»

Kalifornija je prepovedala šibka gesla

The Register - Omrežne naprave, ki bodo po letu 2020 naprodaj v ameriški zvezni državi Kaliforniji, ne bodo več smele imeti prednastavljenih preprostih gesel, kot sta denimo vsem znani admin ali password. Zvezna država je namreč te dni sprejela Zakon o informacijski zasebnosti za povezane naprave, ki proizvajalce zavezuje, da pri njih poskrbijo za razumno raven varnosti.

Kar se tiče gesel, to pomeni, da bodo proizvajalci morali poskrbeti za unikatno geslo na vsaki napravi ali pa za ustrezno začetno proceduro, ki bo v to prisilila uporabnika. Zakon govori tudi o možnosti odškodnine za uporabnike, ki bi zaradi malomarnosti ponudnika naprave utrpeli kakšno škodo.

Zakon je posledica številnih uspešnih vdorov v sisteme v zadnjih...

39 komentarjev

Kalifornija sprejela svoj GDPR

Vir: Pixabay

Slo-Tech - Čeprav smo Evropejci z uveljavitvijo Splošne uredbe v varstvu podatkov (GDPR) pred časom izpadli nekoliko zategnjeni, je duh očitno ušel iz steklenice in tozadevna ozaveščenost se očitno širi tudi onkraj Atlantika.

Kalifornijski guverner Jerry Brown je v četrtek namreč podpisal California Consumer Privacy Act of 2018, ki sta ga le nekaj ur pred tem soglasno sprejela oba predstavniška domova v Sacramentu. Zvezna država, s 40 milijoni prebivalcev, znana po soncu, plažah in Holywoodu, je tako postala prva entiteta ZDA, ki je na ta način zaščitila svoje prebivalce. Bolj nerodno je, da je...

7 komentarjev

Založniki pornografskih vsebin tožijo pirate

VCX toži pirate zaradi kopiranja klasike Debbie Does Dallas

Slo-Tech - Običajno se nad uporabnike interneta, ki s spleta pretakajo zaščiteno avtorsko vsebino, spravijo založniki glasbenih ali filmskih vsebin oziroma njihovi cehovski organizaciji RIAA in MPAA. To pot pa so več sto za zdaj anonimnih uporabnikov, katerih IP-naslove poznajo, zaradi kopiranja avtorsko zaščitenih vsebin prek omrežja Torrent na illinoiškem okrožnem sodišču tožili Hard Drive Prods, Lightspeed Media in Millenium TGA, ki so...

7 komentarjev

Posredovanje podatkov o finančnih transakcijah v ZDA je bilo nezakonito

Informacijski pooblaščenec - Julija 2006 je prišlo na dan, da je mednarodni finančni sporočilni sistem SWIFT na zahtevo ZDA po 11. septembru 2001 ameriškim preiskovalnim organom in tajnim službam omogočil dostop do informacij o finančnih transakcijah preko sistema SWIFT. Zaradi suma, da je bilo takšno posredovanje podatkov nezakonito, je zadevo pod drobnogled vzela Delovna skupina za področje varstva osebnih podatkov EU, znana tudi kot Article 29.

Izkazalo se je, da SWIFT podatke o finančnih transakcijah (vljučno z imenom plačnika in prejemnika sredstev) shranjuje 124 dni in sicer v na strežnikih v EU ter v ZDA (tim. zrcalni strežniki), podatke pa so ameriškim vladnim organom dejansko posredovali in to brez ustrezne pravne podlage.

Delovna skupina Article 29 je ugotovila, da je bilo takšno posredovanje nezakonito in sprejela stališče, da morajo temeljne pravice, kamor se šteje tudi varstvo osebnih podatkov, ostati zagotovljene tudi v boju zoper terorizem in kriminal. Delovna skupina Article 29 je združenje...

16 komentarjev

Zakaj v Kaliforniji ni bil sprejet zakon, ki bi prepovedal pretvarjanje?

Schneier.com - Bruce Schneier na svojem blogu poroča, da so v Kaliforniji skušali sprejeti zakon, ki bi prepovedal pretvarjanje oziroma "uporabo napačnih, izmišljenih ali goljufivih izjav ali prikazov" s katerimi bi od posameznika pridobili osebne podatke, vključno s podatki o telefonskih klicih in finančnih transakcijah. Žrtve takih dejanj bi po zakonu imele pravico tožiti.

A zakon ni bil sprejet. Razlog? Nasprotovanje MPAA, ki tehniko pretvarjanja potrebuje za zaustavitev nelegalega kopiranja avtorsko zaščitenih vsebin.

Schneier v svojem blogu zaključuje, da MPAA čedalje bolj izgleda kot navadna kriminalna združba.

21 komentarjev

Začetek preiskušanja modela napovedovanja umorov

Schneier.com - Kriminolog Richard Berk iz University of Pennsylvania je s pomočjo podatkov o pogojno izpuščenih zapornikih filadelfijskega oddelka za pogojne izpuste skontruiral model, ki bo skušal odgovoriti na vprašanje, kdo izmed zapornikov bo po odsluženi kazni (ponovno) ubijal.

Računalniški model napovedovanja umorov, ki za osnovo vzame 30 do 40 različnih statističnih spremenljivk, so raziskovalci skonstruirali s pomočjo podatkov iz dvoletne študije. Raziskovalci sicer opozarjajo na problem stopnje lažno pozitivnih rezultatov, kljub temu, pa bodo model pričeli "klinično preiskušati" v začetku prihodnje pomladi, saj začetna testiranja kažejo, da je sistem 40-krat točnejši od obstoječih modelov.

Minority Report, 2002?

31 komentarjev

Varnost tiskalnikov

Schneier.com - Bruce Schneier na svojem blogu piše o varnosti tiskalnikov. Na BlackHat konferenci v Las Vegasu je bilo namreč eno izmed predavanj posvečeno tudi varnosti tiskalnikov.

Sodobni tiskalniki so namreč v vseh pogledih čedalje bolj podobni računalnikom. Nekateri imajo trde diske, kjer se lahko shranjujejo kopije natisnjenih dokumentov (in te kopije je mogoče kasneje rekonstruirati), na njih tečejo prilagojeni Windows ali Linux operacijski sistemi, spletni strežniki in drugi omrežni servisi. In seveda - tiskalniki so lahko tudi varnostno ranljivi.

Schneier in Brendan O'Connor, ki je na Black Hat-u predaval o varnosti tiskalnikov zato predlagata, da na tiskalnike začnemo gledati kot na strežnike in delovne postaje - predvsem iz varnostnega vidika.

V nasprotnem primeru se lahko zgodi, da bodo naši tiskalniki postali distribucijski centri nelegalnih vsebin, ali pa se bodo kopije naših dokumentov znašle v nepravih rokah. Lahko pa se nam zgodi še kakšna neokusna šala, podobna tisti, ki...

18 komentarjev

Previdnost pri "najdenih" USB ključkih ni odveč

Slo-Tech - Na DarkReading so spisali članek o preverjanju varnosti v podjetju (tim. penetration test) s pomočjo podtaknjenih USB ključkov.

V okolici podjetja so podtaknili 20 USB ključkov, od tega so jih 15 našli zaposleni - in vseh 15 so takoj priključili v svoje službene računalnike. Ker pa so imeli na računalnikih vključen tim. AutoRun, in ker periferne naprave lahko uporabljajo DMA (direct memory access - to je posledica napake v zasnovi USB-ja) na gostiteljskem sistemu, so na ta način zagnali podtaknjen zlonamerni program, ki je zbral gesla in podatke o računalnikih ter vse to poslal na napadalčev elektronski naslov. Tveganje za napadalca je s tem minimalno, uspeh p aočitno skoraj povsem zagotovljen.

Schneier na svojem blogu opisuje podoben napad, ki pred tem že opisan v 2600 Magazinu, ko napadalec zaprosi žrtev, če lahko na njen računalnik priključi svojega iPoda, da bi ga napolnil, ter tako ukrade njegova gesla in datoteke.

Rešitev je onemogočenje samodejnega zagona CD/DVD-jev in...

21 komentarjev

Nintendov Wii ne razume oznake "off"

Schneier.com - Bruce Schneier v svojem blogu piše, da lahko Nintendova nova igralna konzola Wii sodeč po specifikacijah komunicira z internetom, tudi ko je izključena. Nintendo je navedbe potrdil z besedami, da nov servis WiiConnect24 omogoča prenos novih presenečenj ali popravkov iger, tudi če uporabnik konzole ne uporablja. Vendarle pa zanikajo, da bi lahko Nintendo igro na daljavo deaktiviral, če bi se tako odločili.

Zanimivo je, pravi Schneier, da je Nintendo dal nov pomen besedi off, ki je bila doslej sinonim za izključeno. Očitno odslej pomeni le on standby, torej v pripravljenosti. Če želite Wii dokončno izklopiti, uporabite staro in preverjeno metodo - iz vtičnice izvlecite kabel.

18 komentarjev

SHA-1 razbit

Slashdot - Bruce Schneier v svojem blogu poroča, da naj bi kitajski raziskovalci Xiaoyun Wang, Yiqun Lisa Yin in Hongbo Yu uspeli najti kolizijo v SHA-1 funkciji.

To pomeni, da so raziskovalci našli dve različni sporočili, za kateri algoritem SHA-1 vrne isto vrednost, njihova metoda iskanja pa je veliko hitrejša kot metoda grobe sile, ki temelji na preiskušanju vseh možnih kombinacij.

To v praksi pomeni, da je mogoče npr. neko potrdilo banke tako prirediti, da bo izračun digitalnega podpisa pokazal, kot da je potrdilo poslala banka, čeprav bo le-to v resnici pa bo ponarejeno. Z drugimi besedami - razbitje SHA-1 je pomemben korak na poti k možnosti ponarejanja digitalnih podpisov.

21 komentarjev

Saj ne more biti res..

The Register - Če boste v prihodnje potovali v Grčijo in imeli s sabo svoj prenosnik, boste lahko naleteli na težave. Najprej sicer na letalu, kjer bo vaša nova pridobitev morala varčevati z elektriko (beri par novic spodaj), potem pa še v Grčiji sami.

Namreč, grožnje so postale resničnost in sedaj je uradno, da so Grki prepovedali uporabo elektronskih iger. Nič več lan-partyev, igranja doma, kaj šele na javnih mestih. Kazni so nenormalno visoke, saj znašajo tudi do 10.000 evrov, kar je neumnost.

In kaj so povedali v zagovor predlagatelji tega zakona, ki bi sicer bolj sodil na Dumblaws.com ? Že prej sprejeti zakon je prepovedal internetno igranje na srečo, in ker so vse igre zlo, so se odločili prepovedati tudi te. Poudarjajo, da zato, ker uradniki ne morejo ločiti med "nevarnimi" in "varnimi" igrami. To, da bodo le-ti igrali na veliko še naprej, vam je verjetno jasno.

Nekaj več o pretapanju sence grških kozlov pa tukaj.

Add-on later on: Pojavil se je dvom glede te novice, ki je, priznam, res...

9 komentarjev