Slo-Tech novice

Kraja podatkov prek diskovne LED

Slo-Tech - Raziskovalci z Univerze Ben Gurion so pokazali novo metodo za krajo podatkov z računalnika, ki ni nikamor priključen. Pripraven medij za komunikacijo je svetleča dioda (LED) za disk, ki lahko utripne do 5800-krat na sekundo. Če to povežemo s tipičnimi kamerami, lahko podatke prenašamo s hitrostjo 4 kb/s, kar se ne sliši veliko, a je dovolj, da v nekaj sekundah prenesemo šifrirni ključ ipd.

Ta raziskovalna skupina nas je v preteklosti že podučila o različnih metodah, kako lahko komuniciramo z računalniki, ki niso nikamor priključeni (air-gapped). Kot je pokazal že Stuxnet, odsotnost povezave ni garant za varnost. Če uspemo tak računalnik okužiti, kar se zgodi tudi brez povezave - navsezadnje je treba vsak sistem kdaj posodobiti oziroma vanj kar priključiti - smo glavni del posla že opravili. Potem lahko čakamo, da se vanj spet prinese kak USB-ključ, kot je to storil Stuxnet, ali pa uporabimo kakšno bolj eksotično metodo za komunikacijo. Uporabimo lahko toploto, ropot diskov, hitrost vrtenja ventilatorja itn.

Uporaba LED ima nekaj prednosti pred ostalimi metodami. Predvsem je zelo neopazna, saj lučke tako ali tako ves čas mežikajo, četudi računalnik nič ne počne. Poleg tega jo je mogoče vklapljati in izklapljati tako hitro, da človeško oko tega sploh ne vidi. Za povrhu pa je to eden najbolj daljnosežnih načinov komunikacije. Podatke lahko lovimo tudi izven prostora, vse dokler imamo LEDico v vidnem polju. V zadnjem času so moderni letalniki, ki ga lahko parkiramo pred okno sobe z računalnikom, ki ga napadamo. Z ropotom diskov in toploto je treba priti precej bliže. K sreči je zaščita pred takim napadom trivialna - pokrijmo diode, kakor smo začeli pokrivati spletne kamere na prenosnikih.

21 komentarjev

Zaradi hrošča iz Cloudflara več mesecev curljalo

Slo-Tech - V kodi, ki jo uporablja ponudnik spletnih storitev Cloudflare, so odkrili zahrbtnega hrošča, zaradi katerega so od septembra do minulega konca tedna v internet počasi curljali občutljivi podatki. Napako je slučajno odkril Googlov inženir, ki je po odkritju stopil v stik s Cloudflarom. Ta je hitro sestavil dve ekipi inženirjev, eno v Londonu in drugo v San Franciscu, ki sta izmenjaje delali in napako popravili. Po do sedaj zbranih podatkih nepridipravi hrošča niso izkoriščali, ker ga niso poznali.

Tavis Ormandy iz Googlovega programa Project Zero je pri svojem delu naletel na nenavadne odzive, ki so jih Cloudflarovi strežniki vračali kot odgovore na HTTP-zahtevke. Napaka je bila najverjetneje prisotna od 26. septembra, najpogosteje pa...

6 komentarjev

Vzorca kovinskega vodika ni več

ScienceAlert - Pred mesecem dni je bila vroča novica, da naj bi na Harvardu uspeli pripraviti kovinski vodik. Novica je požela veliko zanimanja, ker gre za že leta 1935 napovedano obliko vodika, ki se nam je vse odtlej izmikala, in zlasti tudi ker številni strokovnjaki navedbam niso verjeli. Avtorja si s hitro objavo, še preden bi izvedla vse potrebne poizkuse za karakterizacijo, nista naredila usluge. Izmerila sta tlak, nista pa na primer preverila agregatnega stanja vzorca in njegove električne prevodnosti. To bo sledilo kasneje, sta dejala, najprej je bilo bistveno objaviti članek.

Kot kaže, bomo morali na kakršnekoli teste še zelo dolgo čakati, ker vzorca kovinskega vodika ni več. Hranili so ga pri temperaturi blizu...

12 komentarjev

Goljufico izdala Garminova ura

Slo-Tech - Znana newyorška blogerka o prehrani Jane Seo je v nedeljo pretekla polmaraton v Fort Lauderdalu v osupljivem času 1:21:46 in osvojila drugo mesto. Zgodba je zanimiva zato, ker Jane Seo ni pretekla celotne polmaratonske razdalje, razkrinkali pa so jo na podlagi podatkov z Garminove pametne ure, ki jo je imela na roki, in jih je objavila na spletu.

Že iz vmesnega časa je bilo jasno, da je nekaj hudo sumljivo, saj je prvih 10 kilometrov pretekla v 44:22, torej je znašal njen tempo 4:26 na kilometer, v drugi polovici polmaratona pa 3:22 na kilometer. Takšna razlika, zlasti če je drugi del hitrejši od prvega, ni običajna. A Jane Seo je ob prihodu v cilju zagovarjala na svoj čas in tudi dobila pokal...

22 komentarjev

Izračunana uspešna kolizija nad SHA-1

Slo-Tech - Zgostitveni algoritmi danes tvorijo osnovo varnosti na internetu. Uporabljajo se za zaščito gesel (hramba v obliki kontrolne vsote), kot pseudonaključni generator števil, pri generiranju naključnih imen datotek, za preverjanje integritete pri prenosu datotek (npr. v P2P omrežjih), za preverjanje integritete arhivskih datotek (tim. checksum), pri implementaciji digitalnega podpisa, časovnega žigosanja, overovitvi digitalnih potrdil, za digitalno podpisovanje datotek, gonilnikov ter seveda pri digitalni forenziki. Iz vsega tega je jasno, da morajo biti algoritmi za izračun kontrolnih vsot karseda varni.

To ne velja več za algoritem SHA-1.

Skupina raziskovalcev iz CWI Amsterdam in Google Research je namreč te dni objavila rezultate svoje raziskave, ki je pokazala, da...

15 komentarjev

Tudi UPS preizkuša dostavo paketov z letalniki

TechCrunch - UPS je naslednji dostavni velikan, ki je začel preizkušati dostavo paketov z letalniki, podobno kot so to storili v švicarski pošti, francoski pošti in DHL. Pravzaprav je UPS letalnike preizkušal že v preteklosti, to pot pa so projekt še nadgradili. Združili so namreč dostavno vozilo in letalnik.

Glavni problem letalnikov je sorazmerno kratka avtonomija, saj zaradi omejene zmogljivosti baterij in njihove teže v zraku težko prebijejo več kot kakšne pol ure, kar resno vpliva na njihov domet. Če jih torej želimo uporabljati, moramo torej skladišče paketov imeti sorazmerno blizu končnega cilja. Druga možnost je pakete na klasičen način, torej po cesti, pripeljati blizu več naslovov za...

27 komentarjev

Microsoft poleg aprilske potrdil še drugo letošnjo nadgradnjo Windows 10

Slo-Tech - Microsoft je na Ignite Australia potrdil, da drugo letošnjo nadgradnjo Windows dobimo še letos. Prva letošnja večja nadgradnja bo Windows 10 Creators Update, ki bo prispela aprila, pred iztekom leta pa bo sledila še ena. Spomnimo, da smo prvo nadgradnjo (November Update) dobili že novembra 2015, aktualno (Anniversary Update) pa avgusta lani. Windows 10 je izšel julija 2015.

O naslednji nadgradnji, kodno poimenovani Redstone 3, se je govorilo že dlje časa, sedaj pa so jo v Redmondu uradno potrdili. Ni še čisto jasno, kdaj bo izšla, bo pa to verjetno jeseni. Prav tako Microsoft še ni razkril imena. Vse to kaže, da bo Microsoft sočasno podpiral dve verziji, tako sta trenutno podprti November in Anniversary Update, bo tudi v prihodnje; uporabniki bodo imeli možnost...

17 komentarjev

AMD predstavil procesorje Ryzen

Slo-Tech - Čakanja je skoraj konec, skrivnosti ni več, AMD pa je nazaj v igri. V San Franciscu je AMD danes razkril prve predstavnike družine Ryzen, s katero bo Intelu vendarle nekoliko premešal štrene. Prednaročila so že začeli pobirati, prodaja pa se prične prihodnji četrtek (2. marca). Vsi trije predstavljeni novinci imajo po osem AMD-jevih novih jeder Zen in so odklenjeni, tako da si jih lahko navijemo. To ni presenetljivo, saj po IPC (instructions per clock) za odtenek zaostajajo za Intelovimi procesorji, a to nadoknadijo drugače.

Najboljši in najdražji je R7 1800X, s katerim AMD neposredno konkurira Intelovemu i7-6900K. Za 500 dolarjev dobimo čip, ki ima osem jeder z...

58 komentarjev