»

Evropska komisija s programom za nagrajevanje odkritih ranljivosti v odprti kodi

Slo-Tech - Programi za nagrajevanje odkritih ranljivosti v programski opremi niso nič novega, saj proizvajalci na ta način vzpodbujajo etično razkrivanje lukenj v svojih izdelkih. Nekoliko teže je to z odprtokodno programsko opremo, ki običajno nima finančno močnega zaledja. Evropska komisija je zato na platformi Intigriti zagnala program za nagrajevanje prijavljenih ranljivosti v odprtokodnih programih. Na voljo je 200.000 evrov, najvišja nagrada pa lahko znaša 5000 evrov za najresnejše ranljivosti. Še 20 odstotkov bodo primaknili, če bo prijavitelj ponudil tudi kodo za zakrpanje ranljivosti.

Nagrajevali bodo luknje v LibreOfficeu, Mastodonu, Odooju, Cryptpadu in LEOS-u. Iščejo se zlati ranljivosti, ki so povezane z odtekanjem osebnih podatkov, vertikalno ali horizontalno eskalacijo privilegijev ter SQLi. Izbrali so programsko opremo, ki jo uporabljajo javne službe Evropske unije. Evropska komisija je že leta 2020 ustanovila Pisarno za odprtokodne programe (EC Open Source Programme Office),...

7 komentarjev

Norveški dacar hoče odprto kodo v blagajnah

Slo-Tech - Norveško ministrstvo za finance je v okviru programa za preprečevanje utaje davkov odločeno ven vreči vse trgovinske in gostilniške blagajne v državi ter jih zamenjati z novimi. Da pa lastniki podjetij ne bi preprosto podtaknili svežih blagajniških programov s skrivnim "dvojnim računovodstvom" (en račun za dacarja, drugi - resnični - za dejansko vodenje prometa), mislijo dodati zahtevo, da mora biti vso novo programje na voljo tudi v izvorni obliki. Le na takšen način je namreč mogoče verodostojno preveriti, da program ne pomaga pri fiktivnem zniževanju prihodkov (davčne osnove), oz. da ni bil kasneje skrivoma spremenjen v ta namen.

Zakonodajni predlog roma v parlament še to pomlad, zamenjave pa naj bi se začele...

32 komentarjev

Siemens popravil del napak v sistemih SCADA

Siemens Simatic S7-1200

Slo-Tech - Na majski konferenci TakeDownCon 2011 bi bila morala raziskovalca Brian Meixell in Dillon Beresford iz NSS Labs pripraviti predavanje o ranljivosti v Siemensovih sistemih za krmiljenje industrijskih procesov SCADA. Takrat sta se v zadnjem trenutku premislila in predavanje preklicala, ko sta dobila prijazna namiga od Službe za domovinsko varnost (DHS) in Siemensa, da bi bilo modreje počakati, da Siemens napako zakrpa. Poudarila sta, da jima niso grozili ali nanju kako drugače prisilno vplivali.

Kakorkoli, Siemens se je podvizal in ranljivost odpravil. V petek so izdali popravke za krmilnik Simatic S7-1200, v katerem sta bili dve ranljivosti. Prva je omogočala prevzem nadzor nad sistemom s ponovitvenim napadom (replay attack), medtem ko je druga napaka tičala v spletnem strežniku...

5 komentarjev

Pričetek odprtokodnega GSM projekta OsmocomBB

Slo-Tech - Skupina sodelavcev znane skupine, ki se ukvarja z razbijanjem GSM šifrirnega algoritma A5 se je lotila novega področja. Tokrat gre za projekt OsmocomBB - Open Source / Free Software GSM Baseband software implementation.

Namen projekta je izdelati odprtokodno programsko opremo za GSM, konkretneje odprtokodne gonilnike za GSM naprave ter "telefonski" del GSM protokola (layer 1 do layer 3). Mimogrede, sorodna projekta (pri katerima prav tako sodelujejo isti avtorji) sta OpenBTS, in OpenBSC, namenjena pa sta izdelavi odprtokodne GSM bazne postaje oziroma odprtokodnega GSM omrežja.

Cilj projekta je izdelati odprtokodno strojno programsko opremo (firmware), s pomočjo katere bo mogoče telefonirati, sprejemati in pošiljati SMS in ostala sporočila, itd.

Da so avtorji projekta resni ne dokazuje samo dejstvo, da so že uspešno izvedli nekaj testiranj na "omrežni strani" GSM telefonije, pač pa tudi dejstvo, da so v okviru projekta OsmocomBB uspeli zagotoviti popoln nadzor nad GSM strojno...

5 komentarjev

Izdelava denarja z odprtokodno programsko opremo

Kovanec za 5 evrov

vir: Slashdot
Slashdot - Če se še vedno zagriženi uporabniki zaprtokodne in lastniške programske opreme še tako upirajo neizbežnosti, odprtokodna programska oprema vse bolj pronica v vsakdanje življenje in uporabo. Najnovejši dokaz zmožnosti odprtokodne programske opreme je tako izdelava spominskega bančnega kovanca za pet evrov, ki je bil na nadtečaju na Nizozemskem izbran kot zmagovalni predlog.


Za naslov tečaja je Nizozemsko finančno ministrstvo izbralo temo "Nizozemska in arhitektura", izbrano delo pa iz imen najbolj znanih nizozemskih arhitektov (glede na velikost razvrščeni po priljubljenosti v spletnem iskalniku Yahoo) sestavlja glavo kraljice Beatrix. Večinoma je bil kovanec izdelan s Python-om, vendar je bilo za končne popravke potrebno uporabiti še Gimp, Inkscape, Phatch,...

19 komentarjev

ZDA razmišljajo o uvedbi elektrošok zapestnic za letalske potnike

Washington Times - Kot poročajo na Washington Timesu naj bi eden izmed višjih uradnikov ameriškega ministrstva za domovinsko varnost izrazil veliko zanimanje v tim. varnostni zapestnici, ji jo razvija kanadsko podjetje Lamperd Less Lethal Inc.

Gre za posebno zapestnico, ki naj bi jo ob vkrcanju na letalo dobili vsi potniki. Zapestnica bo nadomestila letalsko vozovnico, vsebovala osebne podatke o potniku, z njo bo mogoče spremljati prtljago potnika in najpomembnejše - v primeru terorističnega napada jo bo letalsko osebje lahko aktiviralo in z elektroškom onesposobilo domnevnega napadalca. Podjetje je pripravilo tudi promocijski video.

Kot kaže nekateri še niso pozabili Stalinovih metod "zagotavljanja" nacionalne varnosti. Poleg tega pa se zna zgoditi, da bodo hekerji hitro ugotovili, kako je mogoče elektrošok aktivirati nepooblaščeno...

113 komentarjev

Mujahideen Secrets

Schneier.com - Kot poroča Schneier (in še precej drugih spletnih strani), se je na internetu pojavil nov program za šifriranje, poimenovan Mujahideen Secrets. Program naj bi bil napisan - če verjamemo poročilom - kot pomoč članom teroristične mreže Al Kajda pri medsebojnem komuniciranju preko interneta.

V kolikor program ni navadna zafrkancija ali morda celo trojanski konj razvit s strani kakšne tajne službe z namenom "nadzorovanja" domnevnih "teroristov" je očitno, da gre za medijsko povsem prenapihnjeno zgodbo. Nekatera medijska poročila namreč pravijo, da je program v drugi različici izredno izboljšan, saj namesto 256-bitnega AES šifriranja sedaj uporablja kar 2048-bitno šifriranje. Trditev je gotovo medijsko zelo privlačna, v resnici pa gre za popolno neumnost.

Poleg tega tudi ni jasno zakaj bi domnevni teroristi za šifriranje uporabljali ta program, saj je na tržišču že kopica veliko boljših, v namizno okolje bolj integriranih in lažje dostopnih šifrirnih programov, tako komercialnih,...

38 komentarjev

Ministrstvo za domovinsko varnost vlaga v varnost odprtokodnih projektov

Schneier.com - Kot poroča Schneier ameriško Ministrstvo za domovinsko varnost ameriški državni denar vlaga tudi v splošno koristne stvari.

V okviru projekta Open Source Hardening Project so namreč marca 2006 vložili 300.000 USD v plačujejo za varnostna testiranja odprtokodne programske opreme in odpravo najdenih napak. Pregled in odpravo izvajata podjetje Coverity ter Stanfordska univerza.

Od leta 2006 so pomagali odpraviti že 7826 varnostnih ranljivosti v 250 odprtokodnih projektih, preiskane pa je bilo okrog 50 milijonov vrstic kode.

Podjetje Coverity se poleg odprtokodnih projektov ukvarja tudi z iskanjem in odpravo napak v zaprtokodnih projektih.

9 komentarjev

NSA pričenja vohuniti za lastno državo?

Washington Post - Kot poroča Washington Post, je ameriški predsednik Bush NSA naročil, naj začne vohuniti za lastno državo.

Nove predsedniške smernice z imenom National Security Presidential Directive 54/Homeland Security Presidential Directive 23, ki naj bi jih po poročanju Washington Timesa predsednik Bush podpisal 8. januarja letos, namreč NSA dovoljujejo, da deluje v vseh državnih omrežjih. Tudi v tistih, kjer do sedaj ni smela.

Uradni razlog za to je povečano število računalniških napadov proti ameriškim državnim ustanovam, pri čemer je glavni osumljenec za napade Kitajska. V zvezi s tovrstnimi napadi je Urad direktorja nacionalne obveščevalne službe (Director of National Intelligence) dobil nalogo identifikacije napadalcev, ministrstvo za domovinsko varnost in Pentagon pa bosta proti napadalcem izvajala povračilne ukrepe.

Po tem, ko je torej Bush odobril obsežno prisluškovanje lastnim državljanom, je sedaj tajni službi NSA dovolil tudi nadzor nad komunikacijami državne administracije in...

100 komentarjev

Ameriško ministrstvo za domovinsko varnost si je zaželelo DNSSEC ključe

Schneier.com - Domain Name System Security Extensions ali DNSSEC je nabor specifikacij za DNS sisteme prihodnjih generacij, ki bodo DNS zahtevke digitalno podpisovali in avtenticirali, z čimer naj bi onemogočili različne oblike zlorab, ki imajo za posledico goljufije in zavajanje uporabnikov s preusmeritvami na lažne spletne strani.

Ideja je vsekakor dobra in bi preprečila številne "phishing" in "pharming" goljufije, pojavila se je le manjša težava. Ameriško ministrstvo za domovinsko varnost si je zaželelo kopije glavnega ključa za korensko DNS cono.

Želja po cenzuri ali po goljufijah?

14 komentarjev

Patenti za vedno

Yahoo News - Ameriško Ministrstvo za domovinsko varnost jemlje svoje delo precej resno, kar je na svoji koži občutila Stephanie Cox, lastnica trgovine z igračami Pufferbelly Toys. V njeni trgovini sta se zglasila dva agenta tega ministrstva in jo vprašala, če prodaja igračo z imenom Magic Cube. Ukazala sta ji, da naj ta artikel umakne s prodaje, saj bi naj bil ilegalna kopija znane Rubikove kocke, ki je ena najbolj popularnih igrač vseh časov. Seveda sta dosledno preverila, če je res bila igrača umaknjena s prodaje.

Zanimivo pa je, da je lastnica po odhodu agentov poklicala izdelovalca te igrače, kateri ji je omenil da je patent za Rubikovo kocko že zdavnaj potekel in da v njihovi igrači ni nič spornega. V Oddelku za imigracijo in carino pa se branijo s tem, da je glavna naloga njihove agencije zaščita finančnih sistemov države in da ima kršenje avtorskih pravic velik vpliv na ekonomijo. Omenjajo da so poslali agente v trgovino po pritožbi na njihovem centru v Washingtonu.

Stephanie se še pa...

13 komentarjev

Ameriško ministrstvo za domovinsko varnost odsvetuje uporabo MSIE

Slashdot - Yahoo news poroča, da je ameriško ministrstvo za domovinsko varnost uradno odsvetovalo uporabo Microsoft Internet Exporerja, oziroma priporočilo uporabo drugih brskalnikov.

To je vsekakor priložnost za Mozillo in Mozillo Firefox, saj Wired poroča, da se je ravno zaradi zadnje varnostne luknje v MSIE ogromno uporabnikov odločilo za prehod na Mozillo.

Se spominjate arogantnih oblikovalcev spletnih strani, ki so hoteli, da se obiskovalci prilagajajo njihovi tehnologiji?

93 komentarjev