»

Morda bo algoritem TETRA naposled le odprt

TETRA radijska postaja.

vir: Motorola
Slo-Tech - Po poleti odkritih novih ranljivostih v sistemu TETRA, ki so bile tam najverjetneje namenoma, se sedaj krepijo pozivi k odprtju algoritma. Tehnični odbor ETSI (European Telecommunications Standards Institute) razmišlja, da bi javno razkrili algoritme, ki jih TETRA uporablja za šifriranje komunikacije. Odločitev bodo sprejeli 26. oktobra, je pojasnila tiskovna predstavnica Claire Boyer. Če ne bo konsenza, bo sledilo glasovanje.

Tehnologijo TETRA (Terrestrial Trunked Radio) uporabljajo javne službe, denimo policija in reševalci, a tudi vojska, za komunikacijo v večjem delu Evrope. Z njo preprečujejo prisluškovanje, a protokol ima številne ranljivosti. Te pod vprašaj postavljajo tako varnost uporabo kakor tudi odpornost na prihodnost, saj ne vemo, kaj se še skriva v kodi. Poleti odkrite ranljivosti so teoretično omogočale vrivanje sporočil, deanonimiziranje uporabnikov in podobno. Ranljivosti naj bi bili zakrpali šele ta mesec.

Uporaba nejavnih algoritmov za šifriranje, kjer se za...

6 komentarjev

V Tetri ranljivost, ki se zdi namerna

TETRA radijska postaja.

vir: Motorola
Slo-Tech - V sistemu Tetra, ki uporabljajo organi pregona in druge državne agencije v številnih državah - tudi Slovenija - so raziskovalci odkrili še eno ranljivost. Da je Tetra polna lukenj, je že staro dejstvo. Morda je novo dejstvo, da so luknje tam očitno namenoma, čeprav smo bili tudi to lahko slutili. Nova ranljivost se imenuje Tetraburst.

Tetra uporablja šifrirni sistem, ki je zaprtokoden, zato mu moramo preprosto verjeti. Seveda odprtokodnost ni jamstvo, da so sistemi dobri, a pri zaprtkodnih tega načeloma ne moremo niti dokazati. Lahko pa pokažemo obratno, kar je uspelo raziskovalcem iz podjetja Midnight Blue. O podrobnostih bodo govorili na konferenci Black Hat, kjer imajo 9. avgusta predavanje o novi ranljivosti. Popolno razkritje pa obljubljajo do 14. novembra.

Za zdaj vemo, da so v algoritmu TEA1 - Tetraji jih podpira več - odkrili namensko oslabitev šifriranja. Zaradi njih lahko napadalec s poceni opremo SDR pasivno prestreza komunikacijo prek Tetre in dešifrira vsebino. Ker...

11 komentarjev

Kako so na ekvadorskem veleposlaništvu prisluškovali Assangeu

Slo-Tech - Ta konec tedna v Leipzigu poteka vsakoletni Chaos Communication Congress, na katerem raziskovalci iz celega sveta predstavljajo novosti in nove ranljivosti v programski opremi. Dogodek organizira nemški Chaos Computer Club (CCC), ki sodi med največje stanovske organizacije hekerjev na svetu. Na zanimivem predavanju je Andy Müller-Maguhn, ki je bil včasih tiskovni predstavnik CCC, predstavil prisluškovalne ukrepe, ki jih je bil deležen Julian Assange med svojim bivanjem na ekvadorskem veleposlaništvu v Londonu.

Tja se je zatekel junija 2012 še med predsedovanjem Rafaela Corree in zaprosil za politični azil. Odtlej pa do aprila letos je živel na veleposlaništvu, saj bi ga ob izhodu takoj aretirala britanska policija. Formalno je njegovo izročitev zahtevala Švedska, ki ga je obtoževala spolnega napada, a je Assange vztrajal, da gre za pretvezo za kasnejšo izročitev ZDA, ki bi mu zaradi Wikileaksa gotovo sodila. Teh sedem let, ki jih je Assange preživel na ambasadi, pa je bil ves čas...

37 komentarjev

Nova inačica ranljivosti Spectre in Meltdown prinaša nove upočasnitve procesorjev

Slo-Tech - Intel in Microsoft ter Google so sporočili, da sta odkrila novo varianto ranljivosti Spectre in Meltdown, ki je v začetku leta pošteno zatresla procesorski trg in povzročila ogromno nadur inženirjev in programerjev. Tokratna različica je dobila ime Varianta 4. Četrta različica ponuja še eno, novo možnost za nepooblaščeno črpanje starih informacij iz pomnilnika. Ranljivi so Intelovi, AMD-jevi in nekaj ARM-jevih procesorjev.

Intel novo ranljivost označuje kot srednje nevarno, saj je dobršen del že zakrpan s popravki za pretekle verzije. Vseeno pa pridejo še novi popravki. Da so odkrili novo luknjo, v resnici ni tako nenavadno, nekateri strokovnjaki pa so to že napovedali. Ko so namreč razkrili Spectre in Meltdown, se je odprla nova smer raziskav in različni...

23 komentarjev

Slo-Tech napovednik: To so brezplačni dogodki tega tedna 8. - 14. maj

Slo-Tech -
Torek, 9. maj


Kaj:
Posvet o odgovornem razkrivanju varnostnih ranljivosti
Kdaj: od 16h do 18h
Kje: konferenčna dvorana, stavba B, Tehnološki park, Ljubljana
Več o dogodku: V zadnjem času smo priča številnim primerom razkritij ranljivosti informacijskih sistemov, zaradi katerih so izpostavljeni tako osebni kot drugi zaupni podatki, ogorožna pa je lahko tudi kritična infrastruktura države. Ob tem se odpirajo številna vprašanja, o katerih želimo spodbuditi javno razpravo.

Kaj: Slovenia, meet Kickstarter! - SCFM #9
Kdaj: Začetek ob 18. uri
Kje: NLB - Center Inovativnega Podjetništva, Trg republike 2, Ljubljana
Več o dogodku: We`re very happy to announce that for the first time ever, a representative of Kickstarter is coming to Slovenia!...

14 komentarjev

TETRA popolnoma zanič

Informacijski pooblaščenec - V odločbi o zavrnitvi dostopa do informacije javnega značaja, ki jo je Informacijski pooblaščenenec objavil včeraj, IP med drugim ugotavlja, da je sistem tako zanič, da bi bilo:

Z razkritjem informacij [..] mogoče poseči v sam si[s]tem TETRA, kar bi lahko zmanjšalo oziroma izničilo njegovo operativno vrednost, s tem pa bi bila lahko ogrožena varnost življenja in premoženja ljudi, varnosti policistov, gasilcev, reševalcev in vseh drugih uporabnikov. Sistem TETRA namreč poleg policije uporabljajo tudi enote nujne medicinske pomoči, enote za izvrševanje kazenskih sankcij, finančna uprava, Dars, mestna redarstva, itd. Iz tega vidika je tudi v javnem interesu, da se zagotovi zaščita radijskega sistema, katerega lastnik je države (država je operater in upravljavec sistema) in na ta način doseže njegovo učinkovito delovanje.


Tako smo očitno v Sloveniji za nekaj milijonov evrov iz sistema, ki je bil načrtovan za varno komunikacijo med izvajalci nujnih storitev in med drugim omogoča...

75 komentarjev

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

VUPEN-ova ekipa v Vancouvru letos. Bekrer stoji v sredini.

Forbes - Letos je v Vancouvru na tekmovanju Pwn2Own zelo hitro padel Googlov brskalnik Chrome, ki je bil lani edini nedotaknjen. Razbila ga je francoska skupina hekerjev oziroma raziskovalcev iz podjetja VUPEN, ki ima z Googlom in ostalimi proizvajalci programske opreme precej zapleten odnos. Ko so na primer lani maja objavili napad na Chrome, ki je omogočil poganjanje poljubne izvršljive kode, Googlu ali kam drugam na splet niso posredovali podrobnosti o napadu. Google je tedaj odvrnil, da gre za luknjo v vtičniku za Flashu in da to v resnici "ni njihov problem", na kar je VUPEN odgovoril, da pa je vseeno problem za uporabnike, saj je Flash luknja delovala na privzeti različici Chroma z že vključenim Flashem.

VUPEN je resda francosko varnostno podjetje,...

40 komentarjev