»

Adobe razkril izvorno kodo PostScripta

Slo-Tech - Malo je tako vplivnih jezikov, kot je bil pred 40 leti izdani PostScript. Primerjati ga z izumom tiskarskega stroja je morda res pretirano, a brez dvoma je Adobov PostScript spremenil način, kako prikazujemo dokumente in zlasti kako jih tiskamo. Decembra 1982 so ustanovili Adobe in kasneje po večletnem razvoju izdali jezik, ki je standardiziral prikaz in izpis dokumentov. Danes je PostScript sicer večidel zamenjal PDF, pa tudi tiskalniki se že pogovarjajo drugače, a vse to je dediščina PostScripta.

Njegovo izvorno kodo si sedaj lahko ogleda vsakdo. V sodelovanju s Computer History Museum je namreč Adobe javno odprl kodo, pri čemer je ključno vlogo odigral John Warnock. Ta je bil eden izmed glavnih piscev tedaj novega jezika, ki so ga skupaj razvili še Charles Geschke, Doug Brotz, Ed Taft in Bill Paxton. Prvo verziji so javnosti predstavili leta 1984, uporabljala pa sta jo Apple in Xerox Palo Alto Research Center (PARC).

Glavna prednost PostScripta je zmožnost, da je dokument na različnih platformah in tiskalnikih videti enak. PostScript je to uspel z matematičnim opisom pisav, kar je omogočalo povečavo, rotacijo in premikanje elementov, ne da bi se videz spremenil. PostScript je prinesel tudi standardizirane pisave in...

6 komentarjev

Še en man-in-the-middle napad na HTTPS

Thai Duong in Rizzo, med lansko predstavitvijo napada BEAST.

threatpost - Kaspersky poroča o še enem napadu na HTTPS (SSL/TSL) protokol, ki omogoča hitro in zanesljivo krajo uporabniških piškotkov.

Napad je delo argentinsko-vietnamskega dvojca Juliano Rizzo - Sobre Thai Duong, ki je lani tega časa predstavil podoben napad BEAST in s tem izzval kup nujnih popravkov s strani dobaviteljev brskalnikov. Slednji naj ne bi zares poskrbeli za odpravo napake, ampak so se ji zgolj skušali izogniti (workaround) s preklopom s TSL 1.0 na TSL 1.2, ter z zamenjavo šifrirnega algoritma EAS za RC4 v eni od faz vzpostavitve povezave. Rizzo in Duong sta vmes uspela prilagoditi napad, tako da deluje tudi v novem okolju. CRIME, kot mu zdaj pravita, bosta čez slaba dva tedna predstavila na varnostni konferenci

4 komentarji

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

41 komentarjev

Uporabnikom za veljavnost certifikatov ni mar

CNet - V študiji, ki so jo izvedli na Carnegie Mellon University in katere podrobne izsledke kanijo javnosti prikazati avgusta na Usenix Security Symposium, so raziskovalci ugotovili, da je zaščita z opozorili pred pretečenimi certifikati slabo uspešna. Opazovali so 409 uporabnikov, ki so v veliki večini pri opozorilu, da je certifikat SSL potekel, enostavno kliknili Prezri. Zanimivo je, da bolj kot so bili uporabniki vešči tehnologije, v večjem deležu so težavo ignorirali.

Smisel certifikatov SSL je uporabniku zagotoviti, da je stran, ki jo obiskuje, avtentična. Res je, da običajno potečejo iz banalnih razlogov, a pretečen certifikat lahko pomeni tudi, da je uporabnik...

32 komentarjev

Nov, učinkovitejši napad na SHA1

Slo-Tech - Kot na svojem blogu poroča prof. Luke O'Connor so avstralski raziskovalci Cameron McDonald, Philip Hawkes in Josef Pieprzyk odkrili nov, izboljšan napad na algoritem SHA-1.

Napad s katerim je mogoče izračunati kolizijo, zahteva 252 računskih operacij in je 2000-krat izboljšan glede na prej znane napade. Napad z grobo silo bi zahteval 280 računskih operacij, leta 2005 pa so trije kitajski raziskovalci predstavili napad, ki je zahteval le 269 operacij. Omenjeni avstralski raziskovalci pa so nov napad predstavili na neformalnem delu konference Eurocrypt 2009, podrobnosti pa bodo znane v kratkem, ko bo o omenjeni tematiki objavljen članek.

Nov napad večjim organizacijam z bogatejšimi proračuni že potencialno omogoča zlorabe. Po drugi strani pa se v praksi še vedno uporablja celo MD5, za katerega je že dlje časa znano, da ni več zanesljiv.

17 komentarjev

Avtentikacija fizičnih dokumentov

Površina papirja pod mikroskopom

Slo-Tech - Skupina raziskovalcev, Will Clarkson, Tim Weyrich, Adam Finkelstein, Nadia Heninger, Alex Halderman in Ed Felten je objavila članek, v katerem opisujejo nov način ugotavljanja istovetnosti fizičnih dokumentov (na papirju).

Raziskovalci so ugotovili, da je mogoče z navadnim skenerjem prebrati naravne napake v strukturi lista papirja ter na njihovi podlagi za vsak list papirja izračunati unikatno kontrolno vsoto.



Na ta način je mogoče kasneje identificirati ta list papirja in to celo po tem, ko je na list natisnjeno besedilo, ali pa je bil list prepognjen ali zmečkan.

Vsekakor gre za zelo uporabno odkritje, a morda bo v nekaj letih sprejet zakon, ki bo od prodajalcev papirja zahteval...

13 komentarjev

Izdajanje ponarejenih CA certifikatov

Slo-Tech - Kot je znano, so v zgostitvenem algoritmu MD5 že pred časom našli kolizijo, kar pomeni, da je mogoče najti dva različna niza znakov, ki vrneta isto MD5 kontrolno vsoto.

Kaj to pomeni v praksi, sta na predavanju na konferenci Eurocrypt 2005 predstavila Magnus Daum in Stefan Lucksen. Pokazala sta, da je mogoče originalni PostScript dokument modificirati tako, da bo ponarejeni dokument imel enako MD5 kontrolno vsoto. Mimogrede, enako je mogoče storiti z .exe programi, kar je pokazal Peter Selinger leta 2006.

Posledice pa so žal še resnejše. Kot je na na konferenci Chaos Communication Congress v Berlinu ravnokar prikazala skupina sedmih raziskovalcev, je mogoče z iskanjem MD5 kolizij izdelati ponarejen CA certifikat in z njim izdajati lažne certifikate za katerokoli spletno stran na internetu.

Tako lahko z vložkom približno 20.000 USD (strošek procesorskega časa na Amazon Cloud, zadostuje tudi 300 PS3 čez vikend) vsakdo ustvari vmesni CA certifikat, s pomočjo katerega lahko potem...

33 komentarjev

Izvedba popolnega MITM napada

Prikaz MITM napada, (CC) Open Web Application Security Project

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...

116 komentarjev

21C3: The Usual Suspects

Slo-Tech - Danes je v Berlinu svoja vrata odprl 21. Chaos Communication Congress (21C3). Gre za trodnevno hekersko konferenco, ki jo že enaindvajsetič prireja Chaos Computer Club.

Na konferenci se bo v naslednjih dveh dneh zvrstilo veliko predavanj in delavnic s področij kriptografije, IT-tehnologij in varnosti. Predavanja so tako v nemščini kot v angleščini, pri čemer je slednjih za dve tretjini. Predavatelji so večinoma mednarodno priznani strokovnjaki na svojih področjih, prihajajo pa s celega sveta in ne iz samo Evrope. Tako kongres pridobi na veljavi na svetovnem nivoju.

Danes smo bili obiskovalci priče kar nekaj zanimivim predavanjem, od obveznega uvodnega nagovora in predavanja o informacijah skritih v datotekah objavljenih na internetu, pa do "lockpicking" delavnice in predavanj o fenomenu Wikipedie. V večernih urah se nam obetajo razni "art" performasi, ki so na takšen ali drugačen način povezani s hekersko ali nasploh računalniško kulturo.

Za več informacij in program kliknite

8 komentarjev

Zgostitveni algoritem SHA-0 razbit

Slashdot - Slashdot poroča, da so na konferenci Crypto '04 v Kaliforniji predstavili uspešno razbitje zgostitvenega algoritma SHA-0 (hash function). Raziskovalci so namreč našli dve različni sporočili, za kateri SHA-0 vrne isto vrednost, torej isti "prstni odtis" dveh različnih sporočil. Gre za odkritje tim. kolizije v funkciji.

Slashdot pa tudi poroča, da so se pojavile govorice, da je to metodo nekdo posplošil in uspel najti kolizijo tudi v algoritmu SHA-1. Menda naj bi bilo mogoče na podoben način razbiti algoritma MD5 in RIPEMD-128.

25 komentarjev