Bejelentkezés

Aktuális híreink:
  • Pause
  • Previous
  • Next
1/10
 

MELASZ - Magyar Elektronikus Aláírás Szövetség

Karinthy és Sony

E-mail Nyomtatás PDF

A Sony-ra rájár a rúd... Pár évvel ezelőtt a pingvines felhasználók nyertek csatát és ezáltal lehetőséget arra, hogy bármit tudjanak futtatni a Sony PlayStation 3 konzolokon. A 27. Chaos Communication Conference (27C3) rendezvényen (2010. december 29-én) a fail0verflow tagjai által tartott előadás megmutatta, hogy nemcsak jó kriptográfiai algoritmusok kellenek, hanem jól is kell tudni őket alkalmazni (és pl. nem illik a random értéket beégetni az ECDSA aláírások titkos paramétereinél, ahogy azt a Sony fejlesztői tették).

Azóta eltelt négy év és ismét céltáblává vált a vállalat, igaz, ezúttal a filmekért felelős Sony Pictures Entertainment részleg (amely többek közt a Columbia Pictures, TriStar Pictures és a Metro-Goldwyn-Mayer cégeket is magába olvasztotta korábban). Az észak-koreai diktátorról szóló film - The Interview - bemutatása (tervezett dátum: 2014. december 11.) elleni tiltakozásul 2014. november 24-e előtt valamikor, valakik betörtek a rendszerbe, és - mint utólag láttuk - gyakorlatilag minden mozdítható adatot letöltöttek. Ezekről sokfelé sokfélét lehetett már olvasni, a jelen cikk a Kaspersky Lab blogján megjelent érdekességet járja röviden körül.

A Kaspersky Lab egy olyan malware mintát kapott 2014. december 4-én, amely a Sony nevére kiállított, DigiCert CA (pl. a Windows operációs rendszerek által megbízható CA) alá tartozó code signer tanúsítvánnyal került aláírásra. Bár, állítólag a konkrét, elfogott minta csak egy kísérletező mérnök proof-of-concept terméke, a tény attól még tény: legalább egy code signer titkos kulcs kiszivárgott a támadás során, amelyet egészen a 2014. december 7-i visszavonásig mindenféle futtatható állomány, library aláírására akár illetéktelenek is tudtak használni. (Megjegyzés: Bár, a CSOnline cikke 2014. december 7-i dátumot tartalmazó CRL-ről rakott fel egy képet, a mai napon – 2014. december 21. – azt lehet látni, hogy mind a CRL-ben, mind az OCSP válaszban 2014. november 1-jét jelölik meg a visszavonás dátumaként. Mintha utólag bütyköltek volna a CA rendszeróráján...)

A kérdés az, hogy vajon tényleg felhasználták-e ezt a kulcsot a támadók? A Flame kapcsán 2012. június 4-én már láthattuk, hogy mire képes egy megbízható root CA alá tartozó code signer tanúsítvány: a célzott támadás során malware-ek kerültek fel Windows update formájában különböző gépekre, amelyek a kritikus infrastruktúra részét képezték. A Sony esetében nem annyira a Windows lehet érdekes, hanem a hatalmas mennyiségű erőforrással rendelkező konzolgépek: a Sony PlayStation 4. A sok GPU mag csábító lehet, amikor lenyomatok alapján jelszavakat kell törni, de ugyanígy hasznos lehet néhány Bitcoin legyártásánál is. A konzolokról még nem érkezett hír, de a PlayStation Network környékén már jelentkeztek problémák a CNET szerint...

Hogy mire derül még fény a kiszivárgott adatok révén a Sony vagy más magánéletéből, azt nem tudom, de az okot adó film a (kiber)terrorizmus elleni küzdelem és a véleménynyilvánítási szabadság jelképévé válhat. A Sony bástyája megrogyott ugyan, de helyét rengeteg újabb bástya veheti át ebben a küzdelemben, ha a BitTorrent hálózatra felkerül minden. Ezzel adva példát a gondolatnak: „Nem mondhatom el senkinek, Elmondom hát mindenkinek” /Karinthy Frigyes/

A teljes cikk letölthető innenhttp://melasz.hu/lang-hu/remository?func=startdown&id=179

Módosítás: ( 2014. december 23. kedd, 12:22 )
 

Kutatók Éjszakája - ahol a MELASZ is ott van

E-mail Nyomtatás PDF
Ismét megrendezik a Kutatók Éjszakáját, ahová az ISZE jóvoltából a MELASZ is meghívást kapott. Természetesen örömmel tettünk eleget a felkérésnek, hiszen bőségesen van olyan téma szerintünk, ami érdekes lehet ezen a késői órán is. 
Témakörnek azt választottuk, ami ma az elektronikus világ terjedésével és egyeduralmával alapkérdéssé vált: mi a hiteles az interneten és mi nem az? Vajon hogyan lehet megkülönböztetni ezeket egymástól és mi történik, ha erre nincs lehetőségünk?
Ebben a rövid prezentációban ezeket a kérdéseket járjuk körbe, gyakorlati példákkal és elméleti háttérrel egyaránt meghintve.
Nagyon köszönjük a lehetőséget és bízunk abban, hogy ismét sikerül olyan tudásmorzsákat elhinteni, amelyek közelebb visznek minket az elektronikusan hiteles világhoz.
Az eseményről bővebb információk itt olvashatók: http://www.kutatokejszakaja.hu/2014/esemenynaptar/esemeny.php?id=3808&menu_id=4
Módosítás: ( 2014. szeptember 11. csütörtök, 18:52 )
 

TSP SUMMIT 2014

E-mail Nyomtatás PDF
2014. január 16-án rendezték meg a 3. TSP SUMMIT eseményt a TÜV NORD irodájában, Berlinben, melyen a MELASZ is jelen volt. Az előadások zömének apropóját az átalakuló szabályozás jelentette (M460), de szó esett a CA/Browser Forum újdonságairól és a Microsoft Root CA Programjáról is.
Ismét bebizonyosodott, hogy a szakma pezseg, különböző ötletek valósulnak meg, illetve számos felmerülő problémára jön létre gyógyír. Örömmel hallgattuk a cégvezető szemén keresztül, hogy a litván hitelesítés-szolgáltatókat is utolérte az éves audit kötelezettsége, illetve hogy baszkföldön is sokan használják már a PKI-t a kormányzattal való kapcsolattartásra.
Az elektronikus aláírás, a PKI technológia terjedése felől tehát ismét megbizonyosodhattunk, európai és tengeren túli aspektusokból is.

Az előadások diái letölthetők innen: https://www.tuvit.de/en/company/1898.htm
Módosítás: ( 2014. április 22. kedd, 10:39 )
 

Trusted List

E-mail Nyomtatás PDF
Bizalmi lista - Európában és Magyarországon is

A határon átnyúló elektronikus aláírások elfogadásánál alapvető kérdés, hogy a tanúsítvány kibocsátója valóban jogosult-e a feltüntetett tulajdonságok jelzésére, vagy átverés áldozataivá akarnak éppen tenni benünket. Az utóbbi időben - ahogy az elektronikus tranzakciók értékei emelkedtek - megnövekedtek az elektronikus csalások is, ahogyan például többszázmillió dollárról szól ez a hír is a BitCoin Bank esetében.
A támadók előszerettel alkalmazzák a közbeékelődéses és az eltérítéses támadást is, aminek kockázata a biztonságos weboldalak tulajdonságainak alapos ellenőrzésével jelentősen csökkenthető. De honnan lehet tudni egy tanúsítvány kibocsátójáról - főleg ha nem is hazai kibocsátó - azt, hogy megbízhatunk-e benne?
Erre a problémára jött létre Európában a Bizalmi Lista. Ide csak olyan szolgáltatók kerülhetnek be, akik felügyelet alatt állnak, rendszeresen ellenőrzik a működésük megbízhatóságát és paramétereit. Ha ebben a listában szerepel egy szolgáltató, akkor benne az egész Európai Unió megbízik - mindaddig, amíg teljesíti a vele szemben támasztott szigorú követelményeket.
A bizalmi listáról és tulajdonságairól megjelent egy összefoglaló tanulmány a KGYHSZ honlapján a Polysys Kft. közreműködésével, akik maguk is szívügyüknek tekintik ezt a listát, nemcsak magyar hanem minden európai tagország vonatkozásában. 
A listában szereplő szolgáltatókat itt lehet megtekinteni, míg a tanulmány innen tölthető le.
Módosítás: ( 2014. március 23. vasárnap, 20:33 )
 
Oldal 2 / 3
Hungarian (formal)