Slo-Tech - Apple je mesec dni po izidu zadnje verzije iOS-a 9.3.4 objavil novo verzijo 9.3.5, ki odpravlja tri varnostne pomanjkljivosti, ki jih je programska oprema Pegasus izraelskega podjetja NSO Group uporabljala za vohunjenje za podatki uporabnikov iPhone. Programska oprema, ki so jo uporabljali zlasti organi pregona in obveščevalne službe več držav, je pritajeno prestrezala sporočila, klice, imenik, zvok mikrofona, GPS-lokacijo, podatke aplikacij WhatsApp, iMessages itn.
Pegasus je z izkoriščanjem treh ranljivosti, ki Applu do 10. avgusta niso bile znane (zero-day), uspel odkleniti (jailbreak) telefon že z obiskom ene same spletne povezave, kar je zadoščalo za popoln nadzor nad napravo. NSO Group se je v preteklosti že pohvalil, da njihova programska oprema deluje kot duh brez sledu, ki je uporabniki nikakor ne morejo zaznati. A doslej nismo vedeli, kako in kje vohunijo.
Pegasus je dobil ime zaradi več tako poimenovanih referenc v kodi, ki so jih našli preiskovalci. Klobčič se je začel razpletati šele 10. avgusta letos, ko je znani arabski borec za človekove pravice Ahmed Mansoor začel prejemati čudna sporočila na svoj telefon. Obrnil se je na Citizen Lab, ki je v sodelovanju z Lookoutom odkril izjemno sofisticiran kos programske opreme, ki vohuni po iPhonu. Pegasus komunicira z več strežniki, ki so v lasti NSO Group; od tod tudi povezava. Poleg Mansoora je seveda tarč še več, vsem pa je skupno, da so pomembne tarče. Takšni so še na primer mehiški novinar Rafael Cabrera, ki je pisal o korupciji v Mehiki, in številni oporečniki v Jemnu, Turčiji, Mozambiku, Keniji in Združenih arabskih emiratih.
Hec je, da za tovrstne napade ni nujno vektor SMS ali kakšen drug kanal sporočanja, kjer prejmeš link. Lahko bi uporabili tudi MITM za kake brezvezne strani, ki niso šifrirane in jih obiščeš, glede na to, da so bile stranke vladni organi in agencije, pa tudi kake CDN-je ipd.
Hec je, da za tovrstne napade ni nujno vektor SMS ali kakšen drug kanal sporočanja, kjer prejmeš link. Lahko bi uporabili tudi MITM za kake brezvezne strani, ki niso šifrirane in jih obiščeš, glede na to, da so bile stranke vladni organi in agencije, pa tudi kake CDN-je ipd.
Ja, pri nas bi že zadoščal obisk siol.net verjetno.
Vektor napada je lahko tudi samo brskalnik (kot že omenjeno), ker je prva ranljivost v nizu prikazovalni pogon WebKit in se tehnično zanimivo prične dogajati prav tam. Gre pa za verižno izrabo kar treh ranljivosti, še dveh v jedru (prva v pogonu omogoča izvajanje poljubne kode, druga kukanje pomnilnika dodeljenega jedru, tretja pa izvajanje kode s pravicami/na nivoju jedra). Končni učinek je oddaljena namestitev (sicer ne popolnoma pasivna) z vmesnim jailbreakom.
Žal so tudi drugi brskalniki (npr. Chrome) ranljivi, ker uporabljajo prej omenjeni pogon.
Hec je, da za tovrstne napade ni nujno vektor SMS ali kakšen drug kanal sporočanja, kjer prejmeš link. Lahko bi uporabili tudi MITM za kake brezvezne strani, ki niso šifrirane in jih obiščeš, glede na to, da so bile stranke vladni organi in agencije, pa tudi kake CDN-je ipd.
Ja, pri nas bi že zadoščal obisk siol.net verjetno.
Tako hudo štalo se da zakuhati, če se motivirani hekerji z žegnom države spravijo na nek OS. A si lahko predstavljamo kako hudo in prikrito štalo je mogoče zakuhati, če je njen arhitekt kar sama firma, ki razvija določen OS in kar sama pove, da bo vdirala v zasebnost uporabnikov? V mislih nimam appla.
Snowden je rekel - infrastruktura za diktaturo je že postavljena, samo še na oblast pride nekdo, ki si bo rekel - why not in obrnil ključ. Tega ne razumejo raznorazni "nimam ničesar za skrivat" ljudje.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.
Tako hudo štalo se da zakuhati, če se motivirani hekerji z žegnom države spravijo na nek OS. A si lahko predstavljamo kako hudo in prikrito štalo je mogoče zakuhati, če je njen arhitekt kar sama firma, ki razvija določen OS in kar sama pove, da bo vdirala v zasebnost uporabnikov? V mislih nimam appla.
Snowden je rekel - infrastruktura za diktaturo je že postavljena, samo še na oblast pride nekdo, ki si bo rekel - why not in obrnil ključ. Tega ne razumejo raznorazni "nimam ničesar za skrivat" ljudje.
Bolj kot možnost za vzpostavitev diktature je v tipičnih zahodnih družbah to problem razrednega boja in neenakih možnosti pri njem, ker imaš preveč nasprotnih si interesov blizu infrastrukture.
Skrivati je pa še vseeno potrebno, se strinjam (a predvsem zaradi enakih možnosti).
Tako hudo štalo se da zakuhati, če se motivirani hekerji z žegnom države spravijo na nek OS. A si lahko predstavljamo kako hudo in prikrito štalo je mogoče zakuhati, če je njen arhitekt kar sama firma, ki razvija določen OS in kar sama pove, da bo vdirala v zasebnost uporabnikov? V mislih nimam appla.
Hec je, da za tovrstne napade ni nujno vektor SMS ali kakšen drug kanal sporočanja, kjer prejmeš link. Lahko bi uporabili tudi MITM za kake brezvezne strani, ki niso šifrirane in jih obiščeš, glede na to, da so bile stranke vladni organi in agencije, pa tudi kake CDN-je ipd.
Ja, pri nas bi že zadoščal obisk siol.net verjetno.
Malo razloži, na kaj namiguješ.
Glede na to, da gre za portal v državni lasti, bi ga kake državne službe zlahka ponucale za kaj takega. Pa še precej obupani so za denar, sodeč po reklamah za razne čudežne kreme, ki jih furajo.
Če bi Policija to želela, bi najprej potrebovala zakonsko osnovo. In precej dodatnih sredstev (nakup sistema, usposabljanja, vzdrževanjd ...). Pa še izvedeli bi (sicer brez teh. podrobnosti), da to imajo po ZDIJZ. Ker ne gre za njihovo infrastrukturo, bi vsaj iz metrik lahko kak sistem'c portala kaj pogruntal in to javno objavil ali delil s prijatelji, če ne bi še kaj več pridobil.
Policija tudi nič ne plača za "usluge" po ZKP-ju, kvečjemu kakšen strošek, ki bi nastal, povrne.
S Sovo je drugače, vendar bi, ugibam, raje pri ponudniku ali na infrastrukturi med njimk, do katere ima dostop, izvajala MTIM.
Bolj je problem, da to lahko počne n lobij, ki ima lastniški nadzor nad medijem. Petanovi, Janševi mediji in mediji takih tičev so lahko resen problem. Ker imajo tibdenar in medij ni prevelik z razpršenim lastništvom, da ga lastnik ne bi uspel obvladovati v zadostni meri.
Ko se že omenja Siol - sam verjamem da pridno sodelujejo s Sovo, zakaj bi drugače na njihovih email naslovih bila omejitev dolžine gesla na 8 znakov.
Pa še z črko se mora začet Samo, da prideš do panela, kjer lahko zamenjaš geslo pa rabiš profil na moj telekom, kamor vpišeš kodo, ki se nahaja na računu, nato ti pošlejo še eno kodo na mail, ter eno po pošti domov, nato ko obe vpišeš pa dobiš še enkrat kodo na mail...
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Če bi Policija to želela, bi najprej potrebovala zakonsko osnovo.
Ja, slovenska policija slovi po spoštovanju zakonov. Sploh na področju nadzora in pravic. "do podatkov smo prišli vedno in tudi prišli bomo"... kdo je že to rekel?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Ko se že omenja Siol - sam verjamem da pridno sodelujejo s Sovo, zakaj bi drugače na njihovih email naslovih bila omejitev dolžine gesla na 8 znakov.
Veliko bolj je kriva nesposobnost. Ne nazadnje, kakšne zanimive informacije pa bi vlekli iz takega portala? Ljudje si ustvarijo profile za komentiranje, ne pa za komuniciranje znotraj nekih zaprtih krogov. Diskreditacije ipd. pisunske podvige pa premeteni drugače zavarujejo. Hribovske nestrpnosti pa še policija ne preganja, kaj šele, da bi se z njo ukvarjali obveščevalci. Domišljija2.
Če bi Policija to želela, bi najprej potrebovala zakonsko osnovo.
Ja, slovenska policija slovi po spoštovanju zakonov. Sploh na področju nadzora in pravic. "do podatkov smo prišli vedno in tudi prišli bomo"... kdo je že to rekel?
Ne kvasi neumnosti, ker tovrstna tehnologija v podporo sodobni metodiki ni poceni in ne bi ostala spregledana med javnimi naročili. Z zakonodajnimi spremembami, ki bi dale pravno podlago za rabo trojanca, se že nekaj časa spogledujejo. In so to v predlogih vladi, oz. zakonodajalcu večkrat na papirju predstavili.
Saj tudi IMSI lovilec, ob kontekstu katerega so izrekli besede, ki jih citiraš, ni ostal pred javnostjo skrit. Pravzaprav so se pri nekaterih aktivnih državljanih sprožili alarmi, ko se je pojavila razpisna dokumentacija zanj! ... in sad dela teh državljanov (tudi članov foruma) je boljši nadzor nad rabo, razkritje statistik itn. Zato te vabim, da občasno spremljaš razpise represivnih organov in pomagaš pri demokratičnem nadzoru slednjih.
Ko se že omenja Siol - sam verjamem da pridno sodelujejo s Sovo, zakaj bi drugače na njihovih email naslovih bila omejitev dolžine gesla na 8 znakov.
Veliko bolj je kriva nesposobnost. Ne nazadnje, kakšne zanimive informacije pa bi vlekli iz takega portala? Ljudje si ustvarijo profile za komentiranje, ne pa za komuniciranje znotraj nekih zaprtih. Diskreditacije ipd. pisunske podvige pa premeteni drugače zavarujejo. Hribovske nestrpnosti pa še policija ne preganja, kaj šele, da bi se z njo ukvarjali obveščevalci. Domišljija2.
Ne mislim za komentiranje. Če imaš net na siolu, ti pripada tudi nekaj poštnih predalov. Omejitev gesla za dostop do teh poštnih predalov je 8 znakov. In kot je napisal Yacked2, začeti se mora s črko. Prava sramota za špiceljski ceh.
Okej, to je problem, ja. Ampak, po moje zaradi nesposobnosti kot je že omeni Matthai. Vprašanje je še, kako imajo urejeno zakasnitev, oz. onemogočanje prijave, če nekdo prične z napadom (če jo sploh imajo). Lahko poskusiš (jasno, na svojem računu). A imajo kje dnevnike (zadnjih) prijav?
Ne vem sicer, zakaj bi neka obveščevalna najprej zahtevala implementacijo/integracijo sistema, ki omogoča manjšo kompleksnost gesel, nato pa hekala. Saj vendar shranjujejo te podatke nešifrirane pri ponudniku, prav tako pa imajo dostop do infrastrukture med ponudniki, kjer imajo preverjeno nameščene naprave za zajem - ali ni lažje, da jim ponudnik samo certifikat da?
Ne gre za ironijo, pač pa za dejstvo, da četudi policija ne (vedno) rada spoštuje zakonodajo, česa takega nima. Vemo pa, da bi rada imela in vedeli bomo, ko bo (če sploh bo) dobila.
Ko se že omenja Siol - sam verjamem da pridno sodelujejo s Sovo, zakaj bi drugače na njihovih email naslovih bila omejitev dolžine gesla na 8 znakov.
Veliko bolj je kriva nesposobnost. Ne nazadnje, kakšne zanimive informacije pa bi vlekli iz takega portala? Ljudje si ustvarijo profile za komentiranje, ne pa za komuniciranje znotraj nekih zaprtih krogov. Diskreditacije ipd. pisunske podvige pa premeteni drugače zavarujejo. Hribovske nestrpnosti pa še policija ne preganja, kaj šele, da bi se z njo ukvarjali obveščevalci. Domišljija2.
Glede trojancev je bil na slo-tech pred časom članek o tem kako so shekali neko norveško firmo (se mi zdi, da je bila norveška), ki se ukvarja z dostavo take opreme vladnim organizacijam, med objavljenimi dokumenti se je pojavila tudi Slovenija. Če najdem link, sharam.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Glede trojancev je bil na slo-tech pred časom članek o tem kako so shekali neko norveško firmo (se mi zdi, da je bila norveška), ki se ukvarja z dostavo take opreme vladnim organizacijam, med objavljenimi dokumenti se je pojavila tudi Slovenija. Če najdem link, sharam.
Glede trojancev je bil na slo-tech pred časom članek o tem kako so shekali neko norveško firmo (se mi zdi, da je bila norveška), ki se ukvarja z dostavo take opreme vladnim organizacijam, med objavljenimi dokumenti se je pojavila tudi Slovenija. Če najdem link, sharam.
Nihče ni ničesar kupil od njih! En članek je napisal nekdo drug, drugega pa jaz. Policija se je zanimala prek hrvaškega podjetja, Sova pa preko srbskega in posredno še izraelskega. Sova je imela po mojih grobih izračunih dovolj sredstev za nakup zadeve na ključ (če bi pridobila znaten popust), vendar sem že takrat z veliko verjetnostjo sklenil, da ni: a) ker je prišlo med enim od posrednikov in proizvajalcem PO do trenj in je nato korespondenca potihnila ter b) ker so Sovi znatno znižali sredstva v postavki za te tehnikalije. Sem pa pobral celoten torrent in ga prečesal po fakturah in dejansko ni prišlo ne posredno (prek teh dveh posrednikov) ne neposredno do nakupa. Enako velja za Policijo.
Kot že rečeno, prečesal sem celoten objavljen paket podatkov v kontekstu znanih posrednikov ali ob scenariju neposrednega nakupa (pogledal sem v računovodsko knjigovodske dokumente in pri tržnikih, ki so pokrivali regijo, oz. posrednike) in nakupa k sreči ni bilo.
Aja FF v Sloveniji ni uporabljala Policija. Če se ne motim, so imeli samo del C&C infrastrukture (menda samo proxy) na gostovanju pri nas (Optimus IT). Če pa je kdo to uporabljal, je bila Sova. Sredstva so v tistem času imeli zadostna. Ampak najverjetneje niso, šlo je za nekega partnerja (domnevno to podjetje, ki ponuja kolokacije, gostovanja idr. oblačne storitve).
Kako pa se razplete, ko/če podjetje/posameznik ugotovi, da mu je nekdo okužil omrežje in prijavi policiji/sicertu ? Verjetno so identitete oseb, ki so pod nadzorom skrbno varovane, potem nastane primer država proti državi ali se preiskovalce obvesti o nastali situacij?
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Okej, to je problem, ja. Ampak, po moje zaradi nesposobnosti kot je že omeni Matthai. Vprašanje je še, kako imajo urejeno zakasnitev, oz. onemogočanje prijave, če nekdo prične z napadom (če jo sploh imajo). Lahko poskusiš (jasno, na svojem računu). A imajo kje dnevnike (zadnjih) prijav?
Ne vem sicer, zakaj bi neka obveščevalna najprej zahtevala implementacijo/integracijo sistema, ki omogoča manjšo kompleksnost gesel, nato pa hekala. Saj vendar shranjujejo te podatke nešifrirane pri ponudniku, prav tako pa imajo dostop do infrastrukture med ponudniki, kjer imajo preverjeno nameščene naprave za zajem - ali ni lažje, da jim ponudnik samo certifikat da?
Po mojem zato, da lahko kogarkoli hočejo ilegalno nadzorujejo - na videz je vse ok, pošta zaščitena z geslom, v resnici pa so ta gesla amatersko šibka in lahko vdrejo v poštni predal brez težav (in brez odredbe sodišča). Večini uporabnikov se itak ne sanja o tem.
Tako hudo štalo se da zakuhati, če se motivirani hekerji z žegnom države spravijo na nek OS. A si lahko predstavljamo kako hudo in prikrito štalo je mogoče zakuhati, če je njen arhitekt kar sama firma, ki razvija določen OS in kar sama pove, da bo vdirala v zasebnost uporabnikov? V mislih nimam appla.
Canonical comes to mind.
Povej kaj več o tem. Me zelo zanima.
Let me google it for you. https://www.google.si/search?num=20&saf.....0j0i22i30k1l2.65.512.0.1370.5.4.0.0.0.0.735.2444.4-1j1j2.4.0....0...1c.1j4.64.mobile-gws-hp..1.4.2439.ydzEWIhT0RQ
Okej, to je problem, ja. Ampak, po moje zaradi nesposobnosti kot je že omeni Matthai. Vprašanje je še, kako imajo urejeno zakasnitev, oz. onemogočanje prijave, če nekdo prične z napadom (če jo sploh imajo). Lahko poskusiš (jasno, na svojem računu). A imajo kje dnevnike (zadnjih) prijav?
Ne vem sicer, zakaj bi neka obveščevalna najprej zahtevala implementacijo/integracijo sistema, ki omogoča manjšo kompleksnost gesel, nato pa hekala. Saj vendar shranjujejo te podatke nešifrirane pri ponudniku, prav tako pa imajo dostop do infrastrukture med ponudniki, kjer imajo preverjeno nameščene naprave za zajem - ali ni lažje, da jim ponudnik samo certifikat da?
Po mojem zato, da lahko kogarkoli hočejo ilegalno nadzorujejo - na videz je vse ok, pošta zaščitena z geslom, v resnici pa so ta gesla amatersko šibka in lahko vdrejo v poštni predal brez težav (in brez odredbe sodišča). Večini uporabnikov se itak ne sanja o tem.
Hja, jaz pa mislim, da ne. Ker vešči uporabniki bi po vsej verjetnosti to opazili. Bi bilo nepotrebno tveganje zanje. Pa zakaj bi potem ponudnik še neke varnostne mehanizme izklapljal z neko politiko znanih napadalcev itn. Dajo jim certifikat pa je (si enostavno TLS dešifrirajo). MITM za Sovo na slovenskem medmrežju ni problem.
Ti si pa res naiven. Tipi kradejo miljone "brez da se to opazi", pa ne bodo znali kupli "igrack" za take "igrice" spilat, brez da bi kdo opazu. Jaka muda iz znj firme napisat fakturo za znj artikel...dejansko pa se placajo take "igracke", pa se kaj.
Pa tudi med seboj pridno 'sodelujejo' razne agencije, komot naši rečejo drugim, preverite tole pa tole. Isto kot so američani najeli ne vem že koga, da prisluškuje američanom, ker jim samo niso smeli.
Pa tudi med seboj pridno 'sodelujejo' razne agencije, komot naši rečejo drugim, preverite tole pa tole. Isto kot so američani najeli ne vem že koga, da prisluškuje američanom, ker jim samo niso smeli.
Naši so amaterji, zlorabljajo policijske sodelavce kot je bilo tisto z Ornigom.
Ti si pa res naiven. Tipi kradejo miljone "brez da se to opazi", pa ne bodo znali kupli "igrack" za take "igrice" spilat, brez da bi kdo opazu. Jaka muda iz znj firme napisat fakturo za znj artikel...dejansko pa se placajo take "igracke", pa se kaj.
Nič nisem naiven, samo matematično pismen in znam logično sklepati. Policijski proračun skrivalnice takega reda stroška ne bi prenesel, pa še opozicija bi morda zganjala vik in krik. Vedno je še bilo tako, prvo mislim (vse do zdaj smo opazili).
Nič nisem naiven, samo matematično pismen in znam logično sklepati. Policijski proračun skrivalnice takega reda stroška ne bi prenesel, pa še opozicija bi morda zganjala vik in krik. Vedno je še bilo tako, prvo mislim (vse do zdaj smo opazili).
Mislim da je bila insinuacija, da je pac zadeva kupljena iz crnega fonda. Obvescevalne sluzbe pac imajo denar, ki ni izsledljiv.
Nič nisem naiven, samo matematično pismen in znam logično sklepati. Policijski proračun skrivalnice takega reda stroška ne bi prenesel, pa še opozicija bi morda zganjala vik in krik. Vedno je še bilo tako, prvo mislim (vse do zdaj smo opazili).
Mislim da je bila insinuacija, da je pac zadeva kupljena iz crnega fonda. Obvescevalne sluzbe pac imajo denar, ki ni izsledljiv.
Tako je...
Npr....boh ti ga vedi v kam vse je slo te 1,5 milijarde ot TESa
Nič nisem naiven, samo matematično pismen in znam logično sklepati. Policijski proračun skrivalnice takega reda stroška ne bi prenesel, pa še opozicija bi morda zganjala vik in krik. Vedno je še bilo tako, prvo mislim (vse do zdaj smo opazili).
Mislim da je bila insinuacija, da je pac zadeva kupljena iz crnega fonda. Obvescevalne sluzbe pac imajo denar, ki ni izsledljiv.
Govorili smo o Policiji. Naša obveščevalna je kastrirana in po mojem vedenju brez fonda, ki ga omenjate. Sploh pa še v strukturi proračuna se komaj najde dovolj denarja.
Eh, TEŠ kot Patria in mnoge zgodbe so stvar parcialnih interesov posameznikov ali ožjih skupin, ne pa državotvornosti, še manj struktur državnih organov, ki imajo zmeraj prisotno zdaj to, zdaj ono (močno) opozicijo.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...