»

Razbita varnost DECT protokola

Slo-Tech - Skupina raziskovalcev iz dedected.org se je pred kratkim lotila varnostne analize Digital Enhanced Cordless Telecommunications (DECT) standarda, te dni pa so na CCC konferenci v Berlinu predstavili svoje ugotovitve.

DECT je protokol, ki se uporablja za zaščito brezžičnih komunikacij pred prisluškovanjem. Uporablja se pri domačih brezžičnih telefonih, pri otroških telefonih (baby phone), sistemih za odpiranje vrat, klicih v sili, brezžičnih čitalcih bančnih kartic, itd. DECT omogoča avtentikacijo bazne postaje in terminalov ter šifriran prenos podatkov.

Vendar pa so raziskovalci ugotovili, da je varnost DECT protokola mogoče razbiti s pomočjo navadnega računalnika z operacijskim sistemom Linux ter kartico ComOnAir za 23 EUR. S pomočjo prirejenega gonilnika so raziskovalci uspeli na precej enostaven način prisluškovati različnim DECT sistemom, pravijo pa, da bo podpora za prestrezanje DECT komunikacijam vgrajena že v naslednjo različico popularnega programa za analizo omrežij

7 komentarjev

Raziskovalci uspešno napadli bančne kartice s čipom

Schneier.com - Raziskovalci Cambridge University (Saar Drimer, Steven J. Murdoch in znani profesor Ross Anderson) so ugotovili, da dve znani napravi za plačevanje s pametnimi bančnimi karticami (tim PIN Entry Device) Ingenico i3300 in Dione Xtreme ne omogočata zadostne zaščite bančnih kartic z čipom.

Problem je v tem, da transakcija med bančno kartico z čipom in napravo za vnos PIN kode ni šifrirana. To omogoča prestrezanje komunikacije, na podlagi česar napadalec lahko izdela kopijo kartice (na magnetni kartici). Kljub temu, da naprave za vnos PIN kode ne onemogočajo takšnega prestrezanja, so bile certificirane in se še vedno uporabljajo. Oprema za napad stane le nekaj sto britanskih funtov, izvesti pa ga je mogoče na razmeroma enostaven način.

Kljub temu, da naj bi nove kartice za avtentikacijo transakcije uporabljale tehnologijo iCVV (ki izvaja avtentikacijo plačila s pomočjo digitalnega certifikata v čipu kartice), tudi novejše kartice (v Britaniji izdane februarja letos) še vedno...

4 komentarji

Razbita zaščita brezžičnih Microsoftovih tipkovnic

Schneier.com - Po pregovorno ne-varni programski opremi podjetja Microsoft, bodo odslej očitno slabega imidža deležni tudi njihovi strojni izdelki.

Švicarsko podjetje Dreamlab Technologies je namreč odkrilo način prestrezanja in razbitja šifriranega podatkovnega prometa Microsoftovih brezžičnih tipkovnic.

Prestrezanje in kriptoanaliza deluje pri modelih Wireless Optical Desktop 1000 in 2000, zelo verjetno pa tudi pri modelih 3000 in 4000. Bluetooth tipkovnice (zaenkrat) niso ranljive.

Napadalec tako lahko brez večjih težav na daljavo prestreza tipkanje uporabnika brezžične tipkovnice.

Predstavnika podjetja Max Moser in Philipp Schrödel sta ugotovila,da tipkovnice uporabljajo šifrirni algoritem XOR, ključi pa so dolgi cel bajt (8 bitov), kar pomeni, da je mogoče šifrirano komunikacijo razbiti celo s PDA računalnikom.

Zaenkrat je edina rešitev ta, da lastniki Microsoftovih brezžičnih tipkovnic le-te prenehate uporabljati.

Zlobni uporabniki drugih operacijskih sistemov bi to priporočilo...

32 komentarjev

Domače branje: "Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books."

Slo-Tech - Kljub temu, da so na internetu informacije dostopne "na klik", pa se - vsaj občasno - splača v roke vzeti kakšno dobro knjigo. Da se boste lažje odločili za klasično branje, bomo do nadaljnjega vsak petek objavili opis izbrane knjige.

Vabljeni k branju.

Knjiga: Bamford, James. 1983. The Puzzle Palace. Baskerville: Penguin Books.

Leta 1952 je ameriški predsednik Harry S. Truman s tajnim ukazom ustanovil NSA - National Security Agency, katere naloga je prestrezanje in kriptoanaliza tujih komunikacij ter razvoj rešitev za zaščito ameriških državnih komunikacij in informacijskih sistemov.

Vendar pa je NSA nekoliko presegla svoja pooblastila. Že predhodnik NSA, Black Chamber legendarnega ameriškega kriptoanalitika Williama Friedmana je namreč začel v ustnem dogovoru z nekaterimi telekomunikacijskimi podjetji prestrezati komunikacije državljanov ZDA. Operacija se je imenovala Operacija Shamrock, prekinili pa so jo leta 1975, da bi preprečili preiskavo ministrstva za pravosodje...

37 komentarjev

Tudi ženske piratizirajo, kajneda?

Vnunet - Lisa Chen, dvainpetdesetletna 'IT-ženska' je priznala uvoz $75 MIO vredne nelegalne programske opreme podjetij Microsoft ter Symantec. Poleg petih do devetih let v zaporu bo plačala tudi $10.000 do $25.000. Dotična zaplemba je verjetno največja v zgodovini BSA -- med drugim so našli 31.000 kopij Windowsov. Klik!

Upam, da si bo ženskulja v zaporu prebrala kakšno knjigo; nauči naj se pojma 'ekonomičnost': enake rezultate bi lahko dosegla z le nekaj kopijami Microsoftovega Content Management Serverja.

1 komentar