Slo-Tech - Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.

Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja...

Slo-Tech - Slack je danes najavil storitev EKM (Enterprise Key Management), ki uporabnikom oziroma strankam Enterprise Grida daje nadzor nad šifrirnimi ključi. Gre novost, ki so jo pokazali že na jesenski konferenci Frontiers. EKM so razvili interno, a uporablja Amazonov KMS za upravljanje ključev za šifriranje. V praksi to pomeni, da imajo organizacije, ki uporabljajo Slackovo platformo, dodaten nivo šifriranja, ki ga v celoti nadzorujejo same, tako da so njihovi podatki varni.

Ta nivo šifriranja podatkov in sporočil se izvaja med podatkovno bazo in odjemalcev, na voljo pa je le uporabnikom Enterprise Grida. Slack sicer že sedaj šifrira podatke tako med prenosom kot pri shranjevanju, le da nadzora nad ključi uporabniki...

Google - Google je sporočil, da se je delež elektronske pošte, ki v nabiralnike uporabnikov Gmaila prispe prek varnih, šifriranih povezav, v zadnjem mesecu povečal za 25 odstotkov, kar pripisujejo izrecnemu opozarjanju, kdaj je povezava nezaščitena. V Googlu si želijo, da bi bila sčasoma vsa elektronska pošta šifrirana od pošiljatelja do prejemnika (end-to-end), do česar nas loči še precej časa (tehnologija, kot je PGP, seveda že obstaja, a jo uporablja bolj malo ljudi).

Ko si si zamislili elektronsko pošto, je bil svet popolnoma drugačen - po tedanjem ARPANET-u so prvo elektronsko sporočilo poslali daljnega leta 1971 - in šifriranje tedaj ni bilo pomembno. Toda nešifrirana elektronska pošta je ekvivalent pošiljanja informacij na poštni razglednici, zato jo šifriramo na različne načine. Uporaba protokola TLS za komunikacijo med strežniki poskrbi, da nihče ne more prebrati pošte med...

Slashdot - Hushmail je spletni ponudnik e-pošte, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika. Pri tem uporablja poseben Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca.

Hushmail naj bi bil tako najbolj varen ponudnik e-pošte, vendar pa se je konec lanskega leta izkazalo, da je kanadsko podjetje Hushmail na podlagi vzajemnega sporazuma o pravni pomoči med Kanado in ZDA ameriškim pravosodnim organom izročilo dešifrirana elektronska sporočila svojega uporabnika. Predstavniki Hushmaila so kasneje tudi priznali, da beležijo IP naslove uporabnikov.

Te dni pa so pri Cryptome odkrili še nekaj nadvse nenavadnega.

Hushmail namreč na svoji spletni strani ponuja dostop do celotne izvorne kode svojega šifrirnega stroja, tim. Hush Encryption Engine. Koda vsebuje tudi Javanski program označen z različico 3-0-0-30, ki skrbi za izvedbo šifriranja.

Kar je nadvse nenavadno pa je dejstvo, da so pri Cryptome odkrili, da se javanska izvršilna...

Schneier.com - Na internetu se je pojavila spletna stran You've Been Left Behind, ki zainteresiranim omogoča pošiljanje elektronskega sporočila po smrti.

Letna naročnina na storitev stane 40 USD, spletna stran pa omogoča, da svojim najdražjim pošljete ljubeče sporočilo, v katerega pa lahko vključite tudi (citat s spletne strani): "dostop do svojega bančnega ali borzno-trgovalnega računa, opis skritih vrednih predmetov" in podobne za vaše najdražje pomembne informacije.

Vse te informacije so na strežniku shranjene v šifrirani obliki, hkrati z njimi pa se na strežniku varno spravljen nahaja tudi šifrirni ključ.

V primeru, da se boste torej odločili za uporabo omenjene storitve torej na strežnik nikakor ne pozabite vpisati vseh vaših gesel in naložiti certifikatov za spletno bančništvo. Morda vam bodo vaši svojci po smrti globoko hvaležni. Morda pa vam bo kakšen spletni goljuf hvaležen tudi pred vašo smrtjo...

Schneier.com - Kot poroča Indiatimes, se je kanadsko podjetje Research In Motion na "prigovarjanje" indijske vlade odločilo, da bo indijski vladi izročilo kopije šifrirnih ključev s katerimi komunicirajo BlackBerry naprave.

BlackBerry naprave za komunikacijo med napravo in BlackBerry strežnikom uporabljajo 256-bitno AES šifriranje, močno šifrianje pa indijski vladi seveda ni preveč všeč. Zato so od podjetja zahtevali uporabo le 40-bitnega šifriranja ali pa kopije šifrirnih ključev. V nasprotnem primeru - so zagrozili - pa bodo prepovedali uporabo BlackBerry naprav v Indiji.

Po podatkih Indiatimes naj bi predstavniki podjetja Research In Motion v začetku maja letos indijski vladi pod vplivom "prepričljivih argumentov" (Indija predstavlja enega najobetavnejših trgov za BlackBerry) obljubili dostop do e-pošte, ki se pretaka preko BlackBerry naprav za vse njihove individualne (ne-poslovne) uporabnike.

Nagradno vprašanje: je indijska vlada prva, ki je prišla na idejo prepričevanja podkrepljenega s...

Daily Mail - Britanski informacijski pooblaščenec je začel preiskavo zadnjega odmevnega primera kršitve informacijske zasebnosti na Otoku. Britanski telekom (BT) je priznal, da so z lažnimi preverjanji sistema spremljali ravnanje 36.000 uporabnikov svetovnega spleta brez njihove vednosti.

V podjetju so priznali, da so med letoma 2006 in 2007 naključno izbrali omenjeno število strank med uporabniki širokopasovnega dostopa za "tehnični preizkus". Seveda niso nikomur razložili, da je poseben sistem za nadzor, ki ga je razvilo ameriško podjetje Phorm, dostopal do podatkov na računalniku in beležil vsebino vsake strani, ki jo je uporabnik/ca obiskal/a. Sistem je gradil bazo ključnih besed in si skušal zapomniti uporabnikove navade ter...

Slo-Tech - Dodatek za Firefox FireGPG, ki omogoča uporabo GPG šifriranja na strani spletnega odjemalca, z različico 0.4.8 prinaša zanimivo in potencialno uporabno novost poimenovano FireGPG API.

Uporabnik bo namreč za posamezno spletno stran (seveda z ustrezno podporo na strežniški strani) dovolil neposredno uporabo FireGPG funkcij.

V kolikor bodo razvijalci spletnih strani vgradili možnosti za uporabo FireGPG preko API vmesnika, bodo uporabniki s pomočjo FireGPG dodatka lahko enostavno in varno dostopali do šifriranih podatkov in vsebin na spletnih strežnikih.

FireGPG sicer že sedaj omogoča razmeroma enostavno uporabo šifriranja spletne e-pošte.

Wired Blog - Spletni dostop do elektronske pošte ima veliko prednost - dostopnost iz kateregakoli računalnika s povezavo v splet in spletnim brskalnikom. Žal pa ima tudi veliko slabost - s pomočjo napada s posrednikom (man-in-the-middle) ali v primeru vdora v strežnik na katerem je shranjena elektronska pošta, lahko pride do kršitve tajnosti elektronske pošte.

Leta 1999 pa se je pojavil spletni ponudnik elektronske pošte, ki naj bi ponudil rešitev tudi za to tržno nišo. Gre za kanadsko podjetje Hushmail, ki omogoča pošiljanje PGP/GPG šifrirane elektronske pošte preko spletnega vmesnika.

Hushmail namreč uporablja Java applet, ki omogoča šifriranje in dešifriranje na strani odjemalca. S tem na strežnik "prispejo" že šifrirani podatki, kar pomeni, da vdor ali vpogled v uporabniški predal ne razkrije vsebine e-pošte.

Vendar pa je nalaganje Java appleta razmeroma moteče, zato so pri Hushmailu leta 2006 ponudili možnost, da uporabniki uporabljajo šifriranje in dešifriranje na strežniški strani. S...

Daily Tech - Ameriški univerzitetni profesor David Williamson Shaffer, strokovnjak na področju pedagogike, pravi, da so trenutne učne metode, ki jih prakticirajo v ZDA, zastarele. Po njegovem mnenju so bile oblikovane v času industrijske revolucije in se od takrat niso bistveno spremenile, tako da bi jih bilo treba bistveno posodobiti, da bi se skladale z informacijsko dobo, v kateri živimo.

Med drugim predlaga, da bi naj študentom med predavanji dovolili uporabo interneta, IM-ja in iPodov ter celo igranje izobraževalnih iger. Trenutna oblika učenja naj bi otroke pripravila predvsem na delo v standardnih, zacementiranih okvirih, kar pa je velika slabost na delovnih mestih, ki zahtevajo dosti inovativnosti. Tudi vi googlate med predavanji?

Slo-Tech - Ker je internet vse bolj nadziran, sniffan, kontroliran in cenzuriran, se vse več ljudi zateka k močni kriptografiji, ki omogoča varno pošiljanje zasebnih elektronskih sporočil. Eden večjih problemov pa je, kako si na varen način izmenjati javne ključe, da bodo ti zagotovo verodostojni.

Če bi torej rad, svoj javni ključ varno spravili do čimveč ljudi in zagotovili čimveč podpisov na njem, je danes v Kiberpipi na festivalu HAIP ob 20.00 idealna priložnost.

Ne potrebujete niti diskete, le prej morate odposlati svoj ključ po e-pošti in si natisniti določene podatke na list papirja.

Navodila: Vse, ki se mislite udeležiti današnjega srečanja s podpisovanjem javnih ključev GPG/PGP (keysigning party), prosimo, da pošljete svoj javni ključ GPG/PGP skupaj s svojim imenom in priimkom na e-poštni naslov keysign@kiberpipa.org. Če uporabljate GPG, lahko ključ dobite z ukazom "gpg --armor --export vase_ime". Na srečanje prinesite dve vrsti dokumenta s sliko (na primer vozniško dovoljenje in...