»

Kraja gesel s čepenjem za hrbtom

Heise - Shoulder surfing oz. zijanje pod prste, medtem ko uporabnik računalnika oz. mobilne naprave vpisuje skrajno pomembno geslo, je s prihodom touchpadov postalo samo še lažje. Večina jih je opremljena z navidezno tipkovnico, ki nima istega učinka kot fizična (hitrost tipkanja, natančnost, uporaba večih prstov, možnost tipkanja z rokavicami, ipd), zato pa ponujajo dodatna pomagala, kot so večje tipke oz. osvetlitev pravkar pritisnjene tipke. Varnostni inženirji pri tvrdki Thinkst so spisali mobilno aplikacijo, ki z video kamero snema žrtvin tablet, zazna on-screen tipkovnico in zabeleži vpisano geslo, vse avtomatsko.

Program uporablja odprtokodno knjižico OpenCV in nekaj svoje kode, ki išče značilni barvni odblisk ob stisku tipke. Več...

7 komentarjev

Raziskovalci prikazali napad na zaklenjen iPhone

ComputerWorld - Raziskovalci s Fraunhoferjevega inštituta za varno informacijsko tehnologijo so prikazali, kako lahko v šestih minutah iz zaklenjenega iPhona pridobijo osebne podatke in gesla, če imajo fizičen dostop do naprave.

V napadu najprej izvedejo programski jailbreak na telefonu, nato nanj namestijo SSH-strežnik in vanj prekopirajo skripto, ki jim zagotovi dostop do keychaina. To je Applov sistem za upravljanje s shranjenimi gesli. Ker je kriptografski ključ na napravah z operacijskim sistemom iOS neodvisen od gesla, lahko napadalec dostopi do telefona z izdelavo ključa, ne da bi moral poznati ali razbiti geslo za zaklep telefona. Ranljiva so le gesla v keychainu.

Med odkritimi gesli so bila tudi gesla za Gmail, Microsoft Exchange, LDAP,...

23 komentarjev

Analiza pobeglih gesel: še vedno nič novega

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru...

17 komentarjev

Analiza slovenskih gesel

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.

39 komentarjev

Večina gesel ni varnih

RockYou celo ni dovoljeval posebnih znakov

vir: HotHardware
HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):
  • 123456 (290,731)
  • 12345 (79,078)
  • 123456789 (76,790)
  • Password (61,958)
  • iloveyou (51,622)
  • princess (35,231)
  • rockyou (22,588)
  • 1234567 (21,726)
  • 12345678 (20,553)
  • abc123 (17,542)
Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

46 komentarjev

Ameriška carinska uprava kupuje igralne konzole PlayStation

Slashdot - Kot poročajo na Slashdotu, je center za kiberkriminal na ameriški carinski upravi kupil 20 PlayStation 3 igralnih konzol, načrtujejo pa še nakup dodatnih 40.

Vendar pa igralnih konzol ne bodo uporabljali za igranje iger, pač pa za razbijanje gesel na zaseženih računalnikih. PS3, ki stane 300 USD, namreč lahko preizkusi 4 milijone gesel na sekundo in je precej bolj učinkovita od namenskih Tableau/Dell strežnikov, ki so tudi dražji.

Za preverjanje gesel z grobo silo je seveda potrebna precej velika računska moč (za 6-mestno geslo je 281474976710656 kombinacij), vendar pa je gesla mogoče razbijati tudi z bolj učinkovitim napadom s slovarjem oz. z nekaj poznavanja načinov kako ljudje izbiramo gesla. Zato vsekakor ni odveč kakšen nasvet glede izbire kvalitetnega gesla.

Seveda pa gesla ne potrebujete, če nimate česa skrivati...

34 komentarjev

Kiberpipa vabi na...

Cross/Hibrid

vir: Kiberpipa
Kiberpipa - V novem tednu vas ljubljansko središče odprte kode Kiberpipa vabi kar na pet dogodkov. Na Pipinem odprtem terminu bo prikazan hekerski napad na izmišljeno podjetje. Matej Kovačič, asistent in raziskovalec na FDV in član strokovnega sveta Inštituta za forenziko informacijskih tehnologij, in Gorazd Žagar, ki je diplomiral na FRI z diplomo "Metode in tehnike napadov na informacijsko komunikacijske sisteme", trenutno pa je zaposlen kot sistemski inženir v podjetju Pro Plus d.o.o., bosta prikazala, kako lahko napadalec prevzame nadzor nad tarčo, predstavljen pa bodo različne hekerske tehnike od popisovanja omrežja in uporabnikov, dumpster diving, phreaking, socialni inženiring, napad na...

9 komentarjev

Analiza ukradenih gesel: nič novega

Slashdot - Ta teden so neznanci vdrli na stran phpBB.com in svoj napad natančno popisali. S pedagoškega vidika je opis poučen, s psihološkega pa je zanimivejša analiza gesel uporabnikov, ki so jih odtujili. Še enkrat več se je izkazalo, da uporabniki kaj pretirano inovativni niso, saj je najpogostejše geslo 123456, ki mu sledijo password, phpbb, qwerty, 12345 in 12345678. Podatki še kažejo, da je 16 odstotkov gesel enakih kot je ime uporabniku, 14 odstotkov predstavljajo vzorci na tipkovnici (denimo 1234, asdf ipd.), štiri odstotke gesel je variacij na temo password (passw0rd, password1 ipd.), pet odstotkov je pobranih iz popkulture (pokemon, blink182 ipd.). Tretjina gesel vsebuje šest znakov, samo poldrugi odstotek ljudi pa uporablja geslo z vsaj desetimi znaki.

27 komentarjev

OperacijskiSistem 2008: Please laugh in!

The Register - Biometrija -- biološka statistika. Pri IT pod tem pojmom mislimo predvsem na proučevanje telesnih atributov in njihovo izkoriščanje v namene sledenja in avtentikacije uporabnikov. Človeštvo obvladuje prstne odtise, očesne mrežnice, bedna gesla 'admin' in osebno zaupanje, sedaj pa se jim pridružuje še glas -- vendar tokrat na veliko nižji ravni.

Govorim o programu SoundHunter, katerega namen je sledenje uporabniku in prijava v sistem, še preden uporabnik sam sploh doseže ciljni računalnik. Pri tem pa ne bi bilo nič zanimivega (kaj šele vrednega omembe ;)), če ne bi delovalo na principu prepoznavanja smeha kot gesla in analize korakov, na podlagi katere si sistem predstavlja gibanje osebka v prostoru in ga avtomatično prijavi v računalniški sistem, kateremu je najbližji oz. h kateremu je napoten. Zanimivo? TheRegister!

1 komentar