»

Kazahstan začenja napad MITM na ravni celotne države

Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po...

25 komentarjev

Nizozemski CA DigiNotar izdal lažen SSL-certifikat

Slashdot - Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.

Na Mozillinih straneh so...

5 komentarjev

Nekaj gnilega je v deželi certifikatski

Seznam zaupanja vrednih CA v Operi

Slo-Tech - Pri varnem brskanju po spletu, ko moramo biti stoodstotno prepričani, da je obiskana stran res to, za kar se predstavlja, se uporablja certifikatsko podpisovanje. Gre za verigo zaupanja, kjer na vrhu najdemo tako imenovane overitelje digitalnih potrdil (CA). To so bila včasih velika in ugledna podjetja ali vladne ustanove, ki podjetjem izdajajo certifikate oziroma digitalna potrdila, s katerimi jamčijo za njihovo istovetnost. Pri deskanju po spletu brskalnik pogleda, kdo je strani izdal certifikat. Če je izdajatelj na seznamu zaupanja vrednih CA-jev, lahko verjamemo, da smo res tam, kjer želimo biti. Kurt Seifried pa si je v članku (PDF) za...

8 komentarjev

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino...

13 komentarjev

Izvedba popolnega MITM napada

Prikaz MITM napada, (CC) Open Web Application Security Project

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...

116 komentarjev

Microsoft zaupa slovenskim internetnim certifikatom

Microsoft - Microsoft je pred nekaj dnevi sporočil da je uvrstil državne certifikate, izdane pod okriljem ministrstva za javno upravo preko agencij SIGEN-CA in SIGOV-CA, skupaj z agencijami AC NLB in Halcom na seznam zaupanja vrednih ponudnikov, ki izpolnjujejo najvišje varnostne zahteve. Za domačega uporabnika to pomeni, da nas bo po namestitvi popravka brskalnik nehal spraševati ali res zaupamo certifikatom zgoraj naštetih agencij.

18 komentarjev

NLB tarča phishing-a

NLB - NLB opozarja svoje komitente, da naj bi bili tarča phishinga.

Lastnosti lažne vstopne strani:
  • V naslovni vrstici je naveden naslov https://klik.nlb.si, naslov SE NE RAZLIKUJE OD PRAVEGA.
  • Na ekranu brskalnika NI simbola zaklenjene ključavnice.
  • Na ekranu brskalnika NISTA zapisana ime in priimek uporabnika.
  • Pojavi se lahko več ekranov, ki omogočajo:
    - brskanje/iskanje kopije shranjene datoteke s kvalificiranim digitalnim potrdilom,
    - povezavo na stran z navodili za izvoz kvalificiranega digitalnega potrdila,
    - vnos gesla za kvalificirano digitalno potrdilo in gesla za vstop v NLB Klik.
Iz zaslonskih posnetkov lažne strani je možno razbrati, da je ranljiv tudi firefox. O tehničnih podrobnostih zaenkrat še molčijo. Je kdo od vas že bil žrtev tega napada, ali pa vsaj videl lažno vstopno stran?

119 komentarjev

Kako zaobiti kitajsko cenzuro

Slashdot - Na spletni strani računalniškega labolatorija na University of Cambrigde so objavili prispevek kako zaobiti kitajski cenzorski sistem - Great Firewall Of China. Sicer ne celotnega sistema, pač pa le tisti del, ki skrbi za filtriranje vsebine po ključnih besedah.

Ugotovili so, da prepoznava ključnih besed, ki jih kitajska vlada želi cenzurirati ne poteka na velikih usmerjevalnikih ki vodijo iz kitajskega interneta v tujino, pač pa na okoliških "pomožnih" usmerjevalnikih.

Poleg tega ti usmerjevalniki ne preprečujejo pretoka podatkov preko glavnega usmerjevalnika, kar bi bilo zelo zapleteno, pač pa generirajo serijo TCP reset paketkov, ki jih razpošljejo na obe strani povezave. Zaradi tega se povezava prekine.

Raziskovalci so ugotovili, da bi bilo cenzuro možno zaobiti s preprostim ignoriranjem teh paketov, kar je mogoče doseči z nastavitvami požarnega zidu.

Odkrili pa so še nekaj. Ko kitajski cenzorski sistem zazna prepovedano ključno besedo, zablokira dostop "sumljivega"...

17 komentarjev

BL003T00TH - hekanje Bluetootha

Crypto-Gram - Telefoni z vgrajeno Bluetooth tehnologijo niso nobena redkost več. Skupaj z avtoradijem, ki je opremljen z Bluetoothom, jih lahko uporabimo za prostoročno telefoniranje, lahko jih povežemo z računalnikom, žepnim računalnikom, itd. A pozor. Bluetooth morda ni varen.
15. avgusta 2000 je Bruce Schneier v spletnem varnostnem biltenu Crypto-Gram pisal o varnosti Bluetooth tehnologije. Schneier je bil do varnosti omenjene tehnologije precej skeptičen, in sicer predvsem iz dveh razlogov. Prvi razlog je bilo pomanjkanje informacij o varnosti tega protokola. Da "security through obscurity" (zagotavljanje varnosti s skrivanjem kritičnih detajlov) ne deluje se je pač že prevečkrat izkazalo in Schneier je pesimistično zapisal, da bi bil to prvi primer večjega protokola, ki bi bil izdan brez varnostnih napak. Drugi razlog je bilo dejstvo, da vsaka Bluetooth naprava oddaja edinstveno identifikacijo, kar bi bilo mogoče izrabiti za sledenje posameznikov. Svoje razmišljanje je sklenil s stavkom,...

10 komentarjev

Malo o našem forumu

Jaz - Torek. Praznik. Še čričkov ne slišim, toliko je dolgčas. Zajadram na Slo-Tech ter vidim zelo aktiven ter zanimivih debat poln forum. Kliknem na oddelek Loža, pač tako malo, za hec, za odpočitev možganov od računalnika. In kaj vidim? Debate, na katere bi bili še največji filozofi ponosni! Najbolj od vseh izstopa PROTOKOL, najbolj aktivna debata v zgodovini naše strani. Že več kot 200 odgovorov nanjo! Vas mika? Prijavite se ter se udeležujte naših izredno zanimivih debat! Vabljeni!

5 komentarjev