»

V Tetri ranljivost, ki se zdi namerna

TETRA radijska postaja.

vir: Motorola
Slo-Tech - V sistemu Tetra, ki uporabljajo organi pregona in druge državne agencije v številnih državah - tudi Slovenija - so raziskovalci odkrili še eno ranljivost. Da je Tetra polna lukenj, je že staro dejstvo. Morda je novo dejstvo, da so luknje tam očitno namenoma, čeprav smo bili tudi to lahko slutili. Nova ranljivost se imenuje Tetraburst.

Tetra uporablja šifrirni sistem, ki je zaprtokoden, zato mu moramo preprosto verjeti. Seveda odprtokodnost ni jamstvo, da so sistemi dobri, a pri zaprtkodnih tega načeloma ne moremo niti dokazati. Lahko pa pokažemo obratno, kar je uspelo raziskovalcem iz podjetja Midnight Blue. O podrobnostih bodo govorili na konferenci Black Hat, kjer imajo 9. avgusta predavanje o novi ranljivosti. Popolno razkritje pa obljubljajo do 14. novembra.

Za zdaj vemo, da so v algoritmu TEA1 - Tetraji jih podpira več - odkrili namensko oslabitev šifriranja. Zaradi njih lahko napadalec s poceni opremo SDR pasivno prestreza komunikacijo prek Tetre in dešifrira vsebino. Ker...

11 komentarjev

V Arizoni zaradi neposodobljenega programa zaporniki prepozno izpuščeni

Slo-Tech - V ameriški zvezni državi Arizona, kjer imajo enega najvišjih deležev zaprtega prebivalstva v ZDA in na svetu, je po podatkih neimenovanega žvižgača več zapornikov ostalo zaprtih dlje, kot bi smeli biti. Razlog je programska oprema, ki avtomatično izračunava kazni, in ni bila posodobljena skupaj z novim zakonom. V upravi za izvrševanje kazenskih sankcij so potrdili, da imajo težave s programsko opremo, a niso razkrili, za koliko ljudi gre.

Težavo predstavlja novela zakona iz leta 2019, ki omogoča zapornikov nabiranje kreditnih točk za predčasni izpust. Za vsakih sedem dni v zaporu se za zaprte zaradi posedovanja ali uporabi mamil šteje, kot da so preživeli 10 dni, če so opravili program za odvajanje od odvisnosti, srednješolsko maturo, program za zdravljenje spolnih prestopnikov ipd. Pogoj je tudi, da je to prva obsodba. V nekaterih drugih primerih je popusta le en dan za vsakih šest dni (stari program). Kakorkoli, vse te odpustke izračunava računalniški program, ki potem upravo...

14 komentarjev

TETRA popolnoma zanič

Informacijski pooblaščenec - V odločbi o zavrnitvi dostopa do informacije javnega značaja, ki jo je Informacijski pooblaščenenec objavil včeraj, IP med drugim ugotavlja, da je sistem tako zanič, da bi bilo:

Z razkritjem informacij [..] mogoče poseči v sam si[s]tem TETRA, kar bi lahko zmanjšalo oziroma izničilo njegovo operativno vrednost, s tem pa bi bila lahko ogrožena varnost življenja in premoženja ljudi, varnosti policistov, gasilcev, reševalcev in vseh drugih uporabnikov. Sistem TETRA namreč poleg policije uporabljajo tudi enote nujne medicinske pomoči, enote za izvrševanje kazenskih sankcij, finančna uprava, Dars, mestna redarstva, itd. Iz tega vidika je tudi v javnem interesu, da se zagotovi zaščita radijskega sistema, katerega lastnik je države (država je operater in upravljavec sistema) in na ta način doseže njegovo učinkovito delovanje.


Tako smo očitno v Sloveniji za nekaj milijonov evrov iz sistema, ki je bil načrtovan za varno komunikacijo med izvajalci nujnih storitev in med drugim omogoča...

75 komentarjev

GCHQ prestrezala e-pošto svetovnih časnikov

Guardian - Dokumenti, ki jih je pridobil Edward Snowden, kažejo, da je britanska obveščevalna agencija GCHQ prestrezala elektronska sporočila med sodelavci nekaterih svetovnih časnikov. Pravzaprav česa drugega niti ni bilo pričakovati, glede na to da NSA in GCHQ prestrezata in shranjujeta vse mogoče, a je razkritje vseeno dvignilo veliko prahu, ker so udeleženi BBC, Reuters, Guardian, New York Times, Le Monde, Sun, NBC in Washington Post.

Pri tem je treba poudariti, da ni šlo za redno prisluškovanje, temveč desetminutni preizkus delovanja sistema, ki so ga izvedli novembra 2008. V tem času je sistem za prestrezanje, ki ga ima GCHQ nameščenega neposredno na podmorskih optičnih kablih, shranil 70.000 elektronskih sporočil. Nekritično so shranili vsa sporočila, od...

26 komentarjev

NSA za nekaj držav hrani vse telefonske pogovore

Slo-Tech - Novi dokumenti iz NSA, ki jih je razkril Washington Post, prinašajo slabe novice, če kličete v državi, ki so jo ZDA uvrstile na svoj radar. Obstajajo namreč države - katere, zaradi nacionalne varnosti časnik ni razkril - kjer NSA prestreza, snema in hrani vse telefonske pogovore.

Da NSA zbira prometne podatke o telefonskih pogovorih po celem svetu, od koder potem gradijo sezname povezanih oseb glede na lokacijo in komunikacije, smo pisali že lani. Letos smo ugotovili, da je svet vendarle prevelik, da bi NSA beležila vse telefonske pogovore. Toda v kakšni državi bi pa to šlo.

Po zadnjih razkritjih ima NSA orodja in tehnične zmožnosti, da prestreza in shranjuje vse telefonske pogovore v zadnjih 30 dneh v neki...

23 komentarjev

Lavabit in Silent Circle zaradi Prisma prenehali obratovati

The New York Times - Afera Prism, ki je v javnost naplavila številne informacije o obsežnem programu prestrezanja telekomunikacij in vohunjenju, ki ju izvaja ameriška Agencija za nacionalno varnost (NSA), je terjala novi žrtvi. Obratovati sta prenehali priljubljeni storitvi za varno pošiljanje elektronske pošte, Lavabit in Silent Circle. Prvi se je za to odločil, da mu ne bi bilo treba razkriti svojih podatkov, drugi pa iz preventivnih razlogov.

Prvi je svojo odločitev v četrtek zvečer naznanil Lavabit. Njegov lastnik Ladar Levison je namignil, da je razlog za to odločitev odredba, ki so jo prejeli od tajnega sodišča za obveščevalske prisluha (FISA, Foreign Intelligence Service Act Court), ali pa posebni nalog za nacionalno varnost (NSL, national security letter). Oba namreč...

22 komentarjev

Raziskovalca umaknila predavanje o ranljivosti sistemov SCADA

Slashdot - Od sobote do četrtka je v Dallasu potekala konferenca TakeDownCon 2011, kjer raziskovalci predstavljajo odkrite ranljivosti v sistemih ter razpravljajo o izboljšavah in pristopu k večji varnosti. Za sredo je bila napovedana tudi predstavitev varnostnih pomanjkljivosti v Siemensovih industrijskih kontrolnih procesih SCADA (ki se uporabljajo za nadzor in krmiljenje industrijskih procesov, recimo zloglasnih centrifug, ki jih je prizadel Stuxnet). Pripravljala sta jo Brian Meixell in Dillon Beresford iz NSS Labs, pa sta se v zadnjem trenutku odločila, da jo zaradi prevelike nevarnosti odpovesta.

Meixell in Beresford poudarjata, da jima ni nihče grozil ali na vrata pošiljal odvetnikov. O odkritih ranljivostih sta razpravljala s Siemensom in ameriško Službo za domovinsko varnost...

11 komentarjev

Na spletu objavljen Yahoojev "prisluškovalni vodič"

Slo-Tech - Christopher Soghoian je letos poleti vse vladne agencije, ki delujejo v okviru ameriškega Ministrstva za pravosodje na podlagi ameriškega zakona o dostopu do informacij javnega značaja (FOIA) zaprosil za podatek o tem, koliko posamezni ponudniki dostopa do interneta in telefonski operaterji računajo za posredovanje osebnih podatkov svojih uporabnikov in prisluhov komunikacij na podlagi sodne odredbe.

Soghoian, ki na Indiana University pripravlja doktorat na temo nadzora in zasebnosti, je menil, da bi na ta način lahko izdelal oceno o obsegu nadzora interneta s strani ameriških državnih organov. Dobil je kar nekaj zanimivih podatkov, zapletlo pa se je pri Verizonu in Yahooju, ki sta dostop do podatkov (kot stranska udeleženca v FOIA postopku) zavrnila. Verizon je med razlogi navedel, da bi razkritje "prisluškovalnega cenika" zmedlo njegove stranke, Yahoo, pa je bil mnenja, da bi ga razkritje osramotilo in šokiralo njegove uporabnike.

A dokumenti niso ostali dolgo skriti. Kmalu za...

12 komentarjev