TechCrunch - Tri leta po enem najodmevnejših napadov na družbena omrežja v zgodovini so v ZDA na petletno zaporno kazen obsodili še enega od zlikovcev, Britanca Josepha Jamesa O'Connorja.

Sredi julija 2020 je svetovna javnost lahko od blizu spremljala enega najvidnejših hekerskih napadov na družbena omrežja, ko so časovnice uporabnikov na Twitterju zasule objave mnogih najbolj znanih oseb pod soncem, ki so oglaševale kriptoprevare. Skupina napadalcev je s premišljenim napadom z ribarjenjem na Twitterjeve uslužbence pridobila dostop do administratorskih orodij platforme, nakar so prevzeli nadzor na pomembnimi uporabniškimi računi, med drugimi Baracka Obame in Billa Gatesa, ter jih zlorabili za zaslužek s kriptoprevarami. Zaradi odmevnosti so se ameriški organi pregona zelo hitro zganili in v zgolj nekaj tednih polovili večino tolovajev; med trojico takrat aretiranih oseb je bil tudi vodja skupine, Američan Graham Ivan Clark, ki je bil leto zatem po dogovoru s tožilstvom obsojen na tri leta...

Krebs On Security - Mike O'Connor je v mladih letih interneta pokupil številne mikavne domene, na primer bar.com, cafes.com ali pub.com. Večino jih je do danes prodal, še najdlje pa je obdržal domeno corp.com. Na njej ne najdemo nič posebnega (www.corp.com dejansko ne odpre ničesar), a je to ena najbolj vrednih domen. Sedaj jo je za 1,7 milijona dolarjev kupil Microsoft in s tem naredil veliko uslugo celotnemu internetu.

Da je enostavna štiričrkovna domena vredno toliko denarja, ni nič presenetljivega. Tudi ostale zaželene domene se prodajajo za milijone. Domena corp.com pa je posebna zaradi Microsoftovega sistema Windows, ki je razlog, da kdor nadzoruje corp.com, lahko nadzoruje tudi precej službenih računalnikov. Razlog se skriva v problemu, ki se imenuje namespace collision. To se zgodi, kadar domene, ki bi naj bile dosegljive samo v internem omrežju, ločeno obstajajo tudi v zunanjem internetu. To se še posebej rado zgodi z domeno corp.com. Ker je v nekaterih verzijah Active Directory corp...

Slo-Tech - Seznamu podjetij, ki so jim ušli osebni podatki, se je pridružil tudi McDonald's. Za pripravo spletnih strani in promocij so sodelovali s podjetjem Arc Worldwide, ki je skrb za bazo podatkov o strankah zaupal podizvajalcu. Temu so hekerji vdrli v sistem in odtujili podatke o nekaterih strankah McDonald'sa.

V podjetju so povedali, da je šlo zgolj za podatke, ki so jih stranke posredovale prostovoljno. Šlo naj bi za imena, priimke, naslove, elektronske naslove in podobno, ne pa za kakršne koli finančne ali bančne podatke. Kljub temu gre za vreden paket informacij, ki ga bodo spamerji rade volje odkupili. McDonald's ni želel povedati, kje se je napad zgodil in ali so odtujeni podatki zgolj iz ZDA ali pa tudi iz katere druge države. So pa zapisali, da že sodelujejo z organi pregona pri iskanju krivcev.

Slo-Tech - Aza Raskin na svojem blogu poroča o novem načinu ribarskega napada na uporabnika med brskanjem po spletu, ki ga je poimenoval tabnabbing. Novi napad je izvirnejši od dosedanjih, saj se legitimna stran spremeni v lažno šele po naložitvi, ne da bi uporabnik to opazil.

Ob obisku zle strani se naloži neka spletna stran, ki ni videti nič kaj nevarna. Stran nato zazna, kdaj je uporabnik premaknil fokus na drug zavihek oziroma kdaj dlje časa ni interagiral s stranjo. Takrat se stran spremeni v lažno prijavno Gmailovo stran, ki od uporabnika zahteva prijavne podatke. Napad cilja na pozabljivost človeškega spomina, saj bodo uporabniki menili, da so preprosto pozabili zapreti zavihek z Gmailom. Ko uporabnik vnese potrebne podatke, ga stran preusmeri na pravi Gmail, tako da ta nikoli ne opazi, da je njegovo podatek vmes pridobil nekdo tretji.

Napad se da izboljšati na različne načine. S prebiranjem zgodovine obiskanih strani je moč ugotoviti, katere strani (Gmail, Facebook, Hotmail, Yahoo...

Slo-Tech - Novica je sicer že malce starejša, a kljub temu pomembna. 27. decembra 2009 sta namreč Qin Liu in Sebastien Sauge na 26C3 konferenci predstavila nov napad na kvantno kriptografijo

Na predavanju sta predstavila prisluškovalno napravo za sistem kvantne kriptografije, ki izvede tim. intercept-resend napad. Gre za napad, kjer napadalec prestreže foton, nato pa (nov foton) pošlje na cilj komunikacije. Prestrezna naprava izkorišča ranljivost v detektorju fotonov, z napadom pa je mogoče neopazno prestreči celoten šifrirni ključ.

Napad je bil preizkušen na realnem sistemu kvantne kriptografije, ki ga uporabljajo v National University of Singapore in je bil 100% uspešen ter popolnoma nezaznaven. Na voljo so tudi prosojnice in videoposnetek predavanja.

Slashdot - Kot poročajo na Slashdotu, je center za kiberkriminal na ameriški carinski upravi kupil 20 PlayStation 3 igralnih konzol, načrtujejo pa še nakup dodatnih 40.

Vendar pa igralnih konzol ne bodo uporabljali za igranje iger, pač pa za razbijanje gesel na zaseženih računalnikih. PS3, ki stane 300 USD, namreč lahko preizkusi 4 milijone gesel na sekundo in je precej bolj učinkovita od namenskih Tableau/Dell strežnikov, ki so tudi dražji.

Za preverjanje gesel z grobo silo je seveda potrebna precej velika računska moč (za 6-mestno geslo je 281474976710656 kombinacij), vendar pa je gesla mogoče razbijati tudi z bolj učinkovitim napadom s slovarjem oz. z nekaj poznavanja načinov kako ljudje izbiramo gesla. Zato vsekakor ni odveč kakšen nasvet glede izbire kvalitetnega gesla.

Seveda pa gesla ne potrebujete, če nimate česa skrivati...

Slo-Tech - Kot na svojem blogu poroča Schneier, so Alex Biryukov, Orr Dunkelman, Nathan Keller, Dmitry Khovratovich, in Adi Shamir odkrili nov napad na AES. Za razliko od prejšnjih, je ta bistveno bolj učinkovit, a v praksi zaenkrat ni potrebna skrb.

Omenjeni so namreč izvedli napad na AES-256. AES-256 sicer za računanje uporablja 14 krogov (ang. round), Biryukov in ostali pa so ugotovili, da je modificirani AES-256 s samo 9 krogi mogoče razbiti s časovno kompleksnostjo 2³⁹ in dvema tim. povezanima ključema (prej so potrebovali štiri povezane ključe in 2¹²⁰ kompleksnost).

AES-256 z 10 krogi zahteva 2⁴⁵ kompleksnost, AES-256 z 11 krogi pa 2⁷⁰.

Vseeno velja poudariti, da se napad nanaša le na AES z 256-bitnimi ključi (in ne AES s 128-bitnimi ključi), da zahteva dostop do tim. povezanih ključev (ang. related-key napad; kriptoanalitik potrebuje dostop do nešifrirane vsebie in do vsebine šifrirane z več med seboj na poseben način povezanimi ključi) ter zgolj teoretičen, saj so raziskovalcu...

Schneier.com - Kot poroča Schneier, sta Biryukov in Khovratovich prikazala prvi napad na AES-256, ki je uspešnejši od napada z grobo silo (ang. brute force).

Kompleksnost napada je 2¹¹⁹, po mnenju avtorjev pa bi bilo napad mogoče izboljšati na kompleksnost 2^110.5. Takšna visoka stopnja kompleksnosti seveda pomeni, da v realnosti AES nikakor ni razbit oz. varnost podatkov zaščitenih s tem algoritmom kakorkoli ogrožena, pač pa je napad izključno teoretičen. Kljub temu je omenjena kriptoanaliza koristna, saj omogoča izboljšanje v razvoju bodočih kriptografskih funkcij.

Je pa te dni Ron Rivest umaknil svoj zgostitveni algoritem MD6 iz tekmovanja za naslednji SHA standard - SHA-3. Problem je v tem, da so zaradi pravil SHA tekmovanja morali avtorji MD6 algoritma algoritem pohitriri, posledica pa je zmanjšana odpornost na napade z diferencialno kriptoanalizo. Ob tem Schneier pozdravlja odločitev Rivesta, ki je algoritem umaknil iz tekmovanja kljub temu, da proti algoritmu ni znan niti en uspešen...

Slo-Tech - Kot na svojem blogu poroča prof. Luke O'Connor so avstralski raziskovalci Cameron McDonald, Philip Hawkes in Josef Pieprzyk odkrili nov, izboljšan napad na algoritem SHA-1.

Napad s katerim je mogoče izračunati kolizijo, zahteva 2⁵² računskih operacij in je 2000-krat izboljšan glede na prej znane napade. Napad z grobo silo bi zahteval 2⁸⁰ računskih operacij, leta 2005 pa so trije kitajski raziskovalci predstavili napad, ki je zahteval le 2⁶⁹ operacij. Omenjeni avstralski raziskovalci pa so nov napad predstavili na neformalnem delu konference Eurocrypt 2009, podrobnosti pa bodo znane v kratkem, ko bo o omenjeni tematiki objavljen članek.

Nov napad večjim organizacijam z bogatejšimi proračuni že potencialno omogoča zlorabe. Po drugi strani pa se v praksi še vedno uporablja celo MD5, za katerega je že dlje časa znano, da ni več zanesljiv.

Slo-Tech - Kot je znano, so v zgostitvenem algoritmu MD5 že pred časom našli kolizijo, kar pomeni, da je mogoče najti dva različna niza znakov, ki vrneta isto MD5 kontrolno vsoto.

Kaj to pomeni v praksi, sta na predavanju na konferenci Eurocrypt 2005 predstavila Magnus Daum in Stefan Lucksen. Pokazala sta, da je mogoče originalni PostScript dokument modificirati tako, da bo ponarejeni dokument imel enako MD5 kontrolno vsoto. Mimogrede, enako je mogoče storiti z .exe programi, kar je pokazal Peter Selinger leta 2006.

Posledice pa so žal še resnejše. Kot je na na konferenci Chaos Communication Congress v Berlinu ravnokar prikazala skupina sedmih raziskovalcev, je mogoče z iskanjem MD5 kolizij izdelati ponarejen CA certifikat in z njim izdajati lažne certifikate za katerokoli spletno stran na internetu.

Tako lahko z vložkom približno 20.000 USD (strošek procesorskega časa na Amazon Cloud, zadostuje tudi 300 PS3 čez vikend) vsakdo ustvari vmesni CA certifikat, s pomočjo katerega lahko potem...

Slashdot - Bruce Schneier v svojem blogu poroča, da naj bi kitajski raziskovalci Xiaoyun Wang, Yiqun Lisa Yin in Hongbo Yu uspeli najti kolizijo v SHA-1 funkciji.

To pomeni, da so raziskovalci našli dve različni sporočili, za kateri algoritem SHA-1 vrne isto vrednost, njihova metoda iskanja pa je veliko hitrejša kot metoda grobe sile, ki temelji na preiskušanju vseh možnih kombinacij.

To v praksi pomeni, da je mogoče npr. neko potrdilo banke tako prirediti, da bo izračun digitalnega podpisa pokazal, kot da je potrdilo poslala banka, čeprav bo le-to v resnici pa bo ponarejeno. Z drugimi besedami - razbitje SHA-1 je pomemben korak na poti k možnosti ponarejanja digitalnih podpisov.

News.com.au - Ja, stric McDonald bo postal kiber klovn. V McDonald'sovih restavracijah bodo namreč kmalu verjetno začeli ponujati tudi dostop do interneta. Kot pravi tehnološki direktor David Lloyd, naj bi nova ponudba pritegnila nove stranke in jim še izboljšala ponudbo.

Toda dostop ne bo zastonj. Pri pultu bo osebek primoran kupiti kartico (trenutno obstajajo 2, 5 in 10 dolarske), ki bodo vsebovale določeno identifikacijsko številko, ki jo bo potrebno vpisati in voila, internet bo tvoj ob vročem krompirčku in hamburgerju.

12 mesecev bodo zadevo na Japonskem, v Angliji in Nemčiji testirali, nato pa, upajmo, tudi pri nas. Več tukaj.

Pazi, kokakola strmoglavi na tipkovnico!