Teme - varnost

  • Varnost povezav HTTPS

    Čeprav se varne spletne povezave HTTPS v današnjih časih že razmeroma široko uporabljajo, zagotavljanje ustrezne ravni varnosti HTTPS nikakor ni trivialno opravilo.

    Objavljeno: 27.5.2014 | Kategorija: Dosjeveč
  • Aretirali skoraj sto uporabnikov trojanskega konja in njegove pisce

    Policije v 16 državah so izvedle več kot 300 hišnih preiskav in aretirale 97 ljudi, ki so povezani s popularnim trojanskim konjem BlackShades RAT. Zasegli so tudi več domen, prek katerih so upravljali trojanskega konja, so sporočili iz Europola.

    Objavljeno: 20.5.2014 06:00več
  • V Linuxu našli pet let staro ranljivost

    Načeloma bi moral biti Linux varnejši od zaprtokodne programske opreme, ker lahko njegovo kodo pogleda vsakdo, zato bi morali ranljivosti odkriti zelo hitro. A kot se je že večkrat pokazalo, nazadnje pred dnevi, se v praksi tudi v njem zaredijo hrošči, ki lahko ostanejo neopaženi več let.

    Objavljeno: 13.5.2014 14:00več
  • NIST uradno odsvetoval zlomljeni algoritem Dual EC DRBG

    Septembra lani je na algoritem Dual EC DRBG za tvorjenje psevdonaključnih števil, ki se je obilno uporabljal v šifriranju, padla več kot senca dvoma. Sedaj tudi vrhovna avtoriteta ameriški NIST umaknil omenjeni algoritem s seznama priporočenih.

    Objavljeno: 23.4.2014 13:00več
  • Najstnik obtožen izkoriščanja varnostne pomanjkljivosti Heartbleed

    V Kanadi je policija aretirala 19 letnika, ki naj bi izkoristil varnostno luknjo Heartbleed za krajo podatkov o davčnih zavezancih. Mladenič naj bi kradel podatke iz spletne strani kanadskega davčnega urada, to naj bi bil eden izmed prvih prijavljenih napadov, ki je izkoristil Heartbleed. Do mladeniča so prišli štiri dni po napadu.

    Objavljeno: 17.4.2014 10:00več
  • O neoporečnosti TrueCrypta

    Sedaj so taki časi, da smo sumničavi in nezaupljivi do vsakega kosa kode, ki teče na naših računalnikih. Odprtokodni program TrueCrypt je namenjen šifriranju datotek, zato je izjemno pomembno, da nima lukenj in stranskih vrat. Sveža analiza je potrdila, da nima večjih ranljivosti.

    Objavljeno: 16.4.2014 16:00več
  • Tudi Android občutljiv na Heartblead

    Strokovnjaki opozarjajo, da bi lahko pomanjkljivost Heartblead, o kateri se v zadnjih dneh veliko piše, resno ogrozila varnost operacijskega sistema Android. V nevarnosti so naprave ki uporabljajo Android 4.1.1, saj bi lahko napadalec iz njihovega pomnilnika dobil gesla, vsebino osebnih sporočil in druge občutljive podatke. Ranljive bi lahko bile tudi nekatere različice Android 4.2.2, ki so jih prilagodili proizvajalci ali ponudniki mobilne telefonije. Ta hip se priporoča, da uporabniki preverijo ranljivost svojih telefonov z pomočjo aplikacije Heartbleed Detector, ki je na voljo v trgovini Google Play.

    Objavljeno: 15.4.2014 15:00več
  • Varnostna napaka Heartbleed je dobila »krivca«

    Dogajanja okoli napake v odprtokodni knjižnici OpenSSL, poimenovane Heartbleed, o kateri smo že poročali, nikakor ne pojenjajo. Podjetja kot po tekočem traku svoje uporabnike obveščajo, da naj za vsak primer zamenjajo gesla, saj obstaja možnost, da jim jih je nekdo v zadnjih dveh letih prestregel, pa tega niti ne vedo/vemo. Gre namreč za napako, ki je v »zaklenjeni« komunikaciji HTTPS (v brskalniku označeno s ključavnico)  omogočala pridobitev neposrednega dostopa do pomnilnika na strežniku, s tem pa dostop do šifirnega ključa za sejo oz. celo zasebnega ključa strežnika. Taka pridobitev seveda ni bila zabeležena v dnevniških zapisih strežnika. Mimogrede, kot je videti zaenkrat, slovenske banke nimajo omenjene napake, tudi zaradi tega, ker uporabljajo Microsoftov strežnik IIS, ki ne uporablja knjižnice OpenSSL. Uporabljata ga Apache in nginx.

    Objavljeno: 13.4.2014več
  • Šifriran telefon

    Špansko podjetje GeeksPhone in Silent Circle, podjetje, ki so ga ustanovili avtorji šifirnega programa PGP, za letošnji junij napovedujeta splavitev telefona Blackphone. Telefon je bil napovedan že na letošnjem kongresu MWC in naj bi omogočal bistveno večjo varnost komuniciranja kot jo omogočajo današnji telefoni.

    Objavljeno: 9.4.2014 08:00več
  • Tudi OpenSSL ni brez napak

    Raziskovalci Googla in varnostnega podjetja Codenomicon so v knjižnici OpenSSL odkrili napako, ki je bila neodkrita več kot dve leti in ki je nepooblaščenim osebam omogočala prisluškovanju prometu, ki naj bi bil sicer zaščiten. Ker se OpenSSL uporablja tudi v spletnih strežnikih Apache in Nginx, lahko rečemo, da je trenutno ranljivih več kot polovica spletnih strežnikov v svetu.

    Objavljeno: 8.4.2014 14:00več
ph