Slo-Tech - Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo...

Slo-Tech - Po poročanju italijanske tiskovne agencije ANSA so neznani hekerji odtujili zasebne ključe, ki se uporabljajo za podpisovanje evropskih covidnih potrdil. Ni znano, od kod so ključe ukradli, ANSA pa poroča, da ne iz Italije. Ponarejena potrdila naj bi trenutno krožila po Franciji in Poljski.

Ker je internet pač internet, se je seveda takoj na njem znašlo veljavno covidno potrdilo na ime Adolf Hitler, rojen leta 1900. Na darknetu so se začela prodajati tudi druga digitalna potrdila. Po neuradnih podatkih na nivoju EU že potekajo sestanki, kjer ugotavljajo obseg škode in podrobnosti. Trenutnoni znano, kdaj so ključe dejansko ukradli. Za zdaj so se odločili, da prekličejo ukradene ključe, kar bo razveljavilo vsa z njimi izdana potrdila. To pomeni, da bodo morali legitimnim imetnikom potrdil izdati nova.

Official Google Blog - Google se je odločil, da često prezrt kos strojne opreme, ki neopažen ždi na tleh pod mizo, vse dokler deluje, potrebuje osvežitev. Od brezžičnih usmerjevalnikov pričakujemo zagotavljanje signala Wi-Fi brez prekinitev, zato so prekinitve neprijetne. V sodelovanju s podjetjem TP-Link so izdelali usmerjevalnik OnHub, ki je od daleč še najbolj podoben Amazonovemu Echu in naj bi v prihodnosti tegobe z nezanesljivim omrežjem ali preobremenjenim usmerjevalnikov odpravil.

Valjasta oblika ni naključna, saj je Google želel usmerjevalnik oblikovati tako, da ga bomo lahko postavili na sredino stanovanja, recimo na polico ali mizo, od koder bo svojo nalogo opravljal učinkoviteje. Na voljo je v modrem in črnem, signalne diode pa so vdelane tako, da ne kazijo videza. V notranjosti najdemo 13 anten - od...

Slo-Tech - Google se je odločil, da bo zaradi pritiskov javnosti in okrnjenega ugleda, ki so se pojavili po izbruhu vohunske afere Prism, začel privzeto šifrirati vse podatke v svoji storitvi Google Cloud Storage. Gre za storitev, ki ni namenjena domačim uporabnikom, ampak podjetjem za shranjevanje podatkov.

Odslej bo vsa vsebina, ki jo bodo ta tja naložila, avtomatično šifrirana z 128-bitnim ključem v algoritmu AES. Google pravi, da se bo to dogajalo on-the-fly, torej še pred zapisom podatkov na disk. Strankam ne bo treba nastaviti ničesar, niti se ne bo zanje nič spremenilo.

In slednje je globlja ugotovitev, kot bi na prvi pogled ocenili. Pri vsakem šifriranju je glavno vprašanje, kdo ima ključe. V tem primeru jih bo imel -...

Ars Technica - Ruski proizvajalec programske opreme ElcomSoft je pripravil komercialno dostopno orodje, ki omogoča zaobiti šifriranje podatkov na Applovih napravah s sistemom iOS 4. Program obstoji v dveh verzijah: komercialni, ki omogoča iskanje gesla s surovo silo, kar ni preveč impresivno, in varovani (ki je namenjena le organom pregona in ni naprodaj), ki omogoča poiskati šifrirane ključe na napravi in odšifriranje celotno vsebine naprave.

To je mogoče izvesti, če so uporabljeni ključi...

Slo-Tech - LittleBlackBox Project je na internetu objavil bazo več kot dva tisoč zasebnih SSL-ključev, ki se uporabljajo pri asimetričnem šifriranju komunikacije. Objavljeni so ključi, ki so nespremenljivo zapisani (hard-coded) v različnih vgrajenih napravah, kot so usmerjevalniki interneta in podobno. Da imajo te naprave zapečene SSL-zasebne ključe v svoji strojno programsko opremo (firmware), je znano že dolgo časa, a doslej se jih nihče ni lotil sistematično iskati in objavljati.

Problem je, da so ti ključi fizično in nespremenljivo zapisani v naprave, tako da imata dve...

Slo-Tech - Na spletni strani pastebin.com je objavljena 40 x 40 matrika 56-bitnih šestnajstiških števil, ki naj bi predstavljala glavni ključ (master key) Intelovega sistema HDCP. Če to drži, potem je HDCP razbit in bo možno generirati poljubno število zasebnih ključev ter tako prisluškovati domnevno varni komunikaciji med virom in ponorom večpredstavnostne vsebine, s čimer bo mogoče zaščiteno vsebino kopirati v polni kakovosti.

Intel je HDCP razvil z namenom preprečitve kopiranja digitalnih video in avdiovsebin, ki potujejo prek povezav DisplayPort, DVI, HDMI, GVIF in UDI. Vsaka naprava, ki želi sprejemati omenjeno komunikacijo, ima svoj par ključev. Zasebni ključ uporabi za dešifriranje podatkovnega toka, ki ga v šifrirani obliki pošilja vir. Na ta način je preprečeno prisluškovanje komunikaciji in kopiranje, saj jo le licencirane naprave lahko dešifrirajo. Razkritje ključev je kršitev licenčne pogodbe, poleg tega pa Intel v takem primeru omenjene zasebne ključe prekliče. Zato so ti ključi...

Slo-Tech - Kot poročajo na poštnem seznamu Debianove skupine za zagotavljanje informacijske varnosti, je raziskovalec Luciano Bello odkril, da OpenSSL paket Linux distribucije Debian vsebuje predvidljiv generator naključnih števil.

Do napake je prišlo zaradi prilagoditev paketa distribuciji Debian, kar pomeni, da so neposredno prizadeti samo Debian in na njem temelječi sistemi (tudi Ubuntu!). Ranljivost vsebujejo vse različice openssl kasnejše od 0.9.8c-1, ki je bila sprejeta v Debianova skladišča 17. septembra 2007.

Zaradi ranljivosti se priporoča menjavo vseh kriptografskih ključev za SSH, OpenVPN, DSNSEC, SSL/TLS ter ključe uporabljene v X.509 certifikatih. Prav tako so kompromitirani tudi vsi DSA ključi uporabljeni za podpisovanje in avtentikacijo, saj Digital Signature Algorithm uporablja ranljivi naključni generator števil. GnuPG in GNUTLS ključi niso kompromitirani.

Uporabnikom Debiana, Ubuntuja in ostalih na Debianu temelječih distribucij svetujemo čimprejšnjo varnostno posodobitev...

Slo-Tech - Septembra 2007 smo poročali, da je skupina raziskovalcev uspela razbiti sistem za daljinsko zaklepanje avtomobilov KeeLoq.

Sistem so razvili v 1980-tih in ga pričeli prodajati v 1990-tih, danes pa ga uporabljajo praktično vsi avtomobili, ki omogočajo daljinsko zaklepanje, uporablja pa se tudi za daljinsko zaklepanje večine garažnih vrat.

Za izvedbo prvega napada, ki so ga izvedli lansko leto, se je bilo potrebno približati ključu za približno 65 minut. V tem času je napadalec prebral podatke iz ključa, sledilo pa je dekodiranje, oz. iskanje glavnega šifrirnega ključa, ki je trajalo okrog enega dneva.

Skupina nemških raziskovalcev pa je sedaj napad še izboljšala. V okviru novega napada napadalec prisluškuje daljinskemu upravljavcu (to je mogoče storiti iz oddaljenosti do 100 metrov), prestreči pa mora samo dve sporočili med daljinskim upravljavcem in "bazno postajo". Zbrane podatke nato analizira, pridobi unikatni šifrirni ključ, ki ga daljinski upravljalnik uporablja za...

Slo-Tech - Sony je predstavil napravo, ki s pomočjo sistema GPS zabeleži lokacijo, kjer je fotograf pritisnil na sprožilec. Izdelek spominja na nekoliko večji obesek za ključe, ki ga pripnemo za pas ali na nahrbtnik. Med fotografskim potepanjem mali gizmo tako s pomočjo sistema GPS beleži koordinate lokacij, ki jih je moč kasneje sinhronizirati z metapodatki (EXIF) posnetih digitalnih fotografij.



Več na dpreview.

SiOL - Na SiOLovi strani sem prebral, da obstaja programček, ki vam pretvori Windows 2000 Professional v Windows 2000 Server. Kako? Znano dejstvo je, da se družine windows OSjev ne razlikujejo nikjer, razen v registru. Torej program NTSwich samo zamenja te ključe v registru in viola! Imate server verzijo. Seveda ni vse tako lepo, saj nad temi ključi v registru bedijo posebni programi, ki preprečujejo spremembo ključev. Opis, kako program deluje, dobite v celoti tukaj, vendar ga avtorji ne ponujajo več na njihovi strani, zaradi legalnih problemov (Microsoft ima dolge prste, hehe). No, zadeva naj bi delovala nekako takole:

• program najprej naredi backup registra
• popravi nekaj ključev v backup registru
• restarta računalnik z novim registrom.

In če imate srečo boste dobili Windows 2000 Server! Baje na bi delovalo tudi na WinXP (dobili bi windows whistler server - beta .NET server), vendar avtorji ne priporočajo, saj ni preizkušeno.
...