18 523
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A526/defcon_wallpaper.jpg
Kattints ide  ➜

Ne bízz senkiben!

Tarjányi Tamás2014.08.17. 11.28
Ne bízz senkiben! – Ez a tanulsága a Defconon bemutatott törésnek, amellyel a jelenleg legbiztonságosabbként hirdetett Android operációs rendszer felett 5 perc alatt szereztek rendszergazdai jogosultságot.

A „Ne Bízz Senkiben” – angolul Trust No One, röviden TNO – egy a titkosításban használt megközelítés, ami azt mondja ki, hogy magadon kívül senkinek nem adhatod ki a titkosítási kulcsodat.


A Silent Circle cég nevét a biztonság iránt érdeklődő olvasók már bizonyára hallották. A cég akkor került be szélesebb körben a köztudatba, amikor a titkos NSA dokumentumokat kiszivárogtató Edward Snowdennel kapcsolatban kezdték emlegetni, mint titkosított levelezési szolgáltatást nyújtó vállalkozás.

A Silent Circle később a Geeksphone-nal együtt készítette el a Blackphone készüléket, amivel elsősorban a személyes adatok és a biztonság miatt aggódó felhasználókat célozták meg. A készüléken egy módosított Android verzió fut és beépítve tartalmaz pár a biztonságra fókuszáló alkalmazást, ami például titkosított hang és SMS továbbítását teszi lehetővé, amihez a szolgáltatási hátteret a Silent Circle biztosítja, illetve a spideroak klienst, ami egy titkosított felhőalapú tárhely kliens.

A fenti listából is látszik, hogy a Blackphone inkább a személyes adatok védelmét helyezi előtérbe titkosítást használó alkalmazások előtelepítésével és a hozzájuk szükséges szolgáltatások elérhetővé tételével.

Edward Snowden óta egyre nagyobb hangsúlyt kap az úgynevezett end-to-end titkosítások használata és terjednek az azokat a felhasználók számára egyszerű módon elérhetővé tevő alkalmazások is. Ebben talán az Open Whispersystems jár az élen. Az eddig csak Androidra elérhető RedPhone és TextSecure alkalmazásuk hamarosan elérhető lesz (Signal néven) Apple iOS platformra is. De end-to-end titkosítást használ a Silent Circle is mind a hang, mind a szöveges üzenetek átviteléhez. Elméletileg az end-to-end titkosítás tökéletes technikai és jogi védelmet ad a lehallgatások ellen – a szolgáltatást nyújtó cég sem képes technikailag az adatok továbbadására.

Azonban, ha a telefon maga nem elég biztonságos, az alkalmazások már nem sokat érnek, sérül a „Trust No One” elv, mivel egy rootolt telefonból már könnyen ki lehet olvasni a titkosításhoz használt kulcsokat, amivel a lehallgatás már lehetővé válik.

Sajnos egy @TeamAndIRC (Twitter) néven elérhető szakértőnek egy telefon Android operációs rendszerében lévő hibákat kihasználva sikerült 5 perc alatt rendszergazdai jogosultságot szereznie a készüléken úgy, hogy még a bootloadert sem kellett unlockolja.

Ugyan egyelőre van némi vita a gyártó és a hibát bejelentő szakértő között arról, hogy a hibák közül melyik tényleges biztonsági rés és melyik nem, a cég már ki is adott egy javítást az egyik hibára. A cég a hibát rendkívül gyorsan, egy nap alatt javította, majd a második napon ki is küldte a frissítést, hogy jelezzék, mennyire kiemelten kezelik a biztonságot, amivel egyszersmind akaratlanul is elismerték a hiba súlyosságát.

Sajnos azonban ez nem változtat a tényen, hogy a telefon sérülékeny volt és hogy egy ilyen sérülékenységet rosszindulatú támadók vagy mondjuk az NSA mire tud felhasználni.

A „Trust No One” nemcsak, mint biztonsági elv kell továbbéljen, de a technikai eszközökkel való személyes viszonyunkban is jó, ha napi gyakorlat marad. Használjuk ezeket az eszközöket és programokat, de legyünk tisztába vele, hogy a biztonság terén tényleg mindig a leggyengébb láncszem a meghatározó.
Kattints ide  ➜

32 millió Twitter‑fiók jelszava szivároghatott ki
Az Apple lett az első – 0,3 százalékon a Windows Mobile
Lenovo Miix 510 tablet‑notebook hibrid teszt
Naponta 30 millió forintot is kereshetnek a kiberbűnözők a zsarolóvírusokkal
BRÉKING: Hivatalos videón az LG G6 kezelőfelülete
Az Androidéhoz hasonló navigációs sávval érkezhet az Apple iPhone 8
Felkapott témák
Brutálisan magas áron érkezhet a Samsung Galaxy S8
Trump egy Samsung Galaxy S3-mal veszélyezteti az egész világ biztonságát
Az Apple lett az első – 0,3 százalékon a Windows Mobile
Kiderült, hogy mi lesz az Android 8.0 neve
Már megint átszabják a Facebook appot
Jön a Xiaomi Mi MIX 2 - még vékonyabb kerettel
Állásajánlatok
Sales and Marketing Manager m/f
Teszt-szervizmérnök
Projektmenedzser villamosmérnök
System Support Specialist CPQ - VOC0002J6
IT Engineer
Process Manager- Telekom IT TSI SIS Budapest
Üzemmérnök a karosszériaüzem termékbevezetés területén