, és érzékeli, hogy éppen melyiket nézzük. Érzékeli, ha egy lap kikerül a focus-ból, és ekkor jön a támadás. Amíg nem figyelünk oda, egy javascript segítségével betölt egy másik, számunkra ismerős weblapot, például a gmail-t. Természetesen nem a www.gmai.com-ot, hanem egy ehhez hasonló kinlzetű oldalt, ami kéri tőlünk a bejelentkezéshez szükséges adatainkat.
A sok megnyitott lapot lehetetlen nyomonkövetni. Nem látunk mást belőlük, csak a címsorba írt pár szót, de sok esetben ezt sem, csupán a favicont. Amikor a felhasználó visszanavigál erre az oldalra, akkor abban a hitben van, hogy a gmail oldalára tér vissza, hiszen látta a favicont, a megszokott kis piros fehét borítékot. Ekkor látja, hogy ki van jelentkezve. Azt hiheti, hogy véletlen valamikor kijelentezett, pedig ekkor is be van jelentkezve. Szépen megadja az adatait, és rákattint a bejelentkezésre. Ekkor jön az igazi erőssége a módszernek. Mivel nem is voltunk kijelentkezve, a weblap egyszerüen elküldi a megadott felhasználónév jelszó adatainkat az adathalásznak, majd átirányít a gmail-re, ahol megjelennek a leveleink.
Lényegében észrevétlenül lopták el az adatokat, mintha semmi nem is történt volna.
Nem először merült fel az ötlet, már a Vanish esetén is láthattunk hasonló szolgáltatást, amelynél a levelek idővel megsemmisültek. A OneShar.es üzenetei nem időhöz, hanem olvasottsághoz kötöttek: első olvasás után törlődnek a kiszolgálóról. A szolgáltatás továbbá azzal reklámozza magát, hogy a levél tartalma titkosított, mivel beírás után már így kapja meg a böngészőnktől, s így még ő maga sem tudja azt elolvasni. Bár erről bővebb részleteket az oldal sajnos nem közöl, de sejthető, hogy az üzenet terjesztésére használt linkben található meg az olvasáshoz szükséges kulcs. A levél kiküldése egyébként roppant egyszerű: létrehozunk egy új üzenetet, beírjuk az mondanivalónkat, és kapunk ehhez egy egyszer használható linket, amit akár emailben is elküldhetünk.
Mivel egyszerhasználatos linkekről (üzenetekről) van szó, legalább kiderül, hogy olvassák-e mások titokban a levelezésünket. :-)
Számos rendszert használunk a mindennapi teendőink, munkáink során, és ezek közül a legtöbbnél jelszóval kell védenünk a fiókunk hozzáférését. Jelszót pedig sokféleképpen választhatunk, és – az eddigi tapasztalatok szerint – a legtöbbször a könnyű megjegyezhetőség vezérel ebben minket. Vagy ugyanazt a jelszót használjuk mindenhol és mindig, vagy egy személyes információból próbálunk jelszót csiszolni (például a kutyánk nevéből). Azonban egyik sem célravezető.
A Microsoft nemrég piacra dobott egy 128 bites AES rejtjelezést használó billentyűzetet. Remélhetőleg a hír hallatán a legtöbb Olvasó fejében az „És akkor?” helyett a „Mi tartott ilyen sokáig?” kérdés fogant meg. A hajtás után a vezeték nélküli billentyűzetekkel kapcsolatos biztonsági problémákról lesz szó.
A Firesheep nevű Firefox-kiegészítő nagy vihart kavart a megjelenésekor: ez a szoftver volt az első olyan eszköz, amely bárki számára egyetlen klikkeléssel elérhetővé tette a nem különösképpen bonyolult, de mégis több program ismeretét és együttes használatát igénylő sütilopási művelet megvalósítását. Ismeretes, hogy a Firesheep a rejtjelezetlenül átküldött ún. viszonysütiket (session cookie) hallgatja le, míg a gyanútlan felhasználó bejelentkezve böngészik a program által ismert weboldalakon. A viszonysütik visszajátszása révén megszemélyesíthetjük a felhasználó profilját például a Facebookon, ugyanis a sütiben lévő azonosítón kívül nincs más mód a felhasználó identifikálására.
A secure computing lényege, hogy egy megbízhatatlan feldolgozó egységen hogyan lehet bizalmas adatokon transzformációkat (számításokat) elvégezni. Megbízhatatlanság alatt most azt értjük, hogy a feldolgozó egység mindig helyes eredményt ad, de a számítás teljes folyamata megismerhető egy támadó számára. Vegyünk egy példát: a manapság egyre elterjedtebb cloud computinggal egy bank szeretné ügyfelei adatait feldolgoztatni, akkor – első közelítéseben – a banknak ki kellene adnia az adatokat a cloud szolgáltatónak, hogy az a gépparkján elvégezhesse a szükséges számításokat. Ezt jellemzően a törvény tiltja, másrészt a bankok általában nem szívesen tesznek ilyet.
Bruce Schneier Reconceptualizing Security címmel tartott 2010. szeptember 17-én előadást az ATNC szeminárium sorozat keretein belül a Híradástechnikai tanszék szervezésében a műegyetemen. Köszönjük a CrySys labornak, hogy feltették a webre a videót (nagyobb felbontások)!
Az előadásról még több információ érhető el itt.
A Safari böngésző egy súlyos biztonsági hiányosságáról blogolt Jeremiah Grossman, a WhiteHat Security vezetője. A szakember azt állítja, hogy egy, az inkriminált böngészőt futtató felhasználó személyes adatait (pl. nevét, munkahelyét, e-mail címét) bizonyos körülmények közt akkor is meg tudja szerezni, ha ezen információkat a felhasználó sosem adta meg böngészés közben. A támadáshoz videós illusztráció is fellelhető.
Ha egy TrueCrypt virtuális meghajtó tartalmához hozzá akarunk férni, szükségünk van a rejtjelezési kulcsra. A kulcs megadása után azonban az információ védtelen: az operációs rendszer kérésre kiszolgáltatja az addig rejtjelezetten tárolt kulcsot. Mit csináljunk azonban akkor, ha egy irodában dolgozunk a virtuális meghajtón tárolt adatokon, és szeretnénk kimenni meginni egy kávét – mindezt anélkül, hogy kíváncsi munkatársaink beletúrhatnának a privát szféránkba?
Megvannak az IT Security Coding Contest 2009 hivatalos eredményei. A verseny győztesei, vagyis akik elvitték az „egymisit”, a key_cega csapat tagjai, ők a megszerezhető 300 pontból 271-et gyűjtöttek. A spectralgliders és a mrhankey csapatok szerezték meg a második és a harmadik helyet 229 és 224 ponttal, ők személyenként egy-egy 30 napos próbaidős időszakot nyertek a kancellar.hu-nál. Gratulálunk a szép eredményekhez!
Az utóbbi napokban ahogy külföldi portálokon, úgy a hazai sajtóban is felröppent a hír, hogy a berlini Chaos Communication Congress elnevezésű konferencián egy fiatal kutató, Karsten Nohl bejelentette: feltörték a GSM titkosítását. (A kísérlet indításáról korábban írtunk is.) A kutató célja az volt, hogy a GSM már régóta instabil lábakon álló biztonságára rámutasson, hogy már nem csak elméleti úton, hanem gyakorilatilag is igazolt a rendszer biztonságosságának a hiánya.
Szerdán jelent meg a TrueCrypt rejtjelezőszoftver 6.3-as verziója. A "hajtás után" röviden beszámolunk az utolsó néhány változat fontosabb fejlesztési irányairól.
Biztonságot, védelmet igénylő adatainkat általában jelszóval védjük le, elkerülve az illetéktelen hozzáféréseket. Milyen tendenciák szerint alakul a felhasználók jelszóválasztása, milyen jelszavakat érdemes választani? Erre mutatunk rá, és keresünk választ a következő rövid cikkben.
Képzeljük el, hogy minden alkalommal, amikor elküldünk egy levelet, a postás készít róla egy másolatot. Vagy amikor fényképeket hivatunk elő, a laborban megtartanak belőle egy példányt. Ez nem az 1950-es évek Oroszországa, hanem így működik ma az internet. Minden elküldött emailt több helyen megőriznek, a küldő számítógépén, a címzettén és az internet-szolgáltatók gépein, akik továbbítják az üzenetet a virtuális térben. Bizonyos adatokat egyenesen kötelező megőriznie a szolgáltatónak.
Egy, a köztudatban élő, mégis figyelmen kívül hagyott eleme a szoftvereknek az őket gyártó cégek privacy policy-je (magyar nevén adatvédelmi nyilatkozat), melyben egyre inkább uniform, és - jegyezzük meg - nyugtalanító pontokkal találkozhatunk. Jelen áttekintés apropója a Microsoft Silverlight és az Adobe Flash összehasonlítása volt (bár a két termékre nem vonatkozik külön, speciális policy), melynek során igyekszem ugyanúgy rámutatni a széles körben alkalmazott adatrögzítéseken túl a kisebb, tovább merészkedő cég-specifikus törekvésekre is.
Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat hatodik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu//blog/read/137/2009-02-07-Alkalmazott-kriptografia-8211-TrueCrypt.php/
A TrueCrypt (TC) működését taglaló írásomat a benne használt algoritmusok, valamint az újabb verziókhoz adott szolgáltatások ismertetésével folytatom. (Az előző blogbejegyzésemhez születtek olyan kommentárok, melyek a felhasznált kriptográfiai algoritmusok jellegének fontosságát firtatták – ezért határoztam úgy, hogy ezekről is hosszabban szólok.)
Igen gyakran, és egyáltalán nem légbőlkapottan elhangzó állítás, hogy az Egyesült Államokban kifejlesztett kriptográfiai algoritmusokhoz kötelezően tartozik egy "tolvajkulcs", mert így könnyebb azokat legálisan "kivinni" az országból. Éppen ezért van a TC-ben három "kriptográfiai építőkocka" implementálva: az AES-256, a Serpent és a Twofish.
Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat ötödik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu//blog/read/84/2008-07-21-Aszimmetrikus-kriptografia.php/
Az eddigiekben a kriptográfiában használt algoritmusokról írtam, de kevés szó esett arról, hogy a gyakorlatban hogy néz ki a kényes természetű adatok védelme. A TrueCrypt nevű, népszerű rejtjelezőprogram bemutatásával szeretném ezt a hiányt pótolni.
A WiFi hálózatok biztonsági problémái orvosi lónak számítanak a szakmában - jelen bejegyzésben nem is biztonsági aspektusból szeretném tárgyalni a kérdéskört. Bizonyára vannak a témában inkább naprakész információkkal rendelkező olvasóink, ráadásul a Hacktivity 2008 óta még inkább láthatjuk, hogy nem csak az algoritmus megválasztásán múlik egy hálózat (vagyis itt épp egy számítógép) feltörése. Ebben a bejegyzésben inkább egy érdekességre szeretném felhívni a figyelmet, amely kapcsolatban áll a privátszféra védelmével.
Egy amerikai kutatóközpont több fontos amerikai székhelyű közszereplővel és fejlesztővállalattal karöltve közzétett egy tanulmányt, amely a 25 legveszélyesebb és leggyakoribb programozási hibát ismerteti (IT café cikk). Ez önmagában nem lenne számunkra érdekes, azonban mégis fontos problémakörről van szó, hiszen ha épp nem trükkös levelekkel veszik rá a felhasználót, hogy programokat telepítsen a gépére, akkor valószínűleg ilyen programhibákat használnak fel ugyanerre a célra. Ez viszont máris közvetlen veszélyt jelent a számítógépen tárolt adatokra. Ajánljuk olvasóink figyelmébe ezt a 11-es listát, mely cáfolja az efféle hiba-toplisták készítésének hasznosságát. Sőt, néhány olyan okot is felfedezhetünk ezen pontok között, amelyek egyébként is felelősek az efféle típushibákért.
Épül a Precrime, adta hírül szerdán az IT café. A rendszer az USA-ban épül, s a célja az lesz, hogy repülőtereken, határállomásokon kiszűrje az ideges, titkolódzó, vagy más hasonlóan gyanús állapotot produkáló embereket. Akik például lehetnek terroristák is akár. (Vagy csak poggyászukat vesztett utasok. Vagy csak a laptopjukat elhagyó üzletemberek. Estébé.)
Szeptember 20-án és 21-én ötödször rendezik meg a Fonó Budai Zeneházban a Hacktivity-t, a „felhasználóbarát számítógépes biztonsági konferenciát”, a hacker-ek, a biztonsági szakemberek, az alternatív informatikai mozgalmak hívei, az informatikus profik és amatőrök szakmai fórumát.
Idén külön szekció foglalkozik a privacy védelmével és a Privátszférát Erősítő Technológiákkal. A szekció programját a PET Portál és Blog szerkesztői állítják össze, Gulyás Gábor György vezetésével.
A szeptember 21-i napon délelőtt és délután is zajló szekcióban lesz előadás a privátszféra védelméről a jövo mobilinternet-architektúrájában, a feltörhetetlennek állított kvantumkriptográfiáról, a privacy-barát RFID megoldásokról, a szteganográfiáról és néhány anonimizáló protokoll működés közbeni bemutatására is sor kerül.
A szekcióban sort kerítünk a PET Portál bemutatására is, de bemutatjuk a „Szabad adatok, védett adatok 2” című könyvet is, amely addigra megjelenik és – az első kötethez hasonlóan – színvonalas tanulmányokat közöl a személyes adatok védelmének technológiája tárgykörében is. A nap végén kerekasztal-beszélgetés zárja a szekció programját.
Az előadók és előadásaik listáját a program véglegessé válásakor a PET Portálon is közzétesszük.
További információ a konferenciáról: www.hacktivity.hu
Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat negyedik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/blog/read/72/2008-05-26-Az-egyszeri-kitoltes-algoritmusa-es-az-etkezo-kriptografusok-protokollja.php
Az eddigiekben szimmetrikus kriptográfiáról volt szó, pár példával – ma is használt rendszerek vázlatos ismertetésével – fűszerezve. Emlékezzünk: a szimmetrikus kriptográfiában a nyílt szöveget titkos szöveggé transzformáló kulcs azonos a fordított irányú transzformációt elvégzővel. Az aszimmetrikus (vagy más néven nyilvános kulcsú ) kriptográfiában más a helyzet.
Régóta léteznek olyan technológiák, amelyek elrejtik a felhasználók IP címét, és emellett a forgalomanalízis védelmét is megvalósítják, nehogy a rejtést végző hálózat forgalmát vizsgálva azonosítható legyen a felhasználóé. Így kiderül, hogy melyik felhasználó melyik szolgáltatóval kommunikál - az IP cím rejtése máris hiábavaló volt.
Ugyanarról a védelmi mechanizmusról, pontosabban annak hiányáról van szó, amikor a TLS csatornák forgalomanalízis védelméről beszélünk: ebben az esetben a forgalmunk rejtett, de forgalom típusa megjósolható, ahogy arra rá mutatott az IT Café cikke. Ez a TLS egyik fő hiányossága, amelyre a mai napig nem létezik egységesen elfogadott megoldási javaslat.
A TLS csatornákat nem csak önmagukban szokták alkalmazni (például webes kiszolgálók elérésére), hanem anonimizáló szolgáltatások esetén a felhasználó és a szolgáltatás közötti szakasz védelmét is ezzel oldják meg, ahol általában még indokoltabb lenne a a forgalomanalízis védelem. Ezzel azonban számos probléma van, néhány ízelítőnek:
A TLS védelmének továbbfejlesztése mellett egy másik lehetőség az anonim VPN-ek használata, amely általánosabb a TLS megoldásánál, azonban költségesebb is egyben (erről még írunk).
Korábban is már tettünk említést az olyan egyszeri elemek alkalmazásának veszélyeiről, amelyek meghibásodásukkal egy egész hálózat leállását vonhatják maguk után (SPF, Singe Point of Failure). Az ilyen elemeken minden forgalom áthalad általában (feltéve, hogy például nem a tápellátásról van szó, vagy emberi erőforrásokról; bár ez utóbbinál ez a kifejezés nem használatos), és így könnyebbé válhat az adott információ megfigyelése.
Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat második darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat első darabja itt olvasható:
Az előző részben adott, általánosabb jellegű bevezetés után picit közelebbről is megnézzük a kriptográfiai algoritmusokat. Csak a teljesség kedvéért: az algoritmus valamely feladat elvégzésére hivatott lépések véges sorozata (pl. a szakácskönyvek receptjei algoritmusoknak tekinthetőek). A kriptográfiai algoritmus tehát olyan módszer, mely rejtjelezéssel kapcsolatos feladatot hivatott megoldani (azért nem pusztán azt írtam, hogy „olyan módszer, mely rejtjelez”, mert így a definíció nem vonatkozna a hash függvényekre – róluk majd egy későbbi blogbejegyzésben írok).
Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat első darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni.
Mi is egyáltalán a kriptográfia? Röviden és velősen megfogalmazva az információ elrejtésének, titkosításának, rejtjelezésének tudománya. (Egyes „iskolák” ide sorolják a kriptanalízist is, mely diszciplína a titkosított formában létező információ olvashatóvá tételével, visszafejtésével foglalkozik.) A kriptográfia alkalmazásának lényege, hogy a titkosított információ, kerüljön bár illetéktelen kezekbe, használhatatlan legyen mindenki számára, aki nem ismeri a visszafejtéshez szükséges paramétereket – ez utóbbiakról egy későbbi bejegyzésben lesz szó. Nem nehéz felismerni, hogy a titkosítás a privátszféra védelmének egyes területein alappillérnek számít – hiszen mi lenne az átlagember számára a kriptográfia alkalmazásának motivációja, ha nem az, hogy mások elől elrejtsen bizonyos érzékeny természetű információkat? Ebben a blogbejegyzésben a titkosítás egyes PET-es alkalmazásairól lesz szó. A későbbi részekben pedig igyekszem a lehető legkevesebb matematikai „töltelékkel” bemutatni az ezekben a megvalósításokban használt algoritmusokat, módszereket.
Az Indexen egy nem régiben megjelent cikkben olvashatunk arról, hogy milyen sérülékeny az internet struktúrája; bizonyítást nyert, hogy léteznek olyan csomópontok, melyek kiesésével komoly méretű zónák, területek szenvednek hátrányt. Erre emlegeti példaként Pakisztán, illetve a Földközi-tenger eseteit a cikk.
Fontos, hogy ez ne csupán arra hívja fel a figyelmünk, hogy ezek a hibatűrés szempontjából stratégiailag is fontos csomópontok lehetnek, hanem hogy lássuk, hogy az internet forgalmának jelentős hányada ezeken a pontokon halad át, jóformán teljes egészében titkosítás, illetve egyéb védelem nélkül.
Attól függetlenül, hogy ezen pontok földrajzilag hol helyezkednek el (hiszen megtörténhet a tengeren túl, vagy akár itt Magyarországon is), egészséges nézőpontnak tűnik annak a figyelembe vétele, hogy ezen pontoknál az áthaladó forgalomnak lehallgatása, módosítása egyszerűen megoldható. Akár az is lehetséges, hogy a kapcsolatokba láthatatlan módon valaki közbeékelődjön, és a felek tudta nélkül megszemélyesítsen más feleket. A lehetőségek száma innentől kezdve korlátlan, és csak a fantáziánkon múlik a többi.
Az internetes PET technológiák fő motivációja az ilyen nézőpontú felhasználók igényeinek kiszolgálása, akár böngészésről, levelezésről vagy más internetes szolgáltatások igénybevételéről van szó.
A Wired egy nemrégiben publikált cikkében amellett szóló érveket olvashatunk, hogy a magánszféra védelme nem a biztonság antitézise. Sőt: a legtöbb magánszférát sértő biztonsági megoldás és intézkedés csak látszatbiztonságot eredményez, a cikk szerzőjének megfogalmazásában csak „biztonságszínházról” van szó, amely politikai szempontból indokolhatja a megfigyeléseket, valójában azonban – a politikai célokon túli – célok elérésére alkalmatlanok.