16 914
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A526/defcon_wallpaper.jpg
Kattints ide  ➜

Ne bízz senkiben!

Tarjányi Tamás2014.08.17. 11.28
Ne bízz senkiben! – Ez a tanulsága a Defconon bemutatott törésnek, amellyel a jelenleg legbiztonságosabbként hirdetett Android operációs rendszer felett 5 perc alatt szereztek rendszergazdai jogosultságot.

A „Ne Bízz Senkiben” – angolul Trust No One, röviden TNO – egy a titkosításban használt megközelítés, ami azt mondja ki, hogy magadon kívül senkinek nem adhatod ki a titkosítási kulcsodat.


A Silent Circle cég nevét a biztonság iránt érdeklődő olvasók már bizonyára hallották. A cég akkor került be szélesebb körben a köztudatba, amikor a titkos NSA dokumentumokat kiszivárogtató Edward Snowdennel kapcsolatban kezdték emlegetni, mint titkosított levelezési szolgáltatást nyújtó vállalkozás.

A Silent Circle később a Geeksphone-nal együtt készítette el a Blackphone készüléket, amivel elsősorban a személyes adatok és a biztonság miatt aggódó felhasználókat célozták meg. A készüléken egy módosított Android verzió fut és beépítve tartalmaz pár a biztonságra fókuszáló alkalmazást, ami például titkosított hang és SMS továbbítását teszi lehetővé, amihez a szolgáltatási hátteret a Silent Circle biztosítja, illetve a spideroak klienst, ami egy titkosított felhőalapú tárhely kliens.

A fenti listából is látszik, hogy a Blackphone inkább a személyes adatok védelmét helyezi előtérbe titkosítást használó alkalmazások előtelepítésével és a hozzájuk szükséges szolgáltatások elérhetővé tételével.

Edward Snowden óta egyre nagyobb hangsúlyt kap az úgynevezett end-to-end titkosítások használata és terjednek az azokat a felhasználók számára egyszerű módon elérhetővé tevő alkalmazások is. Ebben talán az Open Whispersystems jár az élen. Az eddig csak Androidra elérhető RedPhone és TextSecure alkalmazásuk hamarosan elérhető lesz (Signal néven) Apple iOS platformra is. De end-to-end titkosítást használ a Silent Circle is mind a hang, mind a szöveges üzenetek átviteléhez. Elméletileg az end-to-end titkosítás tökéletes technikai és jogi védelmet ad a lehallgatások ellen – a szolgáltatást nyújtó cég sem képes technikailag az adatok továbbadására.

Azonban, ha a telefon maga nem elég biztonságos, az alkalmazások már nem sokat érnek, sérül a „Trust No One” elv, mivel egy rootolt telefonból már könnyen ki lehet olvasni a titkosításhoz használt kulcsokat, amivel a lehallgatás már lehetővé válik.

Sajnos egy @TeamAndIRC (Twitter) néven elérhető szakértőnek egy telefon Android operációs rendszerében lévő hibákat kihasználva sikerült 5 perc alatt rendszergazdai jogosultságot szereznie a készüléken úgy, hogy még a bootloadert sem kellett unlockolja.

Ugyan egyelőre van némi vita a gyártó és a hibát bejelentő szakértő között arról, hogy a hibák közül melyik tényleges biztonsági rés és melyik nem, a cég már ki is adott egy javítást az egyik hibára. A cég a hibát rendkívül gyorsan, egy nap alatt javította, majd a második napon ki is küldte a frissítést, hogy jelezzék, mennyire kiemelten kezelik a biztonságot, amivel egyszersmind akaratlanul is elismerték a hiba súlyosságát.

Sajnos azonban ez nem változtat a tényen, hogy a telefon sérülékeny volt és hogy egy ilyen sérülékenységet rosszindulatú támadók vagy mondjuk az NSA mire tud felhasználni.

A „Trust No One” nemcsak, mint biztonsági elv kell továbbéljen, de a technikai eszközökkel való személyes viszonyunkban is jó, ha napi gyakorlat marad. Használjuk ezeket az eszközöket és programokat, de legyünk tisztába vele, hogy a biztonság terén tényleg mindig a leggyengébb láncszem a meghatározó.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)