Slo-Tech - Danes je v večjem delu Rusije, vključno z Moskvo in Sankt Peterburgom, za nekaj ur prenehal delovati internetni promet do strani na domenah .ru in .рф. Nedostopne so bile tudi najbolj priljubljene strani in storitve, kot so iskalnik Yandex, družbeno omrežje VKontakte, spletna trgovina Ozon in bančne aplikacije (Sberbank PJSC in VTB Group). Nedostopne so bile tudi za obiskovalce iz tujine. Nekaj ur pozneje je rusko ministrstvo za digitalni razvoj sporočilo, da je vzrok napake odpravljen.

Napako je povzročila napaka v konfiguraciji DNSSEC za domene .ru, kar je vplivalo na večino ponudnikov dostopa do interneta, denimo MTS in MegaFon. DNSSEC je storitev za zagotavljanje pristnosti odgovorov DNS, saj onemogoča ponarejanja vira prometa kot naslova IP. Kaj točno je šlo narobe, rusko ministrstvo ne razkriva. Nekateri mediji špekulirajo, da se je zalomilo pri poizkusih vzpostavitve nacionalnega sistema DNS, ki bi bil neodvisen od mednarodnega interneta.

TorrentFreak - Ameriški ministrstvi za pravosodje in domovinsko varnost sta v skupni akciji "rešimo naše otroke" prejšnji teden zasegli 10 domen, na katerih naj bi se oglaševalo in distribuiralo otroško pornografijo (glej izjavo za medije). Do sem vsekakor vse lepo in prav, potem pa se je izkazalo, da je ena od spornih domen gostovala pri mooo.com ponudnika FreeDNS, ki uporabnikom brez stalnega IP-ja ponuja dinamični DNS in poddomene. Uradniki so našli eno sporno spletno stran x.mooo.com, zaplenili pa so kar celoten mooo.com, tj. vseh 84 tisoč strani, ki so tam gostovale. Gre večinoma za osebne spletne strani in manjše projekte, kot so bili včasih popularni na Geocities in podobnih gostiščih.

...

PC Magazine - Intel je potrdil, da je ta teden objavljeni glavni ključ za HDCP pristen. To je po dveh dneh preiskave objavil njihov tiskovni predstavnik Tom Waldrop, ki je dodal, da so objavljeni ključ preizkusili in da je z njim resnično moč generirati veljavne ključe za izdelke. To pomeni, da je odslej moč neomejeno kopirati vse diske Blu-Ray, ki so zaščiteni s HDCP-jem. Intel predpostavlja, da bodo hekerji vedno izdelali svoje računalniške čipe, ki bodo imeli vgrajen glavni ključ, medtem ko je programski dekodirnik manj verjeten.

Slo-Tech - Na spletni strani pastebin.com je objavljena 40 x 40 matrika 56-bitnih šestnajstiških števil, ki naj bi predstavljala glavni ključ (master key) Intelovega sistema HDCP. Če to drži, potem je HDCP razbit in bo možno generirati poljubno število zasebnih ključev ter tako prisluškovati domnevno varni komunikaciji med virom in ponorom večpredstavnostne vsebine, s čimer bo mogoče zaščiteno vsebino kopirati v polni kakovosti.

Intel je HDCP razvil z namenom preprečitve kopiranja digitalnih video in avdiovsebin, ki potujejo prek povezav DisplayPort, DVI, HDMI, GVIF in UDI. Vsaka naprava, ki želi sprejemati omenjeno komunikacijo, ima svoj par ključev. Zasebni ključ uporabi za dešifriranje podatkovnega toka, ki ga v šifrirani obliki pošilja vir. Na ta način je preprečeno prisluškovanje komunikaciji in kopiranje, saj jo le licencirane naprave lahko dešifrirajo. Razkritje ključev je kršitev licenčne pogodbe, poleg tega pa Intel v takem primeru omenjene zasebne ključe prekliče. Zato so ti ključi...

Slo-Tech - Nov sistem DNSSEC (angl. domain name system security extensions), ki za razliko od DURZ-a (angl. deliberately unvalidatable root zone) onemogoča ponarejanje domenskih zapisov in omogoča bolj varno brskanje po spletu (v smislu, da smo prepričani, da je DNS zapis strani res pravi), je poleg varnosti prinesel tudi povsem realno, a malo verjetno nevarnost, da se vse skupaj razsuje, če bi izgubili korenski ključ (angl. root key). Ta je shranjen na dveh lokacijah - v Kaliforniji in v Virginiji. Če bi se zgodila katastrofa in bi bili obe visoko zaščiteni in zastraženi kopiji izgubljeni, bi izgubili DNSSEC. Da se to nikakor ne more zgoditi, skrbi sedem posameznikov, ki imajo dele ključa na različnih lokacijah po svetu, s katerimi je tudi ob...

Slo-Tech - Letošnja varnostna konferenca Black Hat USA+2010 v Las Vegasu je največja doslej: več kot 4000 obiskovalcev lahko izbira med 11 sočasnimi sekcijami. Prvi dan smo lahko videli nekaj zanimivih prispevkov.

Raziskovalec Dan Kaminsky, sicer znan po odkritju zelo učinkovitega napada z zastrupljanjem predpomnilnika DNS iz leta 2008, je tokrat v duhu nedavnega podpisa korenskih območij (root zones) predstavil svojo vizijo varnejšega interneta - Domain Key Infrastructure. Gre za koncept, ki naj bi dokončno rešil problem zaupanja na internetu pod pogojem, da zaupamo korenskim podpisom strežnikov DNS. Predstavil je nekaj zanimivih idej in implementacij v...

Heise - Ta teden se je z dvotedensko zamudo, ki je nastala zaradi dodatnih testiranj ICANN-a in VeriSigna, zgodil prehod z DURZ (angl. deliberately unvalidatable root zone) na DNSSEC (angl. domain name system security extensions), poroča Root DNSSEC. Odslej vseh 13 vrhovnih domenskih strežnikov (v resnici gre pri nekaterih za gruče z anycastom in ne individualne strežnike), ki skrbijo za prevajanje znakovnih domen v IP-naslove, uporablja DNSSEC-ključ, ki omogoča podpisovanje odgovora. To pomeni, da bodo razni napadi z zastrupljanjem predpomnilnika, MITM-napadi in podobni ne bodo več možni, saj bo moč dobiti verodostojen podatek od domenskega strežnika.

Starejši DNS-razreševalniki (angl. DNS resolver), ki podpirajo le majhne podatkovne paketke (manjše od 512 kB) in zaradi zvišanja njihove velikost v DNSSEC-u novega...

CNet - Katastrofe, kot je zadnja na Haitiju, ko je potres z obličja skoraj izbrisal prestolnico, so izvrstna priložnost za spletne prevare, svari FBI. Z vseh strani nas bombardirajo s posnetki opustošenja, kar v ljudeh prebudi čut za sočloveka, tako da ti masovno nakazujejo denar raznim človekoljubnih organizacijam. In prav na to računajo zlikovci, ki so že postavili na stotine lažnih spletnih strani za pobiranje "donacij".

Ko je leta 2005 udarila Katrina, se je na spletu pojavilo 4000 lažnih spletnih strani, ki naj bi zbirale donacije za pomoč. Nekaj se jih je pojavilo že pred hurikanom, ko je bilo po vremenski napovedi že jasno, da je udarec neizbežen in da bo močan. Podobno se dogaja sedaj.

Denar se zbira na razne načine:...

Schneier.com - Kot je znano, je raziskovalec Dan Kaminsky pred časom v DNS protokolu odkril resno ranljivost, ki je omogočala izvedbo tim. zastrupljanja predpomnilnika (ang. cache poisoning) posledica napada pa je bila lahko uspešna izvedba ribarjenja (tim. phishing).

Vendar pa je omenjeno pomanjkljivost v DNS protokolu izkoristiti tudi za prikrito povezovanje v internet, kar na primer omogoča program NSTX. Ta teden pa je Landon Fuller napisal podoben programček ki omogoča prikrito komuniciranje preko DNS strežnikov.

DNS zahtevki namreč med drugim vsebujejo zastavico Recursion Desired (RD). Če je zastavica nastavljena na 0, DNS zahtevki ne bodo obravnavani rekurzno, pač pa se bodo servirali iz začasnega pomnilnika DNS sistema. Ravno obratno pa se zgodi v primeru, ko je RD zastavica nastavljena na 1.

Preko DNS je mogoče komunicirati tako, da pošiljatelj DNS-u pošlje zahtevek z RD nastavljenim na 1. DNS nato izvede poizvedbo. Prejemnik nato pošlje isti zahtevek z RD nastavljenim na 0. Če dobi...

Wired Blog - Border Gateway Protocol (BGP) je temeljni usmerjevalni protokol interneta, s pomočjo katerega usmerjevalniki pošiljajo podatkovne pakete od enega IP naslova do drugega. Konec avgusta pa sta Anton "Tony" Kapela ter Alex Pilosov na konferenci DefCon pokazala, kako je mogoče spreminjati pot podatkovnih paketov ter tako neopazno prestrezati internetni promet iz kjerkoli na svetu.

Tehnika seveda ni uporabna za običajne uporabnike interneta, saj je potrebno imeti povezavo na eno izmed internetnih hrbtenic ter BGP usmerjevalnik (ki si ga lahko tudi sami naredite), vendar pa lahko tehniko povsem neopazno izvaja katerakoli vlada ali velika korporacija.

Za kaj gre?

Raziskovalca sta odkrila, da ima BGP protokol že v sami zasnovi nekatere resne pomankljivosti. Glavna težava je v tem, da v BGP protokol ni vgrajenih ustreznih mehanizmov zaupanja. BGP protokol namreč deluje tako, da ko npr. uporabnik v svoj brskalnik vnese naslov spletne strani (npr. www.youtube.com), DNS brskalniku sporoči IP...

Washington Times - Kot poročajo na Washington Timesu naj bi eden izmed višjih uradnikov ameriškega ministrstva za domovinsko varnost izrazil veliko zanimanje v tim. varnostni zapestnici, ji jo razvija kanadsko podjetje Lamperd Less Lethal Inc.

Gre za posebno zapestnico, ki naj bi jo ob vkrcanju na letalo dobili vsi potniki. Zapestnica bo nadomestila letalsko vozovnico, vsebovala osebne podatke o potniku, z njo bo mogoče spremljati prtljago potnika in najpomembnejše - v primeru terorističnega napada jo bo letalsko osebje lahko aktiviralo in z elektroškom onesposobilo domnevnega napadalca. Podjetje je pripravilo tudi promocijski video.

Kot kaže nekateri še niso pozabili Stalinovih metod "zagotavljanja" nacionalne varnosti. Poleg tega pa se zna zgoditi, da bodo hekerji hitro ugotovili, kako je mogoče elektrošok aktivirati nepooblaščeno...

Schneier.com - Kot poroča Schneier ameriško Ministrstvo za domovinsko varnost ameriški državni denar vlaga tudi v splošno koristne stvari.

V okviru projekta Open Source Hardening Project so namreč marca 2006 vložili 300.000 USD v plačujejo za varnostna testiranja odprtokodne programske opreme in odpravo najdenih napak. Pregled in odpravo izvajata podjetje Coverity ter Stanfordska univerza.

Od leta 2006 so pomagali odpraviti že 7826 varnostnih ranljivosti v 250 odprtokodnih projektih, preiskane pa je bilo okrog 50 milijonov vrstic kode.

Podjetje Coverity se poleg odprtokodnih projektov ukvarja tudi z iskanjem in odpravo napak v zaprtokodnih projektih.

ComputerWorld - Ameriško ministrstvo za domovinsko varnost razmišlja o uvedbi obvezne elektronske prijave, ki bi jo vsaj 48 ur pred vstopom v ZDA morali opraviti obiskovalci iz držav, ki sodelujejo v programu visa waiver. Takšna prijava bi bila dopolnitev programu ATS (Automated Targeting System), ki vsakemu obiskovalcu dodeli stopnjo tveganja, ki naj bi jo le ta pomenil za ZDA. Prijava sicer ne bi bila obvezna ob vsakem obisku, ampak naj bi veljala za daljše časovno obdobje. Glavni razlog za uvedbo takšnega sistema naj bi bilo veliko število islamskih skrajnežev, ki po ameriških navedbah potujejo s potnimi listi evropskih držav.

Sistem elektronske prijave bo verjetno moral še skozi kongresno proceduro, vendar bi znala biti le ta - v skladu z ameriško paranoično politiko boja proti terorizmu - hitra in brez večjih zapletov. Urad bo pred tem sicer pripravil še posebno študijo, v kateri bodo preučili način uporabe, pravico do dostopa ter rok hrambe tako pridobljenih podatkov.


Več o tem na:

Schneier.com - Domain Name System Security Extensions ali DNSSEC je nabor specifikacij za DNS sisteme prihodnjih generacij, ki bodo DNS zahtevke digitalno podpisovali in avtenticirali, z čimer naj bi onemogočili različne oblike zlorab, ki imajo za posledico goljufije in zavajanje uporabnikov s preusmeritvami na lažne spletne strani.

Ideja je vsekakor dobra in bi preprečila številne "phishing" in "pharming" goljufije, pojavila se je le manjša težava. Ameriško ministrstvo za domovinsko varnost si je zaželelo kopije glavnega ključa za korensko DNS cono.

Želja po cenzuri ali po goljufijah?

Yahoo News - Ameriško Ministrstvo za domovinsko varnost jemlje svoje delo precej resno, kar je na svoji koži občutila Stephanie Cox, lastnica trgovine z igračami Pufferbelly Toys. V njeni trgovini sta se zglasila dva agenta tega ministrstva in jo vprašala, če prodaja igračo z imenom Magic Cube. Ukazala sta ji, da naj ta artikel umakne s prodaje, saj bi naj bil ilegalna kopija znane Rubikove kocke, ki je ena najbolj popularnih igrač vseh časov. Seveda sta dosledno preverila, če je res bila igrača umaknjena s prodaje.

Zanimivo pa je, da je lastnica po odhodu agentov poklicala izdelovalca te igrače, kateri ji je omenil da je patent za Rubikovo kocko že zdavnaj potekel in da v njihovi igrači ni nič spornega. V Oddelku za imigracijo in carino pa se branijo s tem, da je glavna naloga njihove agencije zaščita finančnih sistemov države in da ima kršenje avtorskih pravic velik vpliv na ekonomijo. Omenjajo da so poslali agente v trgovino po pritožbi na njihovem centru v Washingtonu.

Stephanie se še pa...

Slashdot - Yahoo news poroča, da je ameriško ministrstvo za domovinsko varnost uradno odsvetovalo uporabo Microsoft Internet Exporerja, oziroma priporočilo uporabo drugih brskalnikov.

To je vsekakor priložnost za Mozillo in Mozillo Firefox, saj Wired poroča, da se je ravno zaradi zadnje varnostne luknje v MSIE ogromno uporabnikov odločilo za prehod na Mozillo.

Se spominjate arogantnih oblikovalcev spletnih strani, ki so hoteli, da se obiskovalci prilagajajo njihovi tehnologiji?