Arhiv novic @ Slo-Tech

Heise - Nemški notranji minister Thomas de Maizière in Združenje Deutschland sicher im Netz (DsiN) sta včeraj predstavila nov elektronski osebni dokument, ki naj bi bil od 1. novembra standardni način identifikacije na internetu, a uporaba ne bo obvezna. S tem bi odpadla potreba po množici različnih gesel.

Nova kartica bo delovala z vsemi običajnimi informacijskimi sistemi, tako da bodo mogli sodelovati uporabniki in ponudniki storitev. Izgraditi bo treba vrsto majhnih računalnikov z ustrezno infrastrukturo, ki bodo uporabljali nov sistem. Vrhovni overitelj bo podobno kot pri digitalnih potrdilih država, ki pa se v samo komunikacijo ne bo mešala. Prav tako bo pomembna zaščita podatkov, ki bo nivojska. Brati bo mogoče le tiste podatke, ki bodo nujno potrebni - spletna trgovina bo potrebovala naslov, ne pa nujno starosti. Na kartico bo moč naložiti tudi prstne odtise in druge biometrične podatke, ki pa v nobenem primeru ne bodo dostopni zasebnim entitetam.

De Maizière bo postal ponosni lastnik nove kartice že 1. novembra. Za zdaj bo dokument treba iti iskat osebno, v kasnejših fazah pa bo prevzem podobno kot pri bančnih karticah možen tudi po pošti. Z novim načinom identifikacije so zadovoljni tudi ponudniki storitev. V Deutsche Kreditbank, ki v zahodni Nemčiji nima poslovalnic, pa tudi sicer posluje večinoma kot spletna banka, pravijo, da gre za poenostavitev identifikacijskih postopkov. Doslej so morale nove stranke svojo istovetnost potrditi na pošti (podobno kot pri Dibi), kjer se je bilo treba spopadati s tiskarskimi škrati, nečitljivo pisavo posameznikov in visokimi stroški.

Osebni dokument bo stal 28,80 evra, kar je na primer dvakrat dražje od običajnih slovenskih osebnih izkaznic, in strelivo za nasprotnike projekta. Profesor informatike iz Bremna Herbert Kubicek pravi, da je za večino uporabnikov trenutna rešitev PIN/TAN zadovoljiva. Ko so podoben sistem uvajali na Finskem, se je za elektronsko osebno izkaznico odločilo manj kot tri odstotke ljudi. Nemški informacijski pooblaščenec Peter Schaar pa je ljudi pozval, naj razmislijo, ali želijo dati tudi prstne odtise, saj naj bi bila popolna zaščita zagotovilom vlade navkljub nemogoča.

Daily Mail - Nove osebne izkaznice, ki jih britanska vlada počasi uvaja in želi odpremiti vsem državljanom do leta 2012, naj bi bile odporne proti ponarejanju in zlorabam. A to ne drži, poroča The Daily Mail. Adam Laurie, znani britanski računalniški izvedenec, je namreč dobil v roke eno izmed 51.000 osebnih izkaznic, ki so jih prejeli tujci na začasnem delu ali študiju v Veliki Britaniji. Te izkaznice so podobne izkaznicam, ki jih bodo sčasoma prejeli tudi britanski državljani. Vsebujejo mikročipe s podatki o imetniku v elektronski obliki: ime, rojstni datum, fizične karakteristike, prstni odtis itn. Po besedah oblasti je čip neprebojen.

Laurie je uporabil svoj mobilni telefon in prenosni računalnik ter uspel informacije s čipa prekopirati v nekaj minutah. Nato je s pomočjo kolega na klonirano izkaznico zapisal spremenjene podatke in to na način, da so čitalniki še vedno označili izkaznico kot avtentično. Ker so na kartici tudi podatki o upravičenosti do socialnih transferjev ali pa napis Pozor, terorist. Streljajte!, je vse skupaj zelo delikatno. Kar hud udarec, saj bo celoten projekt Britance stal 5,4 milijarde funtov, pa še niti začel se dobro ni, ko je že odkrita resna ranljivost. Podrobnosti o napadu.

engadget - Da RFID tehnogija ni varna s(m)o nekateri opozarjali še preden so se svetovni politiki odločili uvesti RFID potne liste. Kmalu po uvedbi RFID potnih listov se je to dokazalo tudi v praksi.

Tokrat pa se je izkazalo tudi kako obsežne so lahko potencialne možnosti zlorabe. Raziskovalec Chris Paget je namreč posnel video v katerem se z 250 USD vrednim Motorolinim RFID čitalcem, anteno in prenosnikom zapelje po ulicah San Francisca ter odčitava in klonira potne liste, vozniška dovoljenja in druge idetifikacijske dokumente naključnih mimoidočih.

V 20 minutah je tako uspel sklonirati potna lista dveh nič hudega slutečih državljanov ter jima tako ukrasti identiteto.

Še dobro, da avta ni parkiral pred letališčem...

Guardian - Britanska vlada je pred časom predlagala sprejetje posebnih preiskovalnih ukrepov, ki bi ponudnike dostopa do spleta ter operaterje mobilne in stacionarne telefonije zavezal, da v centralno vladno bazo podatkov posredujejo vse prometne podatke o tem, koga so britanski državljani klicali po telefonu, katere spletne strani so obiskali ter s kom so si dopisovali po elektronski pošti.

Stroški vzdrževanja takšne baze podatkov bodo visoki - po ocenah okrog 12 milijard funtov - sedaj pa se je britanska vlada še odločila, da bodo storitve prestrezanja in hrambe zbranih podatkov prepustili kar zasebnim podjetjem.

Ideja je že naletela na prve kritike, med katerimi je tudi Ken Macdonald, bivši vodja javnih tožilcev, ki je mnenja, da je takšna privatizacija nadzora na dolgi rok lahko zelo nevarna, saj bodo podatki slej ko prej pričeli uhajati oz. bo pričelo prihajati do zlorab.

Seveda pa govorimo o demokratični Britaniji in ne o komunistični Kitajski...

Times Online - Kljub temu, da so RFID potne liste uvedli z namenom onemogočanja ponarejanja potnih listov, se pompozne napovedi politikov o povečani varnosti ne uresničujejo. Raziskovalec iz Univerze v Amsterdamu Jeroen van Beek je namreč za The Times prikazal uspešno kloniranje RFID potnih listov.

V prikazu je uporabil potna lista dojenčka in 36-letne ženske, na katera je zapisal sliki Osame bin Ladna ter palestinskega samomorilskega napadalca Hibe Darghmeha. Pri tem je uporabil čitalec RFID kartic za 40 britanskih funtov, dva RFID čipa za deset britanskih funtov, javno dostopno programsko opremo ter svojo lastno programsko opremo. Kloniranje in ponarejanje RFID čipa je trajalo manj kot uro, ponarejeni RFID čip pa je bil s strani uradno odobrene opreme za branje RFID potnih listov sprejet kot originalen.

Tako ponarejene potne liste bi bilo sicer mogoče odkriti s pomočjo posebnega imenika javnih ključev vseh RFID potnih listov, tim. Public Key Directory-em (PKD), v katerega pa se je od 45 držav, ki uporabljajo RFID potne liste prijavilo le deset, samo pet držav pa ta sistem tudi že uporablja.

V tem primeru preverjanje veljavnosti potnega lista vključuje tudi preverjanje ali se njegov javni ključ nahaja v PKD imeniku, a takšno preverjanje je pomankljivo dokler v PKD imenik javnih ključev svojih RFID potnih listov ne bodo vključevale prav vse države.

Naj mimogrede tudi spomnimo, da so neznanci prejšnji teden v Britaniji ukradli 3000 praznih RFID potnih listov. Očitno bo torej na področju varnosti še veselo, kot že mnogokrat pa se je tudi tokrat izkazalo da tehnologija sama po sebi ni čudežna rešitev za vse varnostne probleme. Tako so raziskovalci uspešno napadli tudi Mifarove RFID čipe, ki se uporabljajo v vozovnicah v javnem potniškem prometu. Pa veselo potovanje!

Schneier.com - Skupina raziskovalcev je ugotovila kako klonirati pametno RFID kartico Mifare Classic (proizvaja jih podjetje NXP Semiconductors), ki se v Londonu, Bostonu in na Nizozemskem uporabljajo kot vozovnice v javnem potniškem prometu.

S pomočjo preučevanja pod mikroskopom so raziskovalci uspeli razkriti šifrirni algoritem, ki ga kartica uporablja. V algoritmu Cypto1 so nato našli napake, ki omogočajo uspešen napad na kartico v nekaj minutah.

Podoben napad na te vrste kartic so v začetku leta izvedli že raziskovalci Amsterdamske fakultete za naravoslovje in dva nemška varnostna strokovnjaka v začetku leta, v začetku marca pa tudi raziskovalci nizozemske Radboud University. Na voljo je tudi impresivna video demonstracija napada.

Wired News - Lukas Grunwald, varnostni svetovalec podjetja DN v Nemčiji, naj bi shackal novi nemški potni list. V četrtek je pokazal celoten postopek na Black Hat varnostni shodu v Las Vegasu. Uspelo mu je klonirati poljuben potni list ali ga celo prenesti na Smartcard. Če to kartico vstavi v potni list, RFID čitalci preberejo le to in ne njegovega potnega lista.



Postopek mu je vzel dva tedna časa, vse informacije je pridobil na internetni strani ICAO - International Civil Aviation Organization, kjer so objavljeni zahtevani standardi za tovrstne potne liste.

Nove potne liste z RFID-i so sicer najprej shackali Nizozemcem.

The Register - Na The Register poročajo, da je skupini hekerjev uspelo razbiti Microsoftovo slavno kodo za aktivacijo operacijskega sistema preko interneta. Res je, da so obstajale druge možnosti za nelegalno namestitev programa (kot je preprosto deaktiviran modul za registracijo po internetu), a vseeno je ta program velika grožnja Microsoftu. Program naj bi v eni noči na povprečnem računalu ustvaril 25 kod, katere naj bi Microsoftov strežnik sprejel za avtentične. Bo kmalu sledil nov "Security Update" :D? Celotno zgodbo si preberite tule.

The Register - Internet je sicer izjemen medij in vse pohvale tistim ki so ga izumili. Vendar vsa ta izjemnost kar nekako uplahne, ko vidimo, koliko to omrežje letno požre denarja. Nekaj stroškov povzroči vzdrževanje, nekaj pa zloraba. Po podatkih The Registerja, ZDA zlorabe interneta stanejo 63 000 000 000 $ . Sama številka je sicer ogromna, vendar naj za primerjavo navedem, da je to tako, kot če bi vsako sekundo zapravili 2000 $. Skratka preveč.