»

Srečanje OWASP Maribor: Kako so hekerji napadli elektro distributerja v Ukrajini leta 2015 in kako se v takih primerih branimo

OWASP

Slo-Tech - V sredo 30. junija ob 20. uri bo na virtualnem srečanju OWASP Maribor Matjaž Demšar predstavil nekaj izzivov povezanih s kibernetsko obrambo na področju nadzorovanja in krmiljenja industrijskih sistemov.

S prodiranjem digitalizacije v proizvodna okolja in kritično infrastrukturo se pojavljajo tudi tveganja za upravljavce. Pristopi k varovanju se precej razlikujejo od običajnega IT okolja in postavljajo organizacije pred izzive, njihovo infrastrukturo pa v nevarnost. Pogledali si bomo primer napada na elektro distributerja v Ukrajini leta 2015 ter priporočila za zagotavljanje varnosti v takih primerih.

Vabljeni k obisku, s prijavo na dogodek boste pridobili povezavo na online srečanje.

1 komentar

Telesni skenerji na ameriških letališčih neučinkoviti

ABC News - Telesni skenerji, ki so se na ameriških in drugih letališčih začeli uporabljati pred sedmimi leti, so zaradi svoje neučinkovitosti domala neuporabni, razkriva ABC, ki se sklicuje na interno poročilo ameriške TSA. Od 70 primerov so agentje NSCT v 67 primerih uspeli skozi telesne skenerje neopazno prenesti orožje ali razstreliva.

V preteklosti so telesni skenerji dvignili že veliko prahu, kjer so bili eni glavnih očitkov, da omogočajo neoviran pogled skozi obleko, zaradi česar so jih nekaj tudi umaknili in zamenjali. Da skenerji niso stoodstotni, je že znano. Že pred tremi leti smo poročali, kako je mogoče - in to so v ZDA že v praksi preizkusili - s spretno došitim stranskim žepom pretihotapiti kovinske predmete mimo skenerja.

Rdeče...

24 komentarjev

ZDA z letališč umikajo telesne skenerje, ki preveč razgalijo potnike

OSI Rapiscan

Bloomberg - V ZDA imajo na večini letališč telesne skenerje, ki nadomeščajo klasično pretipanje potnikov in detektorje kovin. Skenerje jim dobavljata dva proizvajalca, in sicer OSI Rapiscan ter L-3. S prvimi je bilo precej težav, saj nadzornikom prikažejo sliko potnikov, kjer so ti videti precej goli. Posnetki so tako problematični (glej primer spodaj), da je TSA (Transport Security Administration) podjetju OSI Rapiscan naročila, da morajo napisati programsko opremo, ki bo prikazovala spodobnejše posnetke ljudi. Ker jim to ni uspelo, se bodo njihovi skenerji poslovili, medtem ko L-3 ostajajo.

Že lani so umaknili 76 naprav podjetja OSI Rapiscan, ameriški Kongres pa je podjetju na predlog borcev za pravico do zasebnosti naročil prilagoditev programske opreme, da bodo posnetki nevtralnejši. Ker OSI...

74 komentarjev

Bloger prelisičil telesne skenerje s spretno došitim stranskim žepom

Kovinski predmet v stranskem žepu, v živo.

vir: TSA out of our pants
Slashdot - Prisotnost EHF in X-Ray telesnih skenerjev na ameriških letališčih povzroča nemalo skrbi, med drugim zato, ker naj kljub zasoljeni ceni za davkoplačevalca, zdravje in zasebnost niti ne bi delovali najbolje. To sta povedala že nekdanji vodja varnosti na izraelskem letališču Ben Gurion (kjer jih nočejo), kot tudi agentka TSA, ki je lani tega časa med internim testiranjem mirno prišla skozi 5 različnih telesnih skenerjev s pištolo, skrito v spodnjem perilu. Zdaj se za seznam uspešnih hekerjev prijavljajo tudi blogerji.

Jonathan Corbett je na svojem blogu TSA out of our pants zapisal, da se jih da povsem enostavno preigrati z nošenjem orožja ob strani telesa, npr. v skritem žepu (gornja slika). To je mogoče zato, ker kovinski predmeti oddajajo značilni črni vzorec, se...

15 komentarjev

Srečanje OWASP in predavanje v Mariboru

Slo-Tech - V sredo, 8. decembra 2010, bo v Mariboru potekalo srečanje OWASP, v okviru katerega bodo ponovili predavanje Remote Binary Planting - An Overlooked Vulnerability Affair. Na njem bodo opisali istoimensko ranljivost, ki je v zadnjem času priljubljena tema, saj je bila uporabljena tudi pri pisanju črva Stuxnet, ki povzroča težave iranskemu jedrskemu programu.

Ob 16.00 uri tega dne bo na Smetanovi ulici 17 v Mariboru v predavalnici G2-P2 DELTA predaval Mitja Kolšek iz podjetja Acros. Predstavil bo raziskavo, ki "je osvetlila velikost problematike, in opisal tehnično plat ranljivosti" ter jo popestril z "zakulisnimi informacijami in opisom zanimive izkušnje, ki se je zgodila po ogromnem odzivu vseh največjih svetovnih računalniških medijev in javnosti." Vabljeni na dogodek, za...

2 komentarja

Vabilo na srečanje OWASP Slovenija

Slo-Tech - V sredo, 6. oktobra 2010, se bo ob 15. uri v Ljubljani na Litijski 51 (v prostorih podjetja HERMES SoftLab) odvilo OWASP predavanje o aplikacijski varnosti.

Predavala bosta Edvard Šilc o telesnih skenerjih na slovenskih letališčih ter Mitja Kolšek o tehniki napada, znani pod imenom remote binary planting.

Edvard Šilc bo imel ponovitev svojega junijskega predavanja iz OTS 2010 v Mariboru. Govoril bo o tem, kako nacionalno varnost kot najvišjo obliko varnosti pogosto zagotavljamo na račun drugih človekovih pravic, v primeru uvajanja telesnih skenerjev na letališčih pa v zameno niti ne dobimo večje varnosti.

Predavanje Mitje Kolška pa bo namenjeno predstavitve binary planting ranljivosti, s katero je mariborsko podjetje Acros v preteklem mesecu dodobra vznemirilo svetovno strokovno javnost. Predstavljena bo raziskava, ki je osvetlila velikost problematike in opisana tehnična plat ranljivosti, obetamo pa si lahko tudi nekaj zakulisnih informacij in opis zanimive izkušnje, ki se je...

3 komentarji

Predavanja OWASP Slovenija na OTS 2010 javno dostopna

Slo-Tech - Pred kratkim je organizacija OWASP (Open Web Application Security Project), ki se ukvarja z aplikacijsko varnostjo, pričela z uradnim delovanjem tudi v Sloveniji. Slovenska sekcija je prejšnji teden v Mariboru v okviru OTS 2010 predstavila štiri zanimiva predavanja, katerih prosojnice so prosto dostopne na internetu:

- Marko Hölbl: Pasti pri vgradnji kriptografije v aplikacijski svet
- Milan Gabor: Slovenske spletne aplikacije imajo »TALENT«
- Jure Škofič: "Race condition" - Ko želva stavi na srečo, zajec pa na "symlink" napad
- Edvard Šilc: Telesni skenerji na slovenskih letališčih

OWASP Slovenija tudi vse, ki jih skrbi aplikacijska varnost, vabi v svoje vrste. Podporno članstvo je brezplačno.

1 komentar

Bodite dobri državljani – slecite hlače

Wired Blog - Po napovedih, da naj bi tudi v EU uvedli telesne skenerje so se zganili v številnih evropskih državah. Po mnenju Slovenije je uporaba teh skenerjev velik poseg v človekove pravice, vprašljive pa so tudi varnostne koristi, pomisleke je izrazila tudi Viviane Reding, kandidatka za evropsko komisarko za pravosodje, temeljne pravice in državljanstvo, na najbolj izviren način pa so proti tem napravam protestirali člani piratske stranke v Nemčiji.



Na letališču v Berlinu so namreč izvedli "fleshmob" akcijo, kjer so na letališče prišli pomanjkljivo oblečeni, na telesih pa so imeli napise "Imate kaj za skrivati?" in "Bodite dobri državljani - slecite hlače".

O protestu poroča tudi Wired.

615 komentarjev

V Kiberpipi ta teden

Kiberpipa - Zamudniki in tisti, ki bi se še v zadnjem trenutku želeli udeležiti Kiberpipine delavnice spajkanja, ki bo potekala v tem tednu, imate še zadnjo priložnost. Našlo se bo še kakšno mesto, zato pohitite s prijavo in poiščite vse ostale informacije...

Letos mineva 135 let od kar se je uveljavil razpored tipk QWERTY. V šolah, kjer svoje učence/dijake/študente učijo umetelnosti tipkanja, poudarjajo, da je to idealen razpored znakov, ki omogoča najhitrejše desetprstno slepo tipkanje. Kolikokrat ste vpisovali svoje kompleksno geslo, kot priporočajo strokovnjaki za informacijsko varnost in ste se pri tem motili in se jezili sami nad seboj. Ali ste upravičeni do te (samo)graje ali pa bi lahko tipke na vaši tipkovnici namestili bolj pregledno / funkcionalno / ergonomsko? Edvard Šilc bo v torek ob 19h na Pipinem odprtem terminu predstavil omenjeno temo.

Na sredinih Spletnih uricah bo Primož Bratanič govoril o skalabilnosti spletnih aplikacij. Hitro razvijajoče aplikacije, ki so osrednja...

3 komentarji

Anketa razkrila, da slovenska podjetja ne podpirajo direktive o programskih patentih

Slo-Tech - Današnje DELO (petek 15. aprila 2005) je na strani 18 objavilo članek z naslovom "Slovenski študenti postavljajo GZS na laž".

Kot poroča DELO, so člani študentskega zbora ljubljanske študentske organizacije (ŠOU) preko komunikacijsko-informacijskega servisa ŠOU v Ljubljani pripravili in izvedli anketo o tem, kakšno mnenje imajo o sporni direktivi o programskih patentih slovenska podjetja.

Anketirali so 1123 podjetja, članice Združenja za informatiko pri GZS. Združenje za informatiko sporno direktivo uradno podpira, odgovori podjetij pa kažejo, da kar 79 odstotkov podjetij direktivi nasprotuje (na anketo je sicer odgovorila petina podjetij).

Na vprašanje novinarja DELA zakaj so v Združenju za informatiko čakali na študentsko pobudo, namesto da bi sami ugotovili interese slovenskega gospodarstva, katerega interese naj bi zastopali je sekretarka združenja Andreja Ivartnik Kanduč med drugim odgovorila, da "Upravni odbor ni nikoli predlagal nobene raziskave. Tudi za podporo direktivi...

32 komentarjev

Microsoft trdi, da je varnost Linuxa mit

Vnunet - Predstavnik Microsofta v Veliki Britaniji, Nick McGrath, je pred dnevi medije obvestil o grozni napaki, ki jo dela strokovna javnost v zvezi s poudarjanjem pregovorno varnega Linux okolja v primerjavi z Windows okoljem. Predvsem izpostavi dejstvo, da v svetu Linuxa nihče ni odgovoren za napake, ki se pojavijo v jedru. Tako Red Hat ne more sprejeti odgovornosti za te napake, saj sam ne programira jedra, ampak pripravlja le distribucijo. (Pri tem pozablja, da Red Hat sprotno popravlja odkrite napake in ima lasten sistem za zagotavljanje kakovosti za stranke, ki takšno podporo potrebujejo.)

Prav tako ga moti kopica dejstev, ki nimajo nič z varnostjo Linuxa. Prepričan je, da Linux ni pripravljen za t.i. mission-critical naloge, pri katerih si ne moremo privoščiti niti sekundnega izpada. To argumentira z dejstvi, da ni enotnega sistema za prijavo (Microsoft ima .Net Passport) in pomanjkanje enotnega razvojnega okolja.

Vsekakor je vrhunec prispevka njegova omemba dejstva, da...

129 komentarjev