Blog
2010.10.04.Videó: Bruce Schneier - Reconceptualizing Security (előadás a műegyetemen)2010.10.04. 20:10:59, Gulyás Gábor Bruce Schneier Reconceptualizing Security címmel tartott 2010. szeptember 17-én előadást az ATNC szeminárium sorozat keretein belül a Híradástechnikai tanszék szervezésében a műegyetemen. Köszönjük a CrySys labornak, hogy feltették a webre a videót (nagyobb felbontások)! Az előadásról még több információ érhető el itt. A bejegyzés címe: 2010.08.04.A Safari böngésző egy súlyos biztonsági hiányosságáról blogolt Jeremiah Grossman, a WhiteHat Security vezetője. A szakember azt állítja, hogy egy, az inkriminált böngészőt futtató felhasználó személyes adatait (pl. nevét, munkahelyét, e-mail címét) bizonyos körülmények közt akkor is meg tudja szerezni, ha ezen információkat a felhasználó sosem adta meg böngészés közben. A támadáshoz videós illusztráció is fellelhető. Forrás: Egy böngésző, ami önként kiadja adatainkat Címkék: biztonság , webes privátszféra A bejegyzés címe: 2010.04.05.Ha egy TrueCrypt virtuális meghajtó tartalmához hozzá akarunk férni, szükségünk van a rejtjelezési kulcsra. A kulcs megadása után azonban az információ védtelen: az operációs rendszer kérésre kiszolgáltatja az addig rejtjelezetten tárolt kulcsot. Mit csináljunk azonban akkor, ha egy irodában dolgozunk a virtuális meghajtón tárolt adatokon, és szeretnénk kimenni meginni egy kávét – mindezt anélkül, hogy kíváncsi munkatársaink beletúrhatnának a privát szféránkba? Forrás: Break TrueCrypt hard drive encryption quickly Címkék: biztonság , kriptográfia A bejegyzés címe: 2010.01.20.Megvannak az IT Security Coding Contest 2009 hivatalos eredményei. A verseny győztesei, vagyis akik elvitték az „egymisit”, a key_cega csapat tagjai, ők a megszerezhető 300 pontból 271-et gyűjtöttek. A spectralgliders és a mrhankey csapatok szerezték meg a második és a harmadik helyet 229 és 224 ponttal, ők személyenként egy-egy 30 napos próbaidős időszakot nyertek a kancellar.hu-nál. Gratulálunk a szép eredményekhez! Forrás: IT Security Coding Contest 2009 Címkék: biztonság , esemény , megfigyelés A bejegyzés címe: 2009.12.30.Az utóbbi napokban ahogy külföldi portálokon, úgy a hazai sajtóban is felröppent a hír, hogy a berlini Chaos Communication Congress elnevezésű konferencián egy fiatal kutató, Karsten Nohl bejelentette: feltörték a GSM titkosítását. (A kísérlet indításáról korábban írtunk is.) A kutató célja az volt, hogy a GSM már régóta instabil lábakon álló biztonságára rámutasson, hogy már nem csak elméleti úton, hanem gyakorilatilag is igazolt a rendszer biztonságosságának a hiánya. Forrás: NY Times Címkék: biztonság , gsm , videó A bejegyzés címe: 2009.10.25.Szerdán jelent meg a TrueCrypt rejtjelezőszoftver 6.3-as verziója. A "hajtás után" röviden beszámolunk az utolsó néhány változat fontosabb fejlesztési irányairól. Forrás: TrueCrypt - Free Open-Source Disk Encryption - Documentation - Version History Címkék: biztonság , kriptográfia A bejegyzés címe: 2009.08.30.Biztonságot, védelmet igénylő adatainkat általában jelszóval védjük le, elkerülve az illetéktelen hozzáféréseket. Milyen tendenciák szerint alakul a felhasználók jelszóválasztása, milyen jelszavakat érdemes választani? Erre mutatunk rá, és keresünk választ a következő rövid cikkben. Címkék: ajánló , biztonság , jelszó , web A bejegyzés címe: 2009.08.25.Képzeljük el, hogy minden alkalommal, amikor elküldünk egy levelet, a postás készít róla egy másolatot. Vagy amikor fényképeket hivatunk elő, a laborban megtartanak belőle egy példányt. Ez nem az 1950-es évek Oroszországa, hanem így működik ma az internet. Minden elküldött emailt több helyen megőriznek, a küldő számítógépén, a címzettén és az internet-szolgáltatók gépein, akik továbbítják az üzenetet a virtuális térben. Bizonyos adatokat egyenesen kötelező megőriznie a szolgáltatónak. Forrás: http://technology.timesonline.co.uk/tol/news/tech_and_web/article6796485.ece Címkék: adatvédelem , biztonság , e-mail , fejlesztés , isp , nagy testvér , pet A bejegyzés címe: 2009.04.03.Egy, a köztudatban élő, mégis figyelmen kívül hagyott eleme a szoftvereknek az őket gyártó cégek privacy policy-je (magyar nevén adatvédelmi nyilatkozat), melyben egyre inkább uniform, és - jegyezzük meg - nyugtalanító pontokkal találkozhatunk. Jelen áttekintés apropója a Microsoft Silverlight és az Adobe Flash összehasonlítása volt (bár a két termékre nem vonatkozik külön, speciális policy), melynek során igyekszem ugyanúgy rámutatni a széles körben alkalmazott adatrögzítéseken túl a kisebb, tovább merészkedő cég-specifikus törekvésekre is. Címkék: adatbiztonság , anonimitás , biztonság , összeköthetetlenség , personal data , pet , privacy , profilozás A bejegyzés címe: 2009.02.21.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat hatodik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/blog/2009_02_07_Alkalmazott_kriptografia_8211_TrueCrypt/ A TrueCrypt (TC) működését taglaló írásomat a benne használt algoritmusok, valamint az újabb verziókhoz adott szolgáltatások ismertetésével folytatom. (Az előző blogbejegyzésemhez születtek olyan kommentárok, melyek a felhasznált kriptográfiai algoritmusok jellegének fontosságát firtatták – ezért határoztam úgy, hogy ezekről is hosszabban szólok.) Igen gyakran, és egyáltalán nem légbőlkapottan elhangzó állítás, hogy az Egyesült Államokban kifejlesztett kriptográfiai algoritmusokhoz kötelezően tartozik egy "tolvajkulcs", mert így könnyebb azokat legálisan "kivinni" az országból. Éppen ezért van a TC-ben három "kriptográfiai építőkocka" implementálva: az AES-256, a Serpent és a Twofish. Címkék: biztonság , kriptográfia A bejegyzés címe: 2009.02.07.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat ötödik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/blog/2008_07_21_Aszimmetrikus_kriptografia/ Az eddigiekben a kriptográfiában használt algoritmusokról írtam, de kevés szó esett arról, hogy a gyakorlatban hogy néz ki a kényes természetű adatok védelme. A TrueCrypt nevű, népszerű rejtjelezőprogram bemutatásával szeretném ezt a hiányt pótolni. Címkék: adatbiztonság , biztonság , kriptográfia A bejegyzés címe: 2009.01.27.A WiFi hálózatok biztonsági problémái orvosi lónak számítanak a szakmában - jelen bejegyzésben nem is biztonsági aspektusból szeretném tárgyalni a kérdéskört. Bizonyára vannak a témában inkább naprakész információkkal rendelkező olvasóink, ráadásul a Hacktivity 2008 óta még inkább láthatjuk, hogy nem csak az algoritmus megválasztásán múlik egy hálózat (vagyis itt épp egy számítógép) feltörése. Ebben a bejegyzésben inkább egy érdekességre szeretném felhívni a figyelmet, amely kapcsolatban áll a privátszféra védelmével. Címkék: biztonság , jelszó , wifi A bejegyzés címe: 2009.01.20.Egy amerikai kutatóközpont több fontos amerikai székhelyű közszereplővel és fejlesztővállalattal karöltve közzétett egy tanulmányt, amely a 25 legveszélyesebb és leggyakoribb programozási hibát ismerteti (IT café cikk). Ez önmagában nem lenne számunkra érdekes, azonban mégis fontos problémakörről van szó, hiszen ha épp nem trükkös levelekkel veszik rá a felhasználót, hogy programokat telepítsen a gépére, akkor valószínűleg ilyen programhibákat használnak fel ugyanerre a célra. Ez viszont máris közvetlen veszélyt jelent a számítógépen tárolt adatokra. Ajánljuk olvasóink figyelmébe ezt a 11-es listát, mely cáfolja az efféle hiba-toplisták készítésének hasznosságát. Sőt, néhány olyan okot is felfedezhetünk ezen pontok között, amelyek egyébként is felelősek az efféle típushibákért. Forrás: Schneier on Security: Top Eleven Reasons Why Lists of Top Ten Bugs Don´t Work Címkék: biztonság , personal data A bejegyzés címe: 2008.09.26.Épül a Precrime, adta hírül szerdán az IT café. A rendszer az USA-ban épül, s a célja az lesz, hogy repülőtereken, határállomásokon kiszűrje az ideges, titkolódzó, vagy más hasonlóan gyanús állapotot produkáló embereket. Akik például lehetnek terroristák is akár. (Vagy csak poggyászukat vesztett utasok. Vagy csak a laptopjukat elhagyó üzletemberek. Estébé.) Forrás: IT café A bejegyzés címe: 2008.08.29.Szeptember 20-án és 21-én ötödször rendezik meg a Fonó Budai Zeneházban a Hacktivity-t, a „felhasználóbarát számítógépes biztonsági konferenciát”, a hacker-ek, a biztonsági szakemberek, az alternatív informatikai mozgalmak hívei, az informatikus profik és amatőrök szakmai fórumát.Idén külön szekció foglalkozik a privacy védelmével és a Privátszférát Erősítő Technológiákkal. A szekció programját a PET Portál és Blog szerkesztői állítják össze, Gulyás Gábor György vezetésével. A szeptember 21-i napon délelőtt és délután is zajló szekcióban lesz előadás a privátszféra védelméről a jövo mobilinternet-architektúrájában, a feltörhetetlennek állított kvantumkriptográfiáról, a privacy-barát RFID megoldásokról, a szteganográfiáról és néhány anonimizáló protokoll működés közbeni bemutatására is sor kerül. A szekcióban sort kerítünk a PET Portál bemutatására is, de bemutatjuk a „Szabad adatok, védett adatok 2” című könyvet is, amely addigra megjelenik és – az első kötethez hasonlóan – színvonalas tanulmányokat közöl a személyes adatok védelmének technológiája tárgykörében is. A nap végén kerekasztal-beszélgetés zárja a szekció programját. Az előadók és előadásaik listáját a program véglegessé válásakor a PET Portálon is közzétesszük. További információ a konferenciáról: www.hacktivity.hu Címkék: biztonság , esemény , hacktivity , pet portal , privacy A bejegyzés címe: 2008.07.21.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat negyedik darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat előző darabja itt olvasható: http://pet-portal.eu/?page=blog&topic=pet&func=read&id=72 Az eddigiekben szimmetrikus kriptográfiáról volt szó, pár példával – ma is használt rendszerek vázlatos ismertetésével – fűszerezve. Emlékezzünk: a szimmetrikus kriptográfiában a nyílt szöveget titkos szöveggé transzformáló kulcs azonos a fordított irányú transzformációt elvégzővel. Az aszimmetrikus (vagy más néven nyilvános kulcsú ) kriptográfiában más a helyzet. Forrás: http://en.wikipedia.org/wiki/Public-key_cryptography Címkék: biztonság , kriptográfia A bejegyzés címe: 2008.07.13.Régóta léteznek olyan technológiák, amelyek elrejtik a felhasználók IP címét, és emellett a forgalomanalízis védelmét is megvalósítják, nehogy a rejtést végző hálózat forgalmát vizsgálva azonosítható legyen a felhasználóé. Így kiderül, hogy melyik felhasználó melyik szolgáltatóval kommunikál - az IP cím rejtése máris hiábavaló volt. Ugyanarról a védelmi mechanizmusról, pontosabban annak hiányáról van szó, amikor a TLS csatornák forgalomanalízis védelméről beszélünk: ebben az esetben a forgalmunk rejtett, de forgalom típusa megjósolható, ahogy arra rá mutatott az IT Café cikke. Ez a TLS egyik fő hiányossága, amelyre a mai napig nem létezik egységesen elfogadott megoldási javaslat. A TLS csatornákat nem csak önmagukban szokták alkalmazni (például webes kiszolgálók elérésére), hanem anonimizáló szolgáltatások esetén a felhasználó és a szolgáltatás közötti szakasz védelmét is ezzel oldják meg, ahol általában még indokoltabb lenne a a forgalomanalízis védelem. Ezzel azonban számos probléma van, néhány ízelítőnek:
A TLS védelmének továbbfejlesztése mellett egy másik lehetőség az anonim VPN-ek használata, amely általánosabb a TLS megoldásánál, azonban költségesebb is egyben (erről még írunk). Forrás: IT Café Címkék: biztonság , forgalomelemzés , megfigyelés A bejegyzés címe: 2008.05.20.Korábban is már tettünk említést az olyan egyszeri elemek alkalmazásának veszélyeiről, amelyek meghibásodásukkal egy egész hálózat leállását vonhatják maguk után (SPF, Singe Point of Failure). Az ilyen elemeken minden forgalom áthalad általában (feltéve, hogy például nem a tápellátásról van szó, vagy emberi erőforrásokról; bár ez utóbbinál ez a kifejezés nem használatos), és így könnyebbé válhat az adott információ megfigyelése. Címkék: biztonság , gsm , kriptográfia , megfigyelés , spf A bejegyzés címe: 2008.04.23.Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat második darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. A sorozat első darabja itt olvasható: http://pet-portal.eu/blog/2008_04_08_Kriptografia_hol_segit_a_privatszfera_vedelmeben_a_titkositas/ Az előző részben adott, általánosabb jellegű bevezetés után picit közelebbről is megnézzük a kriptográfiai algoritmusokat. Csak a teljesség kedvéért: az algoritmus valamely feladat elvégzésére hivatott lépések véges sorozata (pl. a szakácskönyvek receptjei algoritmusoknak tekinthetőek). A kriptográfiai algoritmus tehát olyan módszer, mely rejtjelezéssel kapcsolatos feladatot hivatott megoldani (azért nem pusztán azt írtam, hogy „olyan módszer, mely rejtjelez”, mert így a definíció nem vonatkozna a hash függvényekre – róluk majd egy későbbi blogbejegyzésben írok). Forrás: Introduction to cryptography, Part 2: Symmetric cryptography Címkék: biztonság , kriptográfia A bejegyzés címe: 2008.04.08.Kriptográfia - hol segít a privátszféra védelmében a titkosítás?2008.04.08. 19:08:17, Földes Ádám Máté Ez a bejegyzés egy hosszabbra tervezett, kriptográfiai témájú sorozat első darabja. A bejegyzésekben nem bocsátkozom komoly elméleti fejtegetésekbe – csak a privátszféra védelme iránt érdeklődő laikus vagy szakmabeli számára potenciálisan érdekes dolgokat szeretném kifejteni. Mi is egyáltalán a kriptográfia? Röviden és velősen megfogalmazva az információ elrejtésének, titkosításának, rejtjelezésének tudománya. (Egyes „iskolák” ide sorolják a kriptanalízist is, mely diszciplína a titkosított formában létező információ olvashatóvá tételével, visszafejtésével foglalkozik.) A kriptográfia alkalmazásának lényege, hogy a titkosított információ, kerüljön bár illetéktelen kezekbe, használhatatlan legyen mindenki számára, aki nem ismeri a visszafejtéshez szükséges paramétereket – ez utóbbiakról egy későbbi bejegyzésben lesz szó. Nem nehéz felismerni, hogy a titkosítás a privátszféra védelmének egyes területein alappillérnek számít – hiszen mi lenne az átlagember számára a kriptográfia alkalmazásának motivációja, ha nem az, hogy mások elől elrejtsen bizonyos érzékeny természetű információkat? Ebben a blogbejegyzésben a titkosítás egyes PET-es alkalmazásairól lesz szó. A későbbi részekben pedig igyekszem a lehető legkevesebb matematikai „töltelékkel” bemutatni az ezekben a megvalósításokban használt algoritmusokat, módszereket. Forrás: Cryptography Címkék: anonimitás , biztonság , forgalomelemzés , kriptográfia A bejegyzés címe: 2008.02.26.Az Indexen egy nem régiben megjelent cikkben olvashatunk arról, hogy milyen sérülékeny az internet struktúrája; bizonyítást nyert, hogy léteznek olyan csomópontok, melyek kiesésével komoly méretű zónák, területek szenvednek hátrányt. Erre emlegeti példaként Pakisztán, illetve a Földközi-tenger eseteit a cikk. Fontos, hogy ez ne csupán arra hívja fel a figyelmünk, hogy ezek a hibatűrés szempontjából stratégiailag is fontos csomópontok lehetnek, hanem hogy lássuk, hogy az internet forgalmának jelentős hányada ezeken a pontokon halad át, jóformán teljes egészében titkosítás, illetve egyéb védelem nélkül. Attól függetlenül, hogy ezen pontok földrajzilag hol helyezkednek el (hiszen megtörténhet a tengeren túl, vagy akár itt Magyarországon is), egészséges nézőpontnak tűnik annak a figyelembe vétele, hogy ezen pontoknál az áthaladó forgalomnak lehallgatása, módosítása egyszerűen megoldható. Akár az is lehetséges, hogy a kapcsolatokba láthatatlan módon valaki közbeékelődjön, és a felek tudta nélkül megszemélyesítsen más feleket. A lehetőségek száma innentől kezdve korlátlan, és csak a fantáziánkon múlik a többi. Az internetes PET technológiák fő motivációja az ilyen nézőpontú felhasználók igényeinek kiszolgálása, akár böngészésről, levelezésről vagy más internetes szolgáltatások igénybevételéről van szó. Forrás: Index Címkék: biztonság , megfigyelés , tartalomszűrés A bejegyzés címe: A Wired egy nemrégiben publikált cikkében amellett szóló érveket olvashatunk, hogy a magánszféra védelme nem a biztonság antitézise. Sőt: a legtöbb magánszférát sértő biztonsági megoldás és intézkedés csak látszatbiztonságot eredményez, a cikk szerzőjének megfogalmazásában csak „biztonságszínházról” van szó, amely politikai szempontból indokolhatja a megfigyeléseket, valójában azonban – a politikai célokon túli – célok elérésére alkalmatlanok. Forrás: Wired Címkék: biztonság , megfigyelés A bejegyzés címe:
|
BejelentkezésRegisztrációs panelHozzászólásokCímkékArchívumPartnereink
Ajánló
|
RSS 2.0 
Új bejegyzés beküldése 
Tovább a hozzászólásokhoz (0 hozzászólás)