#1841

Jól gondolom, hogy az Apple-féle Keychain Accessből semmilyen automatizált/számítógépes/kényelmes módon nem lehet kiimádkozni a benne tárolt jelszavakat és jegyzeteket? Ha igen, akkor tényleg marad az a megoldás, hogy az ember nekiáll átgépelni egyik gépből (Mac) a másikba (Win - PassWordsafe vagy Keepass) egyesével, “kézzel mint az állatok”?

Amennyiben igazam lenne, ráadásul mindennek az az oka, hogy nincs olyan szabvány, amit felhasználói jelszótároló alkalmazások használnának kommunikációra, akkor igen nagy balkán ez.

Részletek a bajor állami trójairól

Nem új hír, hogy a németek izomból dolgoznak azon, hogy ők legyenek Európa Amerikája, de a Wikileaksen kiszivárgott tavaly szeptemberi, a Skype beszélgetéseket lehallgató szoftverről szóló ismertető anyag meglepett. A gyengéden bundestrojanerként becézett szoftver ijesztően késznek tűnik a szöveg alapján, igaz a gépre juttatása még nem volt megoldva a dokumentum készítésének időpontjában. Ha nem csal az emlékezetem, azóta le is szavazták.

Biznisz egészen biztosan van a megfigyelésben, a Skype Capture Unit installálása 3500 euróba, az SSL forgalom lehallgatására szolgáló szoftveré pedig 2500 euróba kerül alkalmanként és havonta. Ehhez járulhat még a beszélgetéseket felvevő szerver és egyéb finomságok. A szoftver szeptemberben csak XP és Windows 2000 rendszerekre volt elérhető.

Az eredeti dokumentum erre található, az önkéntesek készítette angol fordítás pedig emerre. Slashdot thread pedig erre.

Névtelen adakozás 101

Egyszerű ez, senki ne mondja, hogy nem.

  • Háborodj fel a sajtófigyelmen, amit a brit adóhivatal huszonötmillió főt érintő adatvesztési botránya kap.
  • Kicsinyeld le a veszélyt.
  • Írd meg ezt egy országos napilapbanm megjelenő cikkbe, ami tartalmazza a számlaszámod és a pénzügyi jelzőszámod (sort code).
  • Csodálkozz, mikor eltűnik 500 font a számládról.

Az egyszerűség kedvéért nevezzük Clarkson-eljárásnak.

Linkek (12.29.)

Egy A BBC Radion 4 IPM műsorának legutolsó adásában (mp3) - kösz banyek - szó esik az internetes nyelvről, a szlengből a köznyelvbe beszivárgó kifejezésekről. Az apropó az, hogy a w00t-ot az év szavává választotta a Merriam-Webster szótár. Ami viszont ennél a régi hírnél izgalmasabb, hogy a világ boldogabb felén hogyan beszélnek a netes nyelv beszélt nyelvre való hatásáról: szó sincs romlásról meg káros hatásról, van helyette belenyugvás a világ rendjébe, illetve kiemelik, hogy a veszélyeztetett nyelvekért mennyit tehet az internet.

Másfél Nem veszélyeztetett nyelv a kecsua, tízmillió beszélője van a wikipédia szerint, ilyen számokkal meg csak a rinyás magyarok szoktak kihalástól félni. Ráadásul a neten vannak pofás kecsua nyelvleckék is. Az ilyenek mindig meghatnak.

Kettő Írja a hup, hogy tegnap volt tíz éves az GnuPG, ennek apropóján a projekt elindítója megemlékszik a kezdetekről egy levélben, ami már magában is érdekes és kordokumentum. Ami még ennél is sokkal jobb, hogy karácsonyra kijött a MacGPG Leopárd kompatibilis stabil verziója. Így már csak a Mail.app-hez való plugin béta állapotú, lassan attól sem kell félni, hogy összeszakad.

Három Elindult a CourtTV-n a Tiger Team biztonsági reality. Szakértők egy csoportja megbízásból drága pénzért biztosított épületekbe tör be, a kameraman meg kúszik utánuk. Némiképp szenzációhajhász, ráadásul a húsz perces epizódok rémesen rövidek, de egy-egy új hibalehetőségre minden részben fény derült eddig. Szórakoztatóbb, mint mély. Egynek jó.

Cafe Latte támadás

Ezt tényleg csak a neve miatt írom meg.

Aki 2007-ben még saját jószántából WEP-et - ‘olyan biztonságos, mintha drótos lenne’ - használ az megérdemli, aki meg erre “kényszeríti” a vendégeit/vásárlóit, az simán köztörvényes eset. Pont.

A mostani támadás a WEP már ismert hibáit hozza össze a Windows wireless stackjének ööö ismert hiányosságaival. A mostani támadásban annyi az újdonság, hogy a WEP kulcsot ki lehet nyerni egy, az AP-hez korábban csatlakozott kliensgépről is, nem kell a hotspot közelében lennünk.

Igazából a név miatt jár a pirospont. A hírért a kredit a DailyWirelesst illeti, akik arra is felhívták a figyelmet, hogy kezdődik a ToorCon, lesz miről beszélni.

Upd.

Olvasom közben Glenn Fleishmannél, hogy a BBC információi szerint BT bizony WEP-et használ a lakossági hotspotjainál. Nincs képem leírni, hogy ezek az emberek most még sebezhetőbbek lettek, mert a korábbi WEP törési eljárásoknál is elhangzott ugyanez. Csendesen hitetlenkedek inkább.

WP-Scanner

WordPress biztonság kategóriában érdes oldal lehet a WP-Scanner. Ismert biztonsági réseket és témahibákat keresve pásztázza át a blogunkat, ha a hozzá tartozó plugin aktiválásával erre engedélyt adtunk neki.

Nagy hibája, hogy a legújabb - 2.3-mas - WordPresst még nem ismeri, de a 2.2-eseken érdemes végigfuttatni. Reméljük hamarosan frissítik. Nekem amúgy egy XSS sebezhetőséget dobott ki, javítottam, boldog vagyok.

A paranoiások aktiválás előtt végigfuthatják a plugint. A kevéssé paranoiások elhihetik nekem, hogy csak egy <!— wpscanner —> taget illeszt a blogba.

“…nem a tiéd többé” - jelszótörés elméletben

Ótejóisten, ótejóisten, ha van hozzáférés a jelszavunk hashéhez, akkor vissza lehet fejteni. Vagy legalábbis ilyesmit írt ma reggel az index. (Percek alatt fejti meg jelszavainkat az új hackerszerszám)

A kulcs tehát az, hogy valamilyen szintű hozzáférés szükséges a feltörendő géphez - akár az, hogy fizikailag odaülünk elé, akár az, hogy egy jelszót már tudunk.

Itt azért felderengtek a számítógépes biztonság gyakran idézett szabályai. Kezdve azzal, hogy ha a rosszember korlátozatlan fizikai hozzáféréssel rendelkezik a gépedhez, akkor az nem is a te géped többé.

Eddig a füstölgés a szenzációhajhászáson. Van viszont még egy linkem a témában, az általam igen nagyra tartott Thomas Ptacek írta meg - pont a szivárványtáblákkal teli hírek miatt - az utóbbi idők legjobb cikkét a jelszótárolásról. Különböző gyorsaságú hashelő algoritmusok, saltok, védekezési ötletek. Érdemes elolvasni.

Mellékszál, a cikkben szereplő Ophcrack a szoftver honlapja szerint még nem boldogul az ő és ű betűket tartalmazó jelszavakkal. Azt hiszem, ez az első eset, amikor előnyünk származik ebből a két betűből.