Slashdot - Raziskovalci iz Severne Karoline so našli način za prisluškovanje pogovorom prek VoIP-storitve Skype, čeprav so ti šifrirani. Skrivnost tiči v izvedbi stiskanja, saj je iz analize paketkov mogoče sklepati na foneme, ki se prenašajo.

Skype za kodiranje govora uporablja CELP (Code-excited linear prediction), kar pozitivno vpliva na količino podatkov, ki jih je treba prenesti po internetu, a po drugi strani omogoča analizo fonemov. Zaradi izvedbe kodiranja in nadaljnjega šifriranja je namreč dolžina paketka korelirana s fonemom, ki se prenaša. Korelacija ni visoka, tako da je problem v...

Slo-Tech - Skupina raziskovalcev, Will Clarkson, Tim Weyrich, Adam Finkelstein, Nadia Heninger, Alex Halderman in Ed Felten je objavila članek, v katerem opisujejo nov način ugotavljanja istovetnosti fizičnih dokumentov (na papirju).

Raziskovalci so ugotovili, da je mogoče z navadnim skenerjem prebrati naravne napake v strukturi lista papirja ter na njihovi podlagi za vsak list papirja izračunati unikatno kontrolno vsoto.



Na ta način je mogoče kasneje identificirati ta list papirja in to celo po tem, ko je na list natisnjeno besedilo, ali pa je bil list prepognjen ali zmečkan.

Vsekakor gre za zelo uporabno odkritje, a morda bo v nekaj letih sprejet zakon, ki bo od prodajalcev papirja zahteval...

New Scientist Tech - Skupina raziskovalcev iz ameriške John Hopkins University je pokazala, da je mogoče z merjenjem dolžine paketkov VOIP komunikacije, ki uporablja variabilno kompresijo (ang. variable bitrate compression) brez dekodiranja ugotoviti vsebino zvočne komunikacije pri internetno-telefonski povezavi.

Do tega pride zato, ker je vzorčna hitrost (ang. sampling rate) visoka za kompleksne zvoke in nizka za preproste soglasnike.

Raziskovalci sicer niso uspeli dekodirati celotnega pogovora, so pa ugotovili, da lahko zvočne posnetke preiščejo za določenimi pojmi in to celo če je VOIP pogovor šifriran.

V raziskavi so uspeli pravilno identificirati okrog 50% besed v pogovoru, pri čemer je odstotek prepoznanih besed za bolj zapletene besede bistveno višji - okrog 90%. Raziskovalci so tudi ugotovili, da je tako težje razvozlati vsebino neformalnega razgovora, ker je le-ta precej bolj naključen, pogovor v katerem sogovorniki uporabljajo več zapletenih besed pa je bolj ranljiv.

Raziskovalci Charles...

Freedom to Tinker - Skupina devetih ameriških raziskovalcev (Halderman, Schoen, Heninger, Clarkson, Paul, Calandrino, Feldman, Appelbaum in Felten) je odkrila nov nevaren način kraje šifrirnih gesel. V svoji raziskavi so pokazali, kako je mogoče z relativno enostavnimi metodami zaobiti zaščito, ki jo nudijo programi za šifriranje trdih diskov. Napad so demonstrirali na več produktih za šifriranje trdih diskov in sicer na Microsoftovemu BitLockerju, Applovemu FileVaultu, Linuxovem dm-cryptu ter na programu TrueCrypt.

Za kaj gre?

Šifrirni programi glavne šifrirne ključe shranjujejo v delovnem pomnilniku računalnika oziroma v DRAM pomnilniških modulih. Ker šifrirnih ključev ne zapisujejo na trdi disk ali druge trajne pomnilniške medije, naj bi bil ta način shranjevanja šifrirnih ključev varen. Varnost temelji na prepričanju, da je vsebina DRAM modula izgubljena v tistem trenutku, ko se računalnik ugasne.

Vendar pa so raziskovalci dokazali, da temu ni tako. Vsebina DRAM modulov se namreč ne izgubi v...

New York Times - Pred dvemi dnevi je New York Times objavil članek z naslovom Wider Spying Fuels Aid Plan for Telecom Industry.

V članku opisujejo sodelovanje ameriških telekomunikacijskih podjetij z NSA. Nekaj ameriških nevladnih organizacij je namreč proti nekaterim telekomunikacijskim podjetjem vložilo tožbe zaradi (po njihovem mnenju) nezakonitega sodelovanja z NSA. Zaradi tožb je ameriška administracija skušala doseči sprejetje zakonodaje, ki bi telekomunikacijskim podjetjem za nazaj podelila imuniteto. A glavni problem ameriške vlade ni podeljevanje imunitete za nazaj, pač pa vprašanje ali bodo telekomunikacijska podjetja v prihodnosti še želela (nezakonito) sodelovati z ameriškimi tajnimi službami.

Dokler je glavni prenos telekomunikacijskih podatkov potekal brezžično in preko satelitov, so ameriške tajne službe imele na voljo lastno tehnologijo za prestrezanje. V zadnjih letih pa čedalje več komunikacij poteka po optičnih kablih, pri nadzoru le-teh pa tajne službe potrebujejo...

Schneier.com - Generatorji naključnih števil so zelo pomembni za varno delovanje kriptografskih aplikacij, zato je zelo pomembno, da le-ti generirajo čimbolj naključna števila. Varnost kriptografije je namreč odvisna tudi od varnosti generatorjev naključnih števil.

Žal so nekatere raziskave pokazale, da generatorji naključnih števil v nekaterih operacijskih sistemih niso dovolj zanesljivi. Raziskava Dorrendorfa, Guttermana in Pinkasa iz novembra letos je pokazala, da generator naključnih števil v Windows 2000 ni varen. Algoritem, ki se uporablja tudi za generiranje SSL ključev namreč ni bil javno objavljen, analiza pa je pokazala, da je mogoče z razmeroma preprostimi napadi predvideti prihodnje "naključne" vrednosti in s tem uganiti npr. SSL šifrirne ključe.

Seveda pa niti uporabniki operacijskega sistema Linux niso varni. Raziskava iz marca 2006 je namreč odkrila številne ranljivosti tudi v generatorju naključnih števil v tem operacijskem sistemu.

Ameriški National Institute of Standards...

Slashdot - Na spletni strani računalniškega labolatorija na University of Cambrigde so objavili prispevek kako zaobiti kitajski cenzorski sistem - Great Firewall Of China. Sicer ne celotnega sistema, pač pa le tisti del, ki skrbi za filtriranje vsebine po ključnih besedah.

Ugotovili so, da prepoznava ključnih besed, ki jih kitajska vlada želi cenzurirati ne poteka na velikih usmerjevalnikih ki vodijo iz kitajskega interneta v tujino, pač pa na okoliških "pomožnih" usmerjevalnikih.

Poleg tega ti usmerjevalniki ne preprečujejo pretoka podatkov preko glavnega usmerjevalnika, kar bi bilo zelo zapleteno, pač pa generirajo serijo TCP reset paketkov, ki jih razpošljejo na obe strani povezave. Zaradi tega se povezava prekine.

Raziskovalci so ugotovili, da bi bilo cenzuro možno zaobiti s preprostim ignoriranjem teh paketov, kar je mogoče doseči z nastavitvami požarnega zidu.

Odkrili pa so še nekaj. Ko kitajski cenzorski sistem zazna prepovedano ključno besedo, zablokira dostop "sumljivega"...

Slo-Tech - Ker se v zvezi s prestrezanjem interneta v Sloveniji spleta precej mitov, si morda velja pogledati kakšna je tehnološka plat nadzora. Pri tem je potrebno poudariti, da imajo preiskovalni organi na podlagi zakonov in v primeru sodnega naloga pravico prestrezati internetne komunikacije. Nazakonito prisluškovanje pa je kaznivo. Problem pa je kako preprečiti oziroma sploh odkriti zlorabe.

Prestrezanje. Prestrezanje telefonskih komunikacij je mogoče izvesti tako, da se prestreza samo povezavo osumljenca. Pri internetu pa je to malce težje, saj se podatki ne prenašajo po "liniji", pač pa preko paketkov. Prestreči je torej potrebno vsak paketek posebej in pogledati ali je paketek del komunikacije, ki jo želimo prestrezati ali ne. Če je, ga prestrezna naprava shrani, sicer pa zavrže. Z drugimi besedami - v tehničnem smislu se nad paketki izvede filtriranje. Možna zloraba? Možna zloraba je, da se paketkov, ki ne ustrezajo filtru ne zavrže, pač pa da se jih shrani ali pošlje na nadaljno...