Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc


DualEC a gyakorlatban

2014.03.31. 21:29 | buherator | 1 komment

Ahogy az várható volt, az RSA körüli "vihar" gyorsan elcsendesült. Az RSA Conference rendben lezajlott, a szakma láthatóan könnyen túllépett azon, ha a világ egyik legnagyobb biztonsági cége lefekszik az NSA-nek - egy kis ingyen pia kérdése volt az egész. Szerencsére azért nem…

Címkék: nsa kriptográfia backdoor rsa emc dual ec drbg dual ec

Cryptonite - RSA algoritmus: a jó paraméterek jellemzői

2014.02.14. 13:37 | buherator | 13 komment

A kriptográfiát fejlesztői, tesztelői, kódelemzői szemmel nézve fontos ismerni azokat az ökölszabályokat, amelyek alapján a függvényeket biztonságosan meg lehet hívni, a jó prímeket ki lehet választani. Pontosan ezen ökölszabályok kerülnek bemutatásra az RSA algoritmus esetén…

Címkék: esemény programozás kriptográfia rsa cryptonite

A bizalom ára: 10 millió dollár

2013.12.21. 15:25 | buherator | 7 komment

A Reuters Snowden dokumentumokra hivatkozva arról számolt be, hogy az NSA 10 millió dollárt fizetett a jelenleg az EMC részeként működő RSA Security társaságnak, hogy azok Bsafe nevű kriptográfiai könyvtárában a minden bizonnyal hátsó kaput tartalmazó Dual_EC_DRBG…

Címkék: kriptográfia backdoor rsa emc nist snowden dual ec drbg

Kulcsok lehallgatása

2013.12.18. 17:43 | buherator | 7 komment

A nap agyolvasztó kutatása: a GnuPG által használt RSA kulcsok megszerezhetők, ha a támadó meghallgatja (szó szerint: mikrofonnal) egy meghatározott kriptoszövegeket éppen fejtő gép hangját. A számítógépek feszültségszabályzójának elektronikus alkatrészei rezegnek, ami nem…

Címkék: kriptográfia gnupg side channel

Cryptonite

2013.11.10. 19:14 | buherator | Szólj hozzá!

Áron bácsi felvetésére belevágtunk egy új rendezvénysorozatba, melynek célja, hogy a snowden-i szivárogtatások fényében újra felmérjük, megismerjük a rendelkezésre álló kriptogtráfiai módszereket; számba vegyük a rendelkezésre álló eszközöket, szükség esetén…

Címkék: esemény nsa kriptográfia snowden cryptonite

MySecureZone

2013.11.07. 08:00 | buherator | 11 komment

Update: The english counterpart of this post by synapse can be found here. Az utóbbi napokban több ismerős is belefutott a MySecureZone nevű, katonai szintű e-mail titkosítást ígérő IndieGoGo kampányba, ami nem érdemelne külön posztot, ha nem honfitársaink (akik 10 másodperc alatt…

Címkék: égés kriptográfia mysecurezone

Nem véletlen!

2013.11.04. 23:37 | buherator | Szólj hozzá!

Első sorban kódelemzések alkalmával előforduló tipikus probléma, hogy különböző kriptográfiai funkciók - legyen szó akár egyszer használatos jelszavakról, munkamenet-azonosítókról vagy ne adj' isten kulcsgenerálásról - ellátására a programozók nem kriptográfiailag…

Címkék: programozás adobe kriptográfia breach prng csprng

Okos telefon - Buta kriptó

2013.10.18. 09:52 | buherator | 5 komment

A lehallgatási botrány árnyékában kisebb pánikot okozott, mikor kiderült, hogy az Android fejlesztőknek szánt API-ja a 2.3-as verziótól kezdve a hírhetden gyenge RC4-MD5 algoritmus-kombinációt részesíti előnyben SSL kapcsolatok kiépítésekor. Ez azt jelenti, hogy az API-t naívan…

Címkék: google apple java android kriptográfia icloud imessage hitb

NSA útközben

2013.09.14. 13:27 | buherator | 2 komment

A legújabb hírek az NSA-el kapcsolatban sajnos még mindig nagyon kevés konkrétumot tartalmaznak (ideje lenne, hogy valaki végre tényleg kiszivárogtassa a kiszivárgott dokumentumokat...), de talán egy lépéssel közelebb visznek a megfejtéshez NSA és a TLS viszonyában. A legutóbbi, a…

Címkék: ssl nsa kriptográfia tls

NSA a spájzban

2013.09.09. 23:27 | buherator | 2 komment

Az NSA-féle lehallgatási botrány még mindig pörög, a média (nagyon helyesen) nem hajlandó ejteni a témát, és Snowden anyagai még bőven tartogatnak izgalmakat az egyszeri nethasználó számára. A kiszivárgott dokumentumok azonban koránt sem tartalmaznak minden részletet az NSA vagy…

Címkék: privacy nsa kriptográfia prism snowden

A Google elismerte az Android CSPRNG hibáját

2013.08.15. 10:05 | buherator | Szólj hozzá!

A nagyjából 1 millió forintos BitCoin lenyúlást követően először ismerte el Google alkalmazott az Android kriptográfiailag biztonságos véletlengenerátorának (CSPRNG) hibáját. Alex Klyubin blogposztjában kifejti, hogy az Android SecureRandom implementációja ugyan a jó…

Címkék: google patch android kriptográfia bitcoin prng

Android PRNG hiba - BitCoin tárcák veszélyben!

2013.08.11. 20:58 | buherator | 6 komment

A BitCoin.com-on megjelent figyelmeztető szerint az Android biztonságos véletlengenerátorának hibája miatt elcsenhető a készülékeken generált címekről azok tartalma. A HackerNews kommentelői szerint - és ezt a BitCoin Talk fórumbejegyzései is alátámasztják - a problémát az…

Címkék: android kriptográfia bitcoin prng

Ezévi TLS támadás: BREACH

2013.08.01. 22:55 | buherator | 1 komment

Elkezdődött a BlackHat, és bár a politika idén talán kissé hangsúlyosabb a rendezvényen a szokásosnál, azért ebben az évben is megkapjuk a már jól megszokott TLS támadásunkat, melyet ezúttal BREACH névvel illetnek. A módszer lényegében a CRIME újragondolása, vagy talán azt…

Címkék: kriptográfia crime tls blackhat breach

Androkalipszis

2013.07.08. 14:56 | buherator | Szólj hozzá!

A napokban elég rendes sajtóvisszhangja volt a Bluebox bejelentésének, mely szerint egy 900 millió Android készüléket érintő sérülékenységet készülnek demózni a vegasi Black Hat konferencián. Az ilyen bejelentésekkel az a baj, hogy ugyan semmilyen konkrétumot nem tartalmaznak, de…

Címkék: android kriptográfia blackhat digitális aláírás bluebox apk 8219321

Decryptocat

2013.07.04. 13:21 | buherator | Szólj hozzá!

A PRISM botrány kapcsán ismét sorra születnek az átlagemberek számára elérhető titkosítási lehetőségeket bemutató cikkek és blogposztok, melyek szinte állandó szereplője a Cryptocat csevegőalkalmazás. Be kell vallanom, hogy az ilyen cikkekkel kapcsolatban erősek az…

Címkék: privacy kriptográfia fail cryptocat decryptocat

iCTF 2013 - Pesticides

2013.03.30. 13:36 | buherator | 5 komment

A CrySys labor idén is csapatot szervezett a 2013-as iCTF versenyre, ami a Santa Barbarai Egyetem éves Capture the Flag játéka. A kihívásból én is kivettem a részem, az alábbiakban a Pesticides pálya (vélt) megoldása következik (nem mindenre emlékszem 100%-ig az esetleges…

Címkék: kriptográfia ctf ictf pesticides

TLS helyzetjelentés

2013.03.28. 10:44 | buherator | 1 komment

Rég volt szó minden online tranzakciók védőszentjéről, a TLS-ről, pedig történt pár dolog az elmúlt hónapokban - ezer bocs, mostanában viszonylag kevés időm/energiám van kriptó pépöröket értelmezni. Mindenek előtt egy kis múltidézés: Kb. másfél éve jött ki Rizzo-Duong…

Címkék: ssl beast kriptográfia crime tls rc4 lucky 13

SHA-3

2012.10.03. 23:31 | buherator | Szólj hozzá!

Az amerikai National Institute of Standards and Technology hat év után kiválasztotta a legújabb hivatalos kriptográfiai üzenetpecsét-szabvány, az SHA-3 algoritmusát. Az új szabvány kiválasztására indított nyílt pályázatra összesen 64 beadvány érkezett, melyek közül az utolsó…

Címkék: kriptográfia sha3 nist keccak

Új jelszó hash-elő API a PHP-ban

2012.09.18. 11:45 | buherator | Szólj hozzá!

A jelszó hash-elés a kriptográfiának az a területe, amivel az átleg programozó a legtöbbször találkozik munkája során. Sajnos azonban a kriptográfia nem egyszerű tudomány, elég csak végignéznünk az elmúlt évek adatszivárgási botrányait, hogy lássuk: még mindig a sótlan MD5…

Címkék: php programozás kriptográfia

MS-CHAPv2: Mintha nem is lenne

2012.08.05. 14:11 | buherator | 5 komment

A BlackHat után lement a DefCon is, melynek egyik legnagyobb hatású előadását Moxie Marlinspike és és David Hulton tartották a PPTP VPN-ekhez és a vállalati szintű WPA2 infrastruktúrák kiépítéséhez előszeretettel használt MS-CHAPv2 protokoll gyengeségeiről. Az MS-CHAPv2…

Címkék: kriptográfia ms-chapv2 defconmoxie marlinspike david hulton

Brit anti-crypto törvény

2012.07.19. 16:00 | detritus | 1 komment

Megjelent egy érdekes írás Nick Falkvinge jóvoltából a brit törvénykezés egy figyelemre méltó szeletéről. A kifogásolt paragrafus lényege az, hogy ha van valamilyen titkosított adat, amit a hatóságok látni akarnak, akkor nem csak azért lehet börtönbe kerülni, ha az ember nem…

Címkék: jog privacy kriptográfia

Padding Oracle támadás hardver tokenekkel szemben

2012.06.30. 16:41 | buherator | 1 komment

Ha az "RSA" és a "feltörés" kifejezések egy mondatban szerepelnek, az általában masszív hírfolyamot generál, nem történt ez másként a Project-Team Prosecco legújabb, hardver tokeneket és biztonsági kártyákat vizsgáló kutatásának esetében sem. Az persze általában kimarad az…

Címkék: kriptográfia rsa emc securid

Microsoft aláírás a Flameren

2012.06.04. 10:45 | buherator | 11 komment

Hajnalban robbant a hír, hogy a sKyKWper/Flamer kártevő microsoftos aláírást használ egyes komponensei megbízhatóságának igazolásához. Az SRD posztja szerint minderre a Terminal Server Licencing Service gyengesége miatt volt lehetőség, ami gyenge kriptográfiai algoritmust (tipp:…

Címkék: microsoft kriptográfia pki stuxnet flamer

Battle.net érdekességek

2012.05.25. 11:00 | buherator | 3 komment

A Diablo III megjelenésével ismét csúcsra lettek járatva a Blizzard szerverei, melynek eredményeként néhány hibára is fény derült. Ehhez a képernyőképhez nincs sok mindent hozzáfűzni azon kívül, hogy remélhetőleg kamu: (via @lo0_ro) A másik érdekesség, hogy a Battle.net…

Címkék: blizzard kriptográfia battle.net autentikáció

Hackito Ergo Sum 2012 - Crypto Challenge #1

2012.04.09. 11:47 | buherator | 2 komment

Kepten megoldotta a Hackito Ergo Sum idei első kriptó feladványát, és arra is vette a fáradtságot, hogy készítsen belőle egy szép összefoglalót. Fogadjátok szeretettel! Ha kedvet kaptatok, már neki lehet esni a második szintnek is. Kellemes egghuntingot mindenkinek! :)

Címkék: kriptográfia az olvasó ír hackito ergo sum