Slo-Tech novice

Intelovi procesorji ranljivi zaradi skrivnega operacijskega sistema

Slo-Tech - Ko smo v začetku meseca izvedeli, da imajo Intelovi procesorji še cel skrivni operacijski sistem, do katerega uporabnik nima dostopa, smo le še čakali, kdaj se bodo našle prve varnostne luknje v tej skrivni kodi. Res ni bilo treba dolgo čakati, saj je Intel ta teden že potrdil, da je odkril 11 resnih hroščev, ki so v več milijonih procesorjev po celem svetu.

Ko sta Maxim Goryachy in Mark Ermolov iz Positive Technologies odkrila kritično ranljivost v ME (Management Engine) v Intelovih procesorjih, je Intel opravil širšo revizijo svoje kode in ugotovil, da so v ME, TXE (Trusted Execution Engine) in SPS (Server Platform Services) hrošči, ki predstavljajo varnostna tveganja. Goryachy in Ermolov bosta svoja odkritja predstavila decembra na konferenci Blackhat, kjer bosta pokazala, kako lahko napadalec v procesorju poganja nepodpisano kodo prek ME. ME je neodvisen podsistem, ki se uporablja za oddaljeno administriranje računalnikov, vse od posodabljanja do iskanja napak. Prek ME je mogoče dobiti popoln dostop do računalnika. Tudi če je računalnik ugasnjen, a priključen, lahko ME teče, ker uporablja poseben mikroprocesor. Spomnimo, da je Google ugotovil, da ME teče na modificirani verziji MINIX-a, ki ima celo spletni strežnik in podporo za IP (IP stack), zato je napisal svoj firmware, ki teče na Linuxu in tega dvojega nima.

Intel je pripravil orodje, s katerim lahko preverimo, ali procesor vsebuje katero izmed najdenih ranljivosti. Toda problem je dvoplasten. Čeprav je Intel hitro zagotovil popravke za proizvajalce računalnikov, so končni uporabniki odvisni od proizvajalcev, ki morajo izdati popravljene firmware. Za starejše sisteme jih verjetno ne bo. Potencialno tveganje še ni opredeljivo, saj o ME ni prav veliko znanega in tako ni jasno, kaj vse lahko napadalci iz ranljivosti iztisnejo in kako težko jih je izkoristiti. Dobra novica je, da je za zdaj videti, da je za napad potreben lokalni dostop ali že obstoječa prisotnost v omrežju ali administratorski privilegiji. Dokazov, da bi ranljivosti kdo že izkoriščal, še ni, je pa potencialno ogroženih več milijonov računalnikov.

5 komentarjev

Google ve, kje smo, ne glede na nastavitve v Androidu

Slo-Tech - Pametni telefoni imajo kopico načinov za ugotavljanje lokacije, kar nam nemalokrat koristi, zato imamo te funkcije vklopljene. Kaj pa če izključimo ugotavljanje lokacije, ne uporabljamo nobenih aplikacij in v telefonu nimamo SIM-kartice? Izkaže se, da tudi v tem primeru telefon precej dobro ve, kje smo, in to sporoča (prek Wi-Fi) Googlu.

Vsaj od začetka leta telefoni z Androidom zbirajo podatke o bližnjih baznih postajah, iz česar lahko precej dobro ocenijo položaj, te podatke pa potem pošiljajo Googlu, česar Google niti ne zanika. Njihov tiskovni predstavnik je potrdil, da zadnjih 11 mesecev telefoni Googlu pošiljajo informacijo o bližnjih baznih postajah, kar Google uporablja za...

35 komentarjev

Spletne strani prisluškujejo obiskovalcem

Slo-Tech - Obiskovanje spletnih strani ni nedolžno početje z vidika zasebnosti, je pokazala najnovejša raziskava, ki so jo izvedli na Princetonu. Že dlje časa je znano, da spletne strani s piškotki sledijo uporabnikom, zato se po iskanju najboljših žarnic še mesec dni v oglasih prikazujejo žarnice. Toda v resnici si spletne strani pogosto zapisujejo tudi, kar vtipkamo, ko imamo spletno stran odprto. Pravzaprav nas to ne bi smelo presenetiti; da si Facebook shranjuje vpisano, česar potem nismo potrdili in objavili, smo izvedeli že leta 2013. Tudi ko vpisujemo iskalne termine v Google, ta že sproti prikazuje predloge. Tehnologija vsekakor obstaja, novo je le to, da jo uporablja bistveno več strani, kot smo si mislili.

V študiji so zajeli 50.000...

17 komentarjev

Tudi Španci v težavah zaradi e-osebnih izkaznic

Slo-Tech - Mala Estonija ima 1,3 milijona prebivalcev, ki pa skoraj vsi uporabljajo elektronske storitve, zaradi česar so imeli ob odkritju hude ranljivosti v Infineonovih čipih svojih pametnih osebnih izkaznic veliko težav. Na drugem koncu spektra je 46-milijonska Španija, kjer e-poti uporablja zgolj 0,02 odstotka prebivalstva, a so se tudi reševanja problema lotili zelo po špansko.

V Estoniji so začasno onemogočili karte z ranljivimi čipi in omogočili nadgradnjo prek interneta. Ta sicer ni potekala gladko, a so kmalu ugotovili, da jo bo treba omogočiti korakoma in ne vsem hkrati. V Španiji so se problema lotili kaotično. Vseh pametnih kartic (ne samo osebnih izkaznic) naj bi imeli 60 milijonov,

5 komentarjev

Ameriška vojska zbirala objave z družbenih omrežij in jih pustila dostopne

Slo-Tech - Chris Vickery, ki je na internetu odkril že številne baze podatke, za katerih javno dostopnost lastniki niso vedeli, je Amazonovih strežnikih AWS S3 našel tri ogromne podatkovne baze ameriške vojske. Sicer niso bile dostopne pri naključnem brskanju po spletu, so bile pa odprte, kar pomeni, da je za dostop zadostoval kakršenkoli brezplačen račun pri AWS.

Gre za več terabajtov velike baze zbranih objav z družbenih omrežij. Večinoma so napisane v angleščini, arabščini in perzijščini. Kot kaže, so jih zbirali med letom 2009 in avgustom 2017 v okviru programa Outpost. S tem programom ZDA nadzirajo dogajanje na družbenih omrežjih in poizkušajo tudi vplivati na javno mnenje, zlasti odvračati mladino od terorizma. Za nabiranje objav so očitno uporabljali iskalnik Elasticsearch ter ameriško vojaško orodje za podatkovno rudarjenje Coral...

23 komentarjev

Kako je Microsoft zakrpal program brez izvorne kode

Slo-Tech - Stari Equation Editor je eden najstarejših kosov programske opreme na večini računalnikov, ki poganjajo Microsoftov Office. Pregled datoteke EQNEDT32.EXE razkrije, da jo je Microsoft ustvaril leta 2000 in nazadnje popravil leta 2003. Program, ki ga je pred Microsoftovim prevzemom razvijal Design Science v letih 1990-2000, je kasneje zamenjalo povsem novo orodje za stavljenje enačb, a stari Equation Editor je ostal, da lahko odpiramo stare dokumente. In kot kaže, je Equation Editor tako zelo star, da je Microsoft založil (ali pa nima pravic, da bi popravljal) izvorno kodo.

V zadnjem paketu popravkov za Microsoftovo programsko opremo je tudi nova verzija Equation Editorja, ki pa jo je Microsoft popravil neposredno z urejanjem prevedene izvršljive (binary) datoteke, ugotavlja Mitja Kolšek iz 0patch Teama. To je precej neobičajen...

16 komentarjev

Estonske težave z e-osebnimi izkaznicami

Slo-Tech - Estonija se je pred skoraj dvema desetletjema odločila, da bo postala zgled e-države v Evropi, in tako leta 2002 uvedla osebne izkaznice s čipom, ki omogočajo uporabo e-storitev estonske državne uprave, bančno poslovanje itd. Kartice imajo dva para zasebnih in javnih ključev. Z enim je mogoče potrditi svojo istovetnost, z drugim je mogoče elektronsko podpisovati dokumente, ki imajo enako veljavo kakor ročno podpisani. Toda zaradi ranljivosti v certifikatih na karticah je Estonija...

12 komentarjev

Boston Dynamics pokazal nova robota

Slo-Tech - Vsako leto pogledamo, kako je napredoval razvoj robot v Boston Dynamics, in napredek je vsakokrat osupljiv. Googlova prodaja podjetja japonski Softbank ni imela negativnih učinkov na podjetje, katerega roboti so že zelo gibčni. Humanoidni robot Atlas zmore sonožno skočiti na manjše skrinje, poleg tega pa zna narediti salto nazaj. Čeprav robot ni podoben človeku, se giblje na zelo podoben način. Čeprav se ne zdi tako, je to velik dosežek, saj je pokončno gibanje po dveh okončinah zelo težaven problem. Očitno ga je Boston Dynamics že strl, saj so njegovi roboti lani hodili po gozdnatih tleh, letos so postali odporni na potiskanje, sedaj pa tudi že skačejo.

Vendar pa to še ne pomeni, da nas bodo roboti fizično nadvladali, pa čeprav...

23 komentarjev

Tesla obljublja električni tovornjak in dirkalnik

Slo-Tech - Tesla je na včerajšnji novinarski konferenci predstavila dve prihajajoči novosti: električni tovornjak Tesla Semi in pravcati dirkalnik Roadster. Električni tovornjak je obljubljen za leto 2019, sedaj pa ga lahko rezervirate ob plačilu 5000 dolarjev kavcije. Tovornjak naj bi imel domet 800 kilometrov z enim polnjenjem, največjo maso tovora 36 ton, pospešek do 100 kilometrov v petih sekundah, če bo prazen, in v 20 sekundah, če bo poln. Videz pa je futurističen, kot smo od Tesle že vajeni. Domet 800 kilometrov je že številka, ki bo omogočila realno uporabnost, če bo seveda držala tudi v praksi. Ob tem je treba dodati, da je na posebnih Teslinih polnilnicah moč baterije do 80 odstotkov napolniti v pol ure. Tesla pravi, da...

138 komentarjev

Nemčija prepovedala pametne ure za otroke

Slo-Tech - Nemška Zvezna agencija za omrežja (Bundesnetzagentur) je na seznam prepovedanih igrač uvrstila pametne ure za otroke z možnostjo prisluškovanja, ki so se v zadnjem času pojavile na trgu. Zakaj bi otroci, stari do 5 do 12 let, potrebovali pametne ure z internetno povezavo, ostaja uganka. A nekateri starši so jih svojim otrokom kupili, kar pa prinaša ogromna varnostna tveganja. Evropska potrošniška organizacija (BEUC) je že minuli mesec opozorila, da so te igrače neprimerne, ker imajo GPS in internetno povezljivost. Napadalec jih zlahka obvlada in prisluškuje dogajanju v bližini, spremlja podatke o lokaciji ali pa oddaja lažno lokacijo in staršem s tem prikrije dejansko lokacijo ure (in otroka).

Četudi so številni starši te pametne ure kupili, da bi bolje...

21 komentarjev

OnePlus 5T je tu

Levo: OnePlus 5T, desno: OnePlus 5

Slo-Tech - OnePlus je predstavil svoj najnovejši telefon višjega razreda, ki se letos imenuje OnePlus 5T in predstavlja naslednika OnePlus 5. Največja sprememba je že zunanji videz, saj je OnePlus 5T prenovil sprednjo stran in prinesel res tanke robove ob zaslonu. Čitalnik prstnega odtisa je po novem na zadnji strani, za navigacijo pa uporabljamo le še programske gumbe. Vse to je dandanes že precej standardno.

Zaslon po diagonali meri 6 palcev in zmore prikazovati ločljivost 2160 x 1080 v razmerju 18:9, kar prinese gostoto točk 401 ppi. Zaslon je AMOLED, torej Samsungov. Kljub pol palca daljši diagonali kakor v predhodniku telefon fizično ni večji. S sprednje strani so pač leteli fizični gumbi,...

46 komentarjev

Kaspersky zaključil preiskavo: tajne dokumente NSA smo takoj izbrisali

Slo-Tech - Rusko podjetje za računalniško varnost Kaspersky Lab je zaključilo interno preiskavo incidenta s tajnimi dokumenti ameriške NSA in izsledke objavilo na internetu. Končno poročilo večinoma sledi vmesnemu poročilu, ki so ga razkrili oktobra letos in zavrača trditve Wall Street Journala, da je Kaspersky Lab namenoma vdrl v računalnik uslužbenca NSA. Kaspersky Lab pojasnjuje, da je bil v incident vpleten prenosni računalnik okužen z različnimi virusi, na njem pa je bila tudi interna koda NSA. Prejete datoteke so v Moskvi takoj po identifikaciji pobrisali, zatrjujejo.

Incident se je dogajal med septembrom in novembrom 2014. Na osebnem računalniku, ki je imel IP-naslov, dodeljen Verizonu v Baltimoru blizu sedeža NSA, je tekel protivirusni...

34 komentarjev

Kako vdreti v Boeing 757

Slo-Tech - Letalski prevozniki zagotavljajo, da so razvedrilni sistemi (in-flight entertainment), tudi kadar so dostopni prek brezžičnega omrežja, ločeni od ostalih sistemov in prek njih ni mogoče vdreti v letalo. Čeprav smo v preteklosti že videli, da to ne drži povsem, obstajajo drugi, nevarnejši načini, prek katerih pa to gre. V ZDA so razkrili, da so raziskovalci Službe za domovinsko varnost že lani v praksi pokazali, kako je mogoče vdreti v parkiran Boeing 757, ne da bi imeli na letalu fizično prisotnost. Letalo so dobili 19. septembra 2016, dva dni pozneje pa je Robert Hickey uspešno vdrl v njega na daljavo. To so razkrili na konferenci CyberSat Summit, ki je te dni potekala v Virginiji.

Hickey, vodja letalskega programa pri Oddelku za računalniško varnost Direktorata za znanost in...

22 komentarjev