Teme - varnost

  • Najstnik obtožen izkoriščanja varnostne pomanjkljivosti Heartbleed

    V Kanadi je policija aretirala 19 letnika, ki naj bi izkoristil varnostno luknjo Heartbleed za krajo podatkov o davčnih zavezancih. Mladenič naj bi kradel podatke iz spletne strani kanadskega davčnega urada, to naj bi bil eden izmed prvih prijavljenih napadov, ki je izkoristil Heartbleed. Do mladeniča so prišli štiri dni po napadu.

    Objavljeno: 17.4.2014 10:00več
  • O neoporečnosti TrueCrypta

    Sedaj so taki časi, da smo sumničavi in nezaupljivi do vsakega kosa kode, ki teče na naših računalnikih. Odprtokodni program TrueCrypt je namenjen šifriranju datotek, zato je izjemno pomembno, da nima lukenj in stranskih vrat. Sveža analiza je potrdila, da nima večjih ranljivosti.

    Objavljeno: 16.4.2014 16:00več
  • Tudi Android občutljiv na Heartblead

    Strokovnjaki opozarjajo, da bi lahko pomanjkljivost Heartblead, o kateri se v zadnjih dneh veliko piše, resno ogrozila varnost operacijskega sistema Android. V nevarnosti so naprave ki uporabljajo Android 4.1.1, saj bi lahko napadalec iz njihovega pomnilnika dobil gesla, vsebino osebnih sporočil in druge občutljive podatke. Ranljive bi lahko bile tudi nekatere različice Android 4.2.2, ki so jih prilagodili proizvajalci ali ponudniki mobilne telefonije. Ta hip se priporoča, da uporabniki preverijo ranljivost svojih telefonov z pomočjo aplikacije Heartbleed Detector, ki je na voljo v trgovini Google Play.

    Objavljeno: 15.4.2014 15:00več
  • Varnostna napaka Heartbleed je dobila »krivca«

    Dogajanja okoli napake v odprtokodni knjižnici OpenSSL, poimenovane Heartbleed, o kateri smo že poročali, nikakor ne pojenjajo. Podjetja kot po tekočem traku svoje uporabnike obveščajo, da naj za vsak primer zamenjajo gesla, saj obstaja možnost, da jim jih je nekdo v zadnjih dveh letih prestregel, pa tega niti ne vedo/vemo. Gre namreč za napako, ki je v »zaklenjeni« komunikaciji HTTPS (v brskalniku označeno s ključavnico)  omogočala pridobitev neposrednega dostopa do pomnilnika na strežniku, s tem pa dostop do šifirnega ključa za sejo oz. celo zasebnega ključa strežnika. Taka pridobitev seveda ni bila zabeležena v dnevniških zapisih strežnika. Mimogrede, kot je videti zaenkrat, slovenske banke nimajo omenjene napake, tudi zaradi tega, ker uporabljajo Microsoftov strežnik IIS, ki ne uporablja knjižnice OpenSSL. Uporabljata ga Apache in nginx.

    Objavljeno: 13.4.2014več
  • Šifriran telefon

    Špansko podjetje GeeksPhone in Silent Circle, podjetje, ki so ga ustanovili avtorji šifirnega programa PGP, za letošnji junij napovedujeta splavitev telefona Blackphone. Telefon je bil napovedan že na letošnjem kongresu MWC in naj bi omogočal bistveno večjo varnost komuniciranja kot jo omogočajo današnji telefoni.

    Objavljeno: 9.4.2014 08:00več
  • Tudi OpenSSL ni brez napak

    Raziskovalci Googla in varnostnega podjetja Codenomicon so v knjižnici OpenSSL odkrili napako, ki je bila neodkrita več kot dve leti in ki je nepooblaščenim osebam omogočala prisluškovanju prometu, ki naj bi bil sicer zaščiten. Ker se OpenSSL uporablja tudi v spletnih strežnikih Apache in Nginx, lahko rečemo, da je trenutno ranljivih več kot polovica spletnih strežnikov v svetu.

    Objavljeno: 8.4.2014 14:00več
  • NSA sledi sistemcem

    Če ste sistemski administrator, imamo za vas slabe novice. NSA že nekaj časa ugotavlja, da so sistemski administratorji idealna vstopna točka v omrežja, ki jih želijo napasti. Ker imajo v rokah vsa gesla in privilegije, se je NSA lotila zasledovanja teh nič krivih strokovnjakov.

    Objavljeno: 22.3.2014 01:00več
  • Na letošnjem tekmovanju razbiti vsi brskalniki, največkrat Firefox

    V Vancouvru se je končala vsakoletna konferenca CanSecWest, ki obsega tudi tekmovalni del Pwn2Own. Na njem se najboljši hekerji sveta merijo v razbijanju programske opreme. Letošnji rekordni nagradni sklad in rekordna bera izrabljenih ranljivosti sta poskrbela za visok izplen.

    Objavljeno: 17.3.2014 06:00več
  • Britanci prisluškujejo prometu po podvodnih kablih

    Velika večina telekomunikacijskega prometa med kontinenti poteka po podmorskih kablih, ki so položeni med vsemi celinami (razen Antarktike) in večjimi otoki. Daleč od oči sumničave javnosti so izvrstna tarča za prisluškovanje obveščevalnih agencij.

    Objavljeno: 13.3.2014 06:00več
  • Stavek goto povzročil ranljivost v SSL/TLS

    V zadnjih tednih so odkrili dve ranljivosti pri implementaciji protokolov SSL/TLS, ki sta si presenetljivo podobni. Apple je svoja operacijska sistema iOS in Mac OS X zakrpal kmalu po odkritju, potem pa so dobra dve tedna pozneje sorodno ranljivost našli še v odprtokodni knjižnici GnuTLS, ki je tudi že zakrpana v verziji 3.2.12.

    Objavljeno: 10.3.2014 06:00več
ph