Washington Times - Kot poročajo na Washington Timesu naj bi eden izmed višjih uradnikov ameriškega ministrstva za domovinsko varnost izrazil veliko zanimanje v tim. varnostni zapestnici, ji jo razvija kanadsko podjetje Lamperd Less Lethal Inc.

Gre za posebno zapestnico, ki naj bi jo ob vkrcanju na letalo dobili vsi potniki. Zapestnica bo nadomestila letalsko vozovnico, vsebovala osebne podatke o potniku, z njo bo mogoče spremljati prtljago potnika in najpomembnejše - v primeru terorističnega napada jo bo letalsko osebje lahko aktiviralo in z elektroškom onesposobilo domnevnega napadalca. Podjetje je pripravilo tudi promocijski video.

Kot kaže nekateri še niso pozabili Stalinovih metod "zagotavljanja" nacionalne varnosti. Poleg tega pa se zna zgoditi, da bodo hekerji hitro ugotovili, kako je mogoče elektrošok aktivirati nepooblaščeno...

Ars Technica - Kot poroča Ars Technica, je imela na nedavni konferenci SyScan Conference, direktorica podjetja Immunity, Justine Aitel predstavitev z naslovom "The IPO of the 0day".

V predstavitvi je predstavila nekaj zanimivih statistik o tim. 0-day izrabah varnostnih ranljivosti, ki so objavljene na internetu. Izkazalo se je namreč, da od objave 0-day izrabe varnostne ranljivosti do izdaje popravka zanj v povprečju mine 348 dni. Najdaljši odzivni čas je bil po njegovih ugotovitvah 1080 dni (več kot tri leta), najhitrejši pa 99 dni.

Aitelova tudi ugotavlja, da se 0-day izrabe varnostne ranljivosti čedalje bolj usmerjajo v finančni sektor, podjetjem pa priporoča, da zaposlijo ali najamejo hekerje, ki se bodo ukvarjali z varnostjo njihovih sistemov.

Morda pa bi podjetja kakšno izrabo varnostne ranljivosti lahko tudi odkupila?

Schneier.com - Ameriški študent Christopher Soghoian je na svoji spletni strani objavil The Northwest Airlines Boarding Pass Generator. Gre za spletno stran, ki zgenerira kontrolni kupon za vstop na letalo (boarding pass), s pomočjo katerega se potnik lahko izogne obsežnejšemu varnostnemu preverjanju. Da, celo zloglasnemu seznamu nezaželjenih letalskih potnikov (tim. no-fly list).

Podobno varnostno ranljivost v letalskem prometu so lansko leto odkrili pri Slate magazine.

Toliko o visokotehnološki varnosti v letalskem prometu...

Schneier.com - Pred približno mesecem dni so na Dark Reading objavili članek o varnostnih ranljivostih, odkritih v različnih aplikacijah. Na prvem mestu je z 21,5% Cross Site Scripting (XSS exploit), sledi možnost SQL vrivanja (SQL injection) ki so ga našli v 14% aplikacij, na tretjem mestu so PHP vrivanja (9,5%), sledijo pa prekoračitve pomnilnika (buffer overflow s 7,9%.

To so seveda varnostne ranljivosti, ki so jih odkrili v aplikacijah. Michael Sutton pa si je zastavil vprašanje, koliko teh ranljivosti je dejansko mogoče najti v resničnem svetu. Osredotočil se je na SQL vrivanje in analiziral spletne strani. S pomočjo Googla je izbral 1000 spletnih strani, ki uporabljajo SQL in poiskusil izvesti nedolžno SQL vrivanje. V primeru, da je spletna stran vrnila napako, je Sutton ugotovil, da je spletna stran ranljiva, sicer pa ni.

In rezultat? Izkaže se, da je s SQL vrivanjem trenutno ranljivih kar 11,3% spletnih strani, ki uporabljajo SQL baze podatkov.

'Hekerjem' dela torej še ne bo...

Slo-Tech - Schneier, Bruce. 2003. Beyond Fear. New York: Copernicus Books.

Bruce Schneier, se sicer ukvarja z računalniško varnostjo in kriptografijo, vendar pa v knjigi Beyond Fear govori predvsem o varnosti na splošno. Osnovni principi varnosti varnosti se namreč ne razlikujejo, pa naj gre za informacijsko varnost, fizično varnost ali varnost pred terorizmom.

Na začetku knjige Schneier razloži nekaj osnovnih konceptov, predvsem to, da je varnost stvar tehtanja ("security is a trade-off"), v nadaljevanju pa se ukvarja z osnovnimi principi napada ter varovanja. Z številnimi primeri pokaže da popolnoma učinkoviti protiukrepi ne obstajajo in da posledično tudi popolne varnosti ni. Prav tako pokaže tudi da sam nakup varnostne tehnologije ni zadosten ukrep za povečevanje varnosti in da enako velja tudi za panično zaostrovanje varnostnih ukrepov. Ne preseneča, da se ravno zato Schneier v knjigi dotakne tudi ukrepov za povečevanje varnosti v letalskem prometu in protiterorističnih ukrepov v ZDA...

Crypto-Gram - Coca Cola se je odločila za novo nagradno igro. V sto pločevink svoje pijače so skrili mobilni telefon, SIM-kartico, GPS in mikrofon. Z odprtjem pločevinke se naprava aktivira in preko GPS-oddajnika sporoči lokacijo zmagovalca, ki mu potem dostavijo nagrado.

Vendar pa ugotavljanje lokacije in mikrofon lahko predstavljata resno grožnjo zasebnosti oziroma varnosti. Zato so se v ameriški National Security Agency odločili, da bodo vsako pločevinko Coca-Cole, ki pride v njihovo stavbo, rentgensko pregledali, kar po mnenju Bruca Schneierja sicer meji na histerijo.

Ker pa rentgenski posnetki takšnih pločevink izgledajo, kot da je v njih skrita doma izdelana bomba, je seveda na mestu vprašanje, ali je za potnike v letalskem prometu varno, da neodprto pločevninko vzamejo na letalo, kajti v primeru prehoda čez rentgenski detektor jih letališka varnostna služba kljub konzumiranju ameriške nacionalne pijače utegne obtožiti terorizma.

In kdaj bodo konkurenčna podjetja pričela prodajati...

Crypto-Gram - Majska številka spletne revije Alibi.com piše, kako v Kanadi preverejajo varnost na letališčih.

Uslužbenci letalske varnostne službe so namreč želeli preveriti ali bodo letališko osebje in psi zaznali, da hoče nekdo na letalo pretihotapiti razstrelivo. Zato so skozi letališko kontrolo poslali svojega agenta s kovčkom polnim razstreliva TNT.

Vendar pa je prišlo do napake. Razstrelivo so skrili v napačen kovček (nekega povsem nedolžnega letalskega potnika), da pa bi bila ironija še večja, so za razstrelivom izgubili vsakršno sled.
Potnik se je brez težav vkrcal na letalo in neovirano prispel na cilj. Ko je v svoji prtljagi našel poln lonček razstreliva, pa je poklical policijo in zgodba se je pričela razpletati.

Reuters -

Letalski potniki bodo kmalu dobili možnost surfanja po internetu in pošiljanja e-sporočil kar med samim poletom -- vsaj na Boeingovih letalih. Odgovorni zatrjujejo, da bo to ugodnost omogočila nova Wi-Fi tehnologija, a zadeva za komercialno uporabo še ni dovolj dodelana, saj prihaja do pogostih motenj in prekinitev dostopa do interneta med letom.

Preizkus, ki so ga izvedli prejšnji teden med devetdesetminutnim letom nad Golden Gate mostom in nacionalnim parkom Yellowstone, je to dobro prikazal. Internet je bil na sodobno opremljenem Boeingu 737 dostopen manj kot pol ure. Kakorkoli že, zadeva se kljub manjšim porodnim težavam očitno dobro prijemlje, saj vsi večji letalski prevozniki (United Airlines, American Airlines, Delta Air Lines) načrtujejo njeno uporabo v potniškem prometu. Razveseljive se tudi hitrosti, napovedane za prihodnje leto -- 20/1 megabit (dol/gor). Takisto ni pretirana cena; gibala se bo med 25 in 35 dolarji na polet za posameznika. Več informacij....