»

Nadgradnja onemogočila pametne ključavnice

Slo-Tech - Pametne ključavnice RemoteLock 6i podjetja LockState so minuli teden odpovedale poslušnost, ko je LockState izvedel oddaljeno nadgradnjo (OTA) in jim programsko opremo (firmware) prepisal z napačno. Zaradi pomote so ključavnicam RemoteLock 6i poslali firmware od modela RemoteLock 7i, kar se je seveda končalo slabo. Zapis napačne verzije firmware poznamo iz časov flashanja matičnih plošč in v novejšem času nadgrajevanja (oziroma odklepanja) pametnih telefonov, kjer je napačna verzija napravo spremenila v ličen obtežilnik za papir (bricked). Nekaj podobnega se je zgodilo tudi ključavnicam.

Ker so po napačni nadgradnji popolnoma odpovedale poslušnost, jih ni bilo mogoče na daljavo popraviti s pravo verzijo. V stanovanja so uporabniki...

60 komentarjev

ASCII-igra v naslovni vrstici brskalnika

Slashdot - Umetnost ASCII je svojevrstno mojstrstvo ustvarjanja umetnin iz znakov v osnovnem naboru znakov ASCII (95 natisljivih znakov od 128 kod). Tradicija obsega že skoraj zavidljivega pol stoletja in se je med tem razvila že do obstoja avtomatičnih generatorjev, ki nekoliko razvodenijo prvobitni čar tega početja. Kaj pa, če bi povezali več ASCII-sličic? Že nekaj let obstoji Vojna zvezd v ASCII. Kaj pa, če bi vse skupaj napravili interaktivno? Pa po možnosti še vgradili v naslovno vrstico brskalnika?

Na Slashdotu so našli prav tovrstno umetnino. Na spletni strani Probably Interactive lahko igrate pošteno oskubljeno verzijo Pac-Mana kar v naslovni vrstici brskalnika. Levo in desno se premikate z...

3 komentarji

Apple Game Center deli vaše pravo ime

Slo-Tech - Applov Game Center je v svoje pogoje uporabe vrinil spremembo, ki je vznejevoljila precej uporabnikov. Po novem namreč sistem razkrije uporabnikov vzdevek in pravo ime vsakokrat, ko ta pošlje zahtevo po prijateljstvu drugemu uporabniku. Ko ta zahtevo sprejme, tudi pobudniku prikaže pravo ime novega prijatelja. Ni še znano, ali je sprememba retroaktivna. Za zdaj imena v vseh ostalih obvestilih...

9 komentarjev

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino...

13 komentarjev

Ribarjenje vedno manj priljubljeno

vir: IBM
Heise - Ribarjenje (phishing) je nelegalna praksa, kjer se zlikovci v elektronskih sporočilih pretvarjajo, da pišejo v imenu banke ali kakšne druge finančne institucije in uporabnike poizkušajo prepričati v razkritje ali vpis svojih osebnih podatkov. Postavijo celo spletne strani, ki so na las podobne pravim stranem, s katerimi poskušajo naplahtati nevešče uporabnike. IBM-ovo poročilo kaže, da je ribarjenje v upadu. Tovrstnih sporočil je bilo med vsem spamom v prvih šestih mesecih letos le 0,1 odstotka, medtem ko je bil lani ta delež med 0,2 in 0,8.Tudi podatki za Nemčijo so podobni. Letos je le še 10 odstotkov vseh zlorab v primeru...

21 komentarjev

Spletni kriminalci niso le nedolžni najstniki

Gizmodo - V primeru, da imate o spletnih nepridipravih romantično predstavo kot o najstnikih, ki zgolj za zabavo ljudem povzročajo hude težave, se motite. Kriminal na spletu je očitno izjemno dobičkonosna dejavnost, o čemer pričajo tudi videoposnetki in fotografije, ki so jih posneli na zabavi, kjer so težki kalibri spletnih prevar proslavljali uspešno poslovno leto.

KLIK Team je skupina spletnih kriminalcev iz Rusije, ki piše programe za "zaščito pred vohunskim programjem" in je z zlonamerno programsko kodo okužila številne računalnike po svetu. Omenjene programe izdelujejo za "stranke", s katerimi imajo seveda svoje načrte. Denar kradejo tudi z lažnimi spletnimi trgovinami, prek katerih prejemajo nakazila - kupcem pa (jasno) ne pošljejo ničesar.



Gizmodo poroča, da so februarja v "podjetju" odpeljali 95 zaposlenih (!) v mondeno smučarsko letovišče v Črni gori (oktobra 2006 so se zabavali v Pragi), kjer so se razuzdano zabavali in priredili zabavo, na kateri so sodelujoči, poleg ostalih...

14 komentarjev

NLB tarča phishing-a

NLB - NLB opozarja svoje komitente, da naj bi bili tarča phishinga.

Lastnosti lažne vstopne strani:
  • V naslovni vrstici je naveden naslov https://klik.nlb.si, naslov SE NE RAZLIKUJE OD PRAVEGA.
  • Na ekranu brskalnika NI simbola zaklenjene ključavnice.
  • Na ekranu brskalnika NISTA zapisana ime in priimek uporabnika.
  • Pojavi se lahko več ekranov, ki omogočajo:
    - brskanje/iskanje kopije shranjene datoteke s kvalificiranim digitalnim potrdilom,
    - povezavo na stran z navodili za izvoz kvalificiranega digitalnega potrdila,
    - vnos gesla za kvalificirano digitalno potrdilo in gesla za vstop v NLB Klik.
Iz zaslonskih posnetkov lažne strani je možno razbrati, da je ranljiv tudi firefox. O tehničnih podrobnostih zaenkrat še molčijo. Je kdo od vas že bil žrtev tega napada, ali pa vsaj videl lažno vstopno stran?

119 komentarjev

Analiza MySpace gesel

Cyber Knowledge - Spletni negativci še vedno na veliko izkoriščajo naivnost povprečnih uporabnikov in od njih z različnimi tehnikami phishinga poskušajo pridobiti zaupne podatke. Običajno gre za podatke, ki jih je možno direktno izkoristiti v materialno škodo žrtve, kot so številke kreditnih kartic in gesla za vstop v sistem elektronskega bančništva, nekateri lopovi pa bi se radi zgolj pozabavali in zato zbirajo uporabniška podatke za prijavo na MySpace. Avtor bloga Cyber Knowledge je nedavno prejel zloben email, ki je hotel od njega natanko to, zato se je odločil, da stvar podrobneje razišče. Sistemu je podal naključne podatke, tako da se je dokopal do lažne strani, nato pa je z dostopom do (nezaščitenega) root direktorija pridobil datoteko z gesli približno 10.000 naivnežev, ki so nasedli prevari. Na najdenih podatkih je izvedel krajšo raziskavo o različnih atributih gesel in prišel do zanimivih zaključkov.

3 komentarji

Satelitski posnetki tsunamija

Slashdot - Na DigitalGlobe so objavili serijo satelitskih slik, ki prikazujejo področja, ki jih je prizadel uničujoč tsunami pred vdorom vode in po njem.

Na Wikipediji pa so pripravili animirano sliko tsunamija, ki prikazuje širjenje morskih valov.

Morda ob številnih novoletnih zapravljanjih ne bi bilo odveč nakazati kakšnega tolarja tudi za žrtve tega dogodka. V Sloveniji pomoč zbirata tako Karitas kot Rdeči križ, tehnično usmerjeno bralstvo Slo-Techa pa se lahko posluži tudi humanitarnega nakazila s pomočjo SMS sporočila. Kako zadevo izvesti verjetno že veste, sicer pa si preberite na Mobitelovi domači strani.

17 komentarjev

Klik.nlb shekan?

Mladina - Mladina je danes objavila pogovor z Robertom Škuljem, ki je napisal trojanskega konja za vdiranje v bančne račune uporabnikov KLIKa. Omenjeni osebek, ki se trenutno nahaja v predkazenskem postopku zaradi izslijevanja in hekanja in ga je policija že aretirala, zaslišala in izpustila, naj bi omenjeni "virus" in zdravilo zanj skušal prodati Ljubljanski banki za, reci in piši, debelega pol milijončka EUR.

Novinarjem revije Monitor je tudi demonstriral in razložil uporabo programa. Za kaj gre? Ne gre za to, da bi bila zaščita Klika slaba, pač pa zato, da je heker preprosto pogledal izven konceptov sedanje računalniške varnosti. Spremenil perspektivo, bi lahko rekli - in zaščito preprosto zaobšel.

Podrobnosti o programu sicer niso objavljene, vendar sem se s podobno idejo pred časom ukvarjal tudi sam in ugotovil, da obstaja nekaj zanimivih tehnologij. Naprimer firewall, ki zna ugotoviti, na kateri strežnik je MSIE povezan, funkcije za pisanje po zaslonu, keyloggerji, ki shranjujejo...

88 komentarjev

Lažna Microsoftova stran

CNN - Microsoft je postal žrtev potegavščine, ko se je preko interneta in e-maila razširila novica o "How to" inštrukcijah na "njihovih" straneh.
Spletna stran z naslovom "HOWTO: Read the Fucking Manual" ima enako obliko kot Microsoftove informacijske strani; pri tem pa seveda malo drugačno vsebino...:) Pri podrobnejšem pregledu pa vidimo, da je stran iz druge domene.
Microsoft še raziskuje vire strani, ker lahko ljudje, ki dobijo ta link, napačno mislijo, da gre za dejanske strani od Microsofta. Ni pa še jasno, ali je avtor teh lažnih strani prekršil kakšna zakonska pravila.

Več o tem si lahko preberete na tej strani, ali pa pogledate v forum, kjer tudi teče debata o tej zadevci.

1 komentar