20 022
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga
/ContentUploads/A526/defcon_wallpaper.jpg

Ne bízz senkiben!

2014.08.17. 11.28
Ne bízz senkiben! – Ez a tanulsága a Defconon bemutatott törésnek, amellyel a jelenleg legbiztonságosabbként hirdetett Android operációs rendszer felett 5 perc alatt szereztek rendszergazdai jogosultságot.

A „Ne Bízz Senkiben” – angolul Trust No One, röviden TNO – egy a titkosításban használt megközelítés, ami azt mondja ki, hogy magadon kívül senkinek nem adhatod ki a titkosítási kulcsodat.


A Silent Circle cég nevét a biztonság iránt érdeklődő olvasók már bizonyára hallották. A cég akkor került be szélesebb körben a köztudatba, amikor a titkos NSA dokumentumokat kiszivárogtató Edward Snowdennel kapcsolatban kezdték emlegetni, mint titkosított levelezési szolgáltatást nyújtó vállalkozás.

A Silent Circle később a Geeksphone-nal együtt készítette el a Blackphone készüléket, amivel elsősorban a személyes adatok és a biztonság miatt aggódó felhasználókat célozták meg. A készüléken egy módosított Android verzió fut és beépítve tartalmaz pár a biztonságra fókuszáló alkalmazást, ami például titkosított hang és SMS továbbítását teszi lehetővé, amihez a szolgáltatási hátteret a Silent Circle biztosítja, illetve a spideroak klienst, ami egy titkosított felhőalapú tárhely kliens.

A fenti listából is látszik, hogy a Blackphone inkább a személyes adatok védelmét helyezi előtérbe titkosítást használó alkalmazások előtelepítésével és a hozzájuk szükséges szolgáltatások elérhetővé tételével.

Edward Snowden óta egyre nagyobb hangsúlyt kap az úgynevezett end-to-end titkosítások használata és terjednek az azokat a felhasználók számára egyszerű módon elérhetővé tevő alkalmazások is. Ebben talán az Open Whispersystems jár az élen. Az eddig csak Androidra elérhető RedPhone és TextSecure alkalmazásuk hamarosan elérhető lesz (Signal néven) Apple iOS platformra is. De end-to-end titkosítást használ a Silent Circle is mind a hang, mind a szöveges üzenetek átviteléhez. Elméletileg az end-to-end titkosítás tökéletes technikai és jogi védelmet ad a lehallgatások ellen – a szolgáltatást nyújtó cég sem képes technikailag az adatok továbbadására.

Azonban, ha a telefon maga nem elég biztonságos, az alkalmazások már nem sokat érnek, sérül a „Trust No One” elv, mivel egy rootolt telefonból már könnyen ki lehet olvasni a titkosításhoz használt kulcsokat, amivel a lehallgatás már lehetővé válik.

Sajnos egy @TeamAndIRC (Twitter) néven elérhető szakértőnek egy telefon Android operációs rendszerében lévő hibákat kihasználva sikerült 5 perc alatt rendszergazdai jogosultságot szereznie a készüléken úgy, hogy még a bootloadert sem kellett unlockolja.

Ugyan egyelőre van némi vita a gyártó és a hibát bejelentő szakértő között arról, hogy a hibák közül melyik tényleges biztonsági rés és melyik nem, a cég már ki is adott egy javítást az egyik hibára. A cég a hibát rendkívül gyorsan, egy nap alatt javította, majd a második napon ki is küldte a frissítést, hogy jelezzék, mennyire kiemelten kezelik a biztonságot, amivel egyszersmind akaratlanul is elismerték a hiba súlyosságát.

Sajnos azonban ez nem változtat a tényen, hogy a telefon sérülékeny volt és hogy egy ilyen sérülékenységet rosszindulatú támadók vagy mondjuk az NSA mire tud felhasználni.

A „Trust No One” nemcsak, mint biztonsági elv kell továbbéljen, de a technikai eszközökkel való személyes viszonyunkban is jó, ha napi gyakorlat marad. Használjuk ezeket az eszközöket és programokat, de legyünk tisztába vele, hogy a biztonság terén tényleg mindig a leggyengébb láncszem a meghatározó.

Backdoort rejtett a Google Playből letöltött Android app
A Google bemutatta az Android Gót
Elindult a Kaspersky Threat Intelligence Portal
SambaCry – Linuxra is jöhetnek a WannaCry‑szerű zsarolóvírusok
EternalRocks – A WannaCry elbújhat mellette
Videón a Tesla Model 3
Felkapott témák
SambaCry – Linuxra is jöhetnek a WannaCry-szerű zsarolóvírusok
Leállítják a OnePlus 3T gyártását
Teljesen fizetős lett az Apple Music
Backdoort rejtett a Google Playből letöltött Android app
AV-TEST: A Kaspersky a legjobb védelmi szoftver Windows 10-re
Windows 7-en a Microsoft vírusirtója nem véd a WannaCry ellen
Állásajánlatok
Marketing asszisztens 17000894
Programozó, fejlesztő
Villamosmérnök
Automotive Junior Operational Program Manager
Process Engineer/Folyamatmérnök
Senior PHP fejlesztő
GIDA Analyst – 17035737