»

Anonabox vrgli s Kickstarterja

Kickstarter - Po tednu dni dvomov, preiskovanja in pritiska javnosti so s Kickstarterja vrgli projekt Anonabox, ki je obljubljal preprosto, odprtokodno in poceni napravo za anonimizacijo vsega internetnega prometa prek Tora. Izkazalo se je, da je avtor August Germar vsaj prikrival zelo pomembna dejstva in lagal, če ne celo načrtno goljufal.

Zamisel je bila zelo dobra. Majhna, neopazna škatlica, ki se priključi med internet in domače omrežje ter ves promet anonimizira prek Tora je po lanskih in letošnjih prisluškovalnih aferah obveščevalnih služb dvignila veliko prahu. Avtor si je zadal cilj 7500 dolarjev, a so mejo hitro presegli in nabralo se je dobrega pol milijona dolarjev. Potem pa je začelo iti...

27 komentarjev

Nov članek: Varnost slovenskih GSM omrežij

Slo-Tech - V članku predstavljamo rezultate varnostne analize slovenskih GSM omrežij, ki smo jo opravili v prvi polovici leta 2012.

Začetek članka je namenjen razlagi nekaterih osnov delovanja GSM omrežja, čisto na začetku pa se na kratko sprehodimo tudi skozi zgodovino hekersko-raziskovalnih projektov, ki so se v preteklosti ukvarjali z različnimi vidiki varnosti GSM tehnologije.

Za izvedbo varnostne analize GSM omrežja je potrebno imeti ustrezno strojno in programsko opremo. Za izvedbo analize smo uporabili strojno in programsko opremo, ki smo jo pripravili in predelali sami. Strojni del opreme obsega mobilni telefon z naloženo posebno strojno programsko opremo, ki omogoča nefiltrirano sprejemanje signalov in predvsem sporočil v GSM omrežju. Programski del opreme obsega odprtokodno programsko opremo OsmocomBB, ki smo jo za potrebe našega pregleda na več mestih temeljito predelali.

V okviru članka smo najprej prikazali kako se izvede osnovni pregled baznih postaj, poslušanje...

31 komentarjev

Coreboot prihaja na prenosnike

Coreboot konfiguracija

Slo-Tech - Coreboot je projekt katerega cilj je napisati odprtokodno alternativo za BIOS (včasih se je projekt imenoval LinxuBIOS), torej razviti odprtokodno strojno programsko opremo (ang. firmware), ki bo nadomestila (in izboljšala) obstoječi BIOS.

Projekt traja že kar nekaj časa, a kot kaže, lahko v prihodnosti pričakujemo še konkretnejši napredek na področju prenosnikov.

Na letošnjem srečanju članov odprtokodne skupnosti FOSDEM 2012 v Bruslju, je namreč eden glavnih razvijalcev projekta, Carl-Daniel Hailfinger, predstavil prihodnost projekta, ki se bo v tem letu usmeril na prenosnike.


Coreboot trenutno podpira preko 230 matičnih plošč za strežnike in namizne računalnike, žal pa je na prenosnikih slabo zastopan.

V intervjuju za FOSDEM 2012 je Carl-Daniel...

41 komentarjev

Varnost GSM telefonije na 27c3

Slo-Tech - Na letošnji 27c3 konferenci v Berlinu so raziskovalci zbrani okrog GSM hacking projekta o katerem smo že večkrat poročali, predstavili kopico zanimivosti iz področja varnosti GSM telefonije.

Karsten Nohl in Sylvain Munaut sta v predavanju Wideband GSM Sniffing predstavila novosti v razvoju odprtokodne GSM prisluškovalne naprave. Tako sta na predavanju prikazala kako je s pomočjo 2 TB preko torrent omrežja dostopnih mavričnih tabel, programa Kraken in nekoliko modificiranega GSM aparata mogoče prestrezati GSM pogovore v skoraj realnem času.

GSM telefonija kot enega izmed varnostnih mehanizmov uporablja tudi tim. preskakovanje med frekvencami (ang. frequency hopping), kar so raziskovalci poskušali rešiti s prestrezanjem celotnega GSM spektra s pomočjo USRP, izkazalo pa se je, da je ta problem mogoče rešiti s strojno modifikacijo cenenih GSM telefonov. V tem primeru mora biti napadalec lociran na območju iste bazne postaje kot telefon "žrtve", potrebuje pa še IMSI oz. TMSI številko...

0 komentarjev

Prvi rezultati projekta Osmocom

RebelSIM skener, SIMtrace obljublja več

Slo-Tech - Skupina, ki razvija odprtokodno programsko opremo za GSM telefone (odprtokodne gonilnike za GSM naprave ter "telefonski" del GSM protokola) je razvila programsko n strojno opremo Osmocom SIMtrace (na git-u je na voljo programska oprema ter strojna programska oprema za napravo s katero lahko zajemamo podatke). Strojni del naprave sicer še ni izdelan, trenutno so v uporabi tim. razvojne plošče.

SIMtrace omogoča pasivno prestrezanje komunikacij med SIM kartico in mobilnim telefonom. Program omogoča tudi uvoz prestreženih podatkov v Wireshark.

S pomočjo omenjenih naprav je mogoče ugotoviti katere podatke si izmenjujeta SIM kartica in telefon, mogoče pa je tudi razhroščevanje SIM Application Toolkit...

0 komentarjev

Skrivni razhroščevalni registri v AMD-jevih procesorjih

Slashdot - Heker z vzdevkom Czerno je odkril zanimivo funkcijo AMD-jevih procesorjev, o kateri je prodajalec molčal, čeprav naj bi bila prisotna v vseh modelih od Athlonov XP dalje. V njihovi strojni-programski opremi (firmware) so zaščitene posebne možnosti za razhroščevanje, ki segajo bistveno dlje od standardnih x86, a so zavarovane z geslom, je Czerno odkril z analizo nedokumentiranih MSR. Dostop do štirih MSR-registrov za razhroščevanje je mogoč le, če je v registru EDI vrednost 9C5A203A. V nasprotnem primeru procesor javi izjemo (exception). Vzvratni inženiring novega odkritja še poteka, a trenutno znani podatki so objavljeni na RCE.

10 komentarjev

Skupina, ki se ukvarja s kriptoanalizo GSM, izdala program Kraken

Mitološka pošast Kraken

vir: Wikipedia
Slo-Tech - Skupina raziskovalcev, ki se ukvarja s kriptoanalizo A5 šifrirnega algoritma, ki se uporablja za šifriranje pogovorov v GSM omrežju, je prejšnji teden izdala program Kraken. Program omogoča kriptoanalizo prestreženih pogovorov oziroma omogoča uporabo mavričnih tabel, ki jih skupina pripravlja že dlje časa (javno so jih prvič izdali lansko leto na Berlinski CCC konferenci).

...

8 komentarjev

Varnost zasebnih telefonskih central

GSM modul

Slo-Tech - Na blogu Infosec.si je tokrat objavljen zanimiv prispevek o varnosti zasebnih telefonskih central, ki imajo vključeno možnost podaljšanega izbiranja oziroma vsebujejo GSM module.

Podaljšano izbiranje (ang. dialout) je storitev, ki klicatelju omogoča nadaljnje klicanje želenega telefonskega priključka, GSM moduli pa omogočajo cenejše klice v GSM omrežja preko zasebne (PBX) centrale.

Če je GSM modul oziroma PBX centrala nepravilno konfigurirana, je s klicem na vhodno telefonsko številko centrale mogoče uporabiti podaljšano izbiranje oziroma klicanje...

5 komentarjev

Šifrirani telefonski pogovori za Android platformo

Moxie Marlinspike

Slo-Tech - Kot kaže, se na področju (mobilne) telefonije in zasebnosti obetajo velike spremembe. Tradicionalno je veljalo, da je šifriranje široko dostopno le za računalnike, uporaba kvalitetnega šifriranja v telefoniji pa je bila povezana s številnimi težavami in visokimi stroški. Telefonija je pač bistveno bolj zaprta tehnologija.

A s prihodom pametnih mobilnih telefonov, zlasti pa s prihodom odprte Android platforme, se je to pričelo spreminjati. In ta teden se je zgodil prvi konkretnejši premik k uporabi varnega šifriranja telefonskih pogovorov. Varnostni strokovnjak Moxie Marlinspike (znan tudi...

48 komentarjev

Pričetek odprtokodnega GSM projekta OsmocomBB

Slo-Tech - Skupina sodelavcev znane skupine, ki se ukvarja z razbijanjem GSM šifrirnega algoritma A5 se je lotila novega področja. Tokrat gre za projekt OsmocomBB - Open Source / Free Software GSM Baseband software implementation.

Namen projekta je izdelati odprtokodno programsko opremo za GSM, konkretneje odprtokodne gonilnike za GSM naprave ter "telefonski" del GSM protokola (layer 1 do layer 3). Mimogrede, sorodna projekta (pri katerima prav tako sodelujejo isti avtorji) sta OpenBTS, in OpenBSC, namenjena pa sta izdelavi odprtokodne GSM bazne postaje oziroma odprtokodnega GSM omrežja.

Cilj projekta je izdelati odprtokodno strojno programsko opremo (firmware), s pomočjo katere bo mogoče telefonirati, sprejemati in pošiljati SMS in ostala sporočila, itd.

Da so avtorji projekta resni ne dokazuje samo dejstvo, da so že uspešno izvedli nekaj testiranj na "omrežni strani" GSM telefonije, pač pa tudi dejstvo, da so v okviru projekta OsmocomBB uspeli zagotoviti popoln nadzor nad GSM strojno...

5 komentarjev

Šifrirni algoritem A5/1, ki se uporablja za šifriranje GSM pogovorov, je padel

Slo-Tech - Kot je znano, GSM telefoni za šifriranje pogovorov (med telefonom in bazno postajo) uporabljajo algoritma A5/1 (močnejši) in A5/2 (šibkejši).

Šifrirni algoritem A5/1 je bil razvit leta 1987, A5/2 pa leta 1989. Oba sta bila razvita na skrivaj in ob sodelovanju tajnih služb, šibka zasnova pa je bila namerna.

Prvi uspešni napad na algoritem A5/1 je izvedel Jovan Golić maja 1999 neodvisno od njega pa tudi Marc Briceno, ki je izvedel reverzni inženiring na GSM telefonu. Biryukov in Shamir pa sta dokazala, da ga je mogoče razbiti v manj kot sekundi z uporabo računalnika z vsaj 128 Mb RAM ter dvema 73 Gb diskoma.

Kljub vsemu so bili ti napadi zgolj teoretični, dejanska oprema za njihovo izvedbo pa zelo draga in dostopna zgolj državnim organom. Se je pa zato leta 2007 na internetu izoblikoval The A5 Cracking Project, katerega namen je bil izgradnja odprtokodne GSM prisluškovalne naprave za manj kot 1000 EUR. Namen projekta je bil javno pokazati na ranljivosti v algoritmu A5/1 in A5/2,...

27 komentarjev

Zastoj v razvoju odprtokodne prisluškovalne naprave za GSM?

Slo-Tech - Potem, ko smo pred časom poročali, da je skupina raziskovalcev uspela razbiti šifrirni algoritem A5, ki omogoča šifriranje pogovorov v GSM omrežju, je pri razvoju odprtokodne prisluškovalne naprave za GSM očitno prišlo do nenavadnega zastoja.

Projekt razvoja odprtokodne prisluškovalne naprave za GSM za ceno manj kot 1000 USD je bil prvič predstavljen na Chaos Communication Campu 2007 v Nemčiji. V predstavitvi projekta sta David Hulton in Steve Muller poudarila, da bodo izsledki projekta javno dostopni, posebej zanimiv pa je odgovor na prvo vprašanje iz publike na koncu predstavitve.

Hulton in Muller sta nato na konferenci Blackhat Washington pripravila še eno predstavitev projekta, kjer sta predstavila že nekoliko bolj izdelano prisluškovalno napravo za 900 USD.

Vendar pa v času predstavitve projekt še ni bil povsem dokončan, saj mavrične tabele, ki sta jih raziskovalca uporabljala za kriptoanalizo GSM pogovorov še niso bile izdelane v celoti. Sta pa raziskovalca napovedala, da...

4 komentarji

Ministrstvo za domovinsko varnost vlaga v varnost odprtokodnih projektov

Schneier.com - Kot poroča Schneier ameriško Ministrstvo za domovinsko varnost ameriški državni denar vlaga tudi v splošno koristne stvari.

V okviru projekta Open Source Hardening Project so namreč marca 2006 vložili 300.000 USD v plačujejo za varnostna testiranja odprtokodne programske opreme in odpravo najdenih napak. Pregled in odpravo izvajata podjetje Coverity ter Stanfordska univerza.

Od leta 2006 so pomagali odpraviti že 7826 varnostnih ranljivosti v 250 odprtokodnih projektih, preiskane pa je bilo okrog 50 milijonov vrstic kode.

Podjetje Coverity se poleg odprtokodnih projektov ukvarja tudi z iskanjem in odpravo napak v zaprtokodnih projektih.

9 komentarjev

Je OpenOffice.org za slovensko državno upravo predrag?

Večer - Spletni Večer je 2. februarja objavil članek v katerem navaja, da je slovenska država z Microsoftom obnovila pogodbo Enterprise Agreement. Država se je torej odločila za MS Office, in sicer na podlagi študije, ki pa je novinarjem Večera niso hoteli posredovati (ogledali naj bi si jo lahko le na sedežu ministrstva, ker da sodi med avtorska dela). Novinarji Večera so se pritožili pooblaščenki za dostop do informacij javnega značaja in poročilo končno le prejeli.

Za kaj točno gre?

V dokumentu "Primerjava ekonomske upravičenosti nabav pisarniške zbirke za potrebe državnih organov RS" je v prvem poglavju zapisano da "po do sedaj preverjenih lastnostih pisarniška zbirka OpenOffice.org porabi več pomnilnika na delovni postaji in se tudi opazno počasneje nalaga, kar predstavlja manjšo pomankljivost", ter da "še vedno pa obstaja nerazrešen največji problem, to pa je prenosljivost dokumentov med obema pisarniškima zbirkama". V nadaljevanju je pojasnjeno, da OpenOffice.org ponuja delno...

421 komentarjev

Evropska skupnost odprte kode protestira

OSNews - Sporočila na uvodnih straneh uglednih odprtokodnih projektov, med drugim na Debian.org, Apache.org, Gnome.org, KDE.org in Mozilla.Lugos.Si [:D], opozarjajo na protest proti direktivi o patentiranju programske opreme, o kateri bo septembra glasoval Evropski parlament.

Prvega septembra bodo v Bruslju glasovali o sprejetju izboljšane izdaje Evropskih patentnih pravil. Predlagana izdaja vsebuje številna oporekanja odprtokodnemu razvoju, saj bo urejevanje patentiranja programske opreme mnogo bolj razprostrto in lahko celo prepove neodvisen razvoj (odprtokodnih ali ne-odprtokodnih) inovativnih programskih rešitev.

Evropska skupnost odprte kode je zelo zaskrbljena nad prihodnostjo, ki preti, zato je 27. avgusta organizirala protest. Spletne strani odprtokodnih projektov in skupnosti je nagovorila, naj zamenjajo svoje domače strani in na njih predstavijo problematiko e-patentov.

Za več informacij obiščite http://swpat.ffii.org in podpišite spletno peticijo.

13 komentarjev