Sophos - Za zdaj še neznani napadalci so vdrli v strežnik strani YouPorn in pridobili vsaj 6400 uporabniških imen in pripadajočih gesel, ki so jih nato javno objavili na spletu. Odgovornost za vdor to pot večidel leži na YouPornovih plečih, saj so napadalci zlorabili veliko varnostno pomanjkljivost. YouPorn je 93. najbolj priljubljena spletna stran na internetu (v absolutni kategoriji) in najbolj priljubljena pornografska stran. Dostopna je brezplačno, na njej je več videoposnetkov po vzorcu YouTuba, uporabniki pa se lahko za uporabo dodatne funkcionalnosti in nalaganje lastnih vsebin brezplačno registrirajo.

Sodeč po trenutno dostopnih podatkih je pisec strani oziroma njenega dela že...

Mozilla.org - V javnosti so se znašli podatki, da je Mozilla zaradi napake na strežniku za kratek čas 17. decembra javno objavila približno 44.000 gesel uporabniških računov za stran https://addons.mozilla.org. O spodrsljaju, na katerega je Mozillo opozoril neodvisni varnostni strokovnjak, so obvestili lastnike računov in tudi širšo javnost.

Šlo naj bi za trenutno neaktivna gesla, ki so bila shranjena še s staro zgoščevalno funkcijo md5, medtem ko so vsa od 9. aprila lani aktivna shranjena s SHA-512. Mozilla je hitro onemogočila omenjene račune in njihove lastnike obvestila, kako naj si nastavijo novo geslo in znova aktivirajo račune. Prav tako so zagotovili, da baze gesel v času dosegljivosti na spletu s strežnikov ni prenesel nihče, tako da nevarnosti praktično ni.

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...

Slashdot - Uslužbenci ameriške banke iz Wyominga, Rocky Mountain Bank, so 12. avgusta letos pomotoma poslali imena, naslove, SSN številke ter podatke o dolgovih svojih 1300 strank na nek GMail poštni naslov. Ko so v banki odkrili napako, so prejemniku poslali sporočilo, v katerem so ga prosili, naj datoteko uniči in je ne odpre. Odgovora ni bilo, zato so se obrnili na Google s prošnjo, naj jim razkrije identiteto lastnika e-poštnega računa.

Google je na to odvrnil, da za kaj takega potrebujejo sodno odredbo. Zato so pri banki sodišče zaprosili za odredbo s katero bi sodišče Googlu naložilo razkritje identitete lastnika računa ter deaktivacijo njegovega (ali njenega) računa. Pri tem so celo hoteli, da primer ostane tajen, čemur pa sodišče ni ugodilo.

Kljub temu, da je šlo za očitno napako banke in da lastnik računa, kamor so bili pomotoma poslani podatki ni storil ničesar spornega (pravzaprav sploh ničesar), pa je sodnik James Ware iz okrožnega sodišča v Kaliforniji presodil, da mora Google...

Slo-Tech - V poplavi na omrežju temelječih storitev (ki večinoma tečejo v oblakih), je očitno napočil čas, da poleg lastniškega omrežnega programja dobimo še odprtokodno.

Skupina razvijalcev združenih v organizacijo Live Office tako pripravlja spletno aplikacijo, ki omogoča organizacijo osebnih informacij, stikov, zabeležk, osebnih dokumentov ter sestankov.

Podatki so shranjeni na spletnem strežniku v šifrirani obliki in dostopni samo lastniku oz. imetniku gesla, na voljo pa je tudi podpora za več jezikov (trenutno poleg angleščine samo še francoščina). Trenutna različica je še razvojna (0.9.01-dev), v bližnji prihodnosti pa nameravajo dodati še podporo za več jezikov, module za vodenje osebnih financ ter modul za shranjevanje gesel. Pripravljajo tudi namizno različico v Javi, ki bo omogočala delo brez povezave v splet ter kasnejšo sinhronizacijo s strežnikom. Projekt je zastavljen precej resno, saj razvijalci pripravljajo obsežno pomoč (tudi z videovodiči).

Najlepše pri vsem skupaj je, da...

Schneier.com - Na internetu se je pojavila spletna stran You've Been Left Behind, ki zainteresiranim omogoča pošiljanje elektronskega sporočila po smrti.

Letna naročnina na storitev stane 40 USD, spletna stran pa omogoča, da svojim najdražjim pošljete ljubeče sporočilo, v katerega pa lahko vključite tudi (citat s spletne strani): "dostop do svojega bančnega ali borzno-trgovalnega računa, opis skritih vrednih predmetov" in podobne za vaše najdražje pomembne informacije.

Vse te informacije so na strežniku shranjene v šifrirani obliki, hkrati z njimi pa se na strežniku varno spravljen nahaja tudi šifrirni ključ.

V primeru, da se boste torej odločili za uporabo omenjene storitve torej na strežnik nikakor ne pozabite vpisati vseh vaših gesel in naložiti certifikatov za spletno bančništvo. Morda vam bodo vaši svojci po smrti globoko hvaležni. Morda pa vam bo kakšen spletni goljuf hvaležen tudi pred vašo smrtjo...

Slo-Tech - Nemškim raziskovalcem je uspel nov preboj na področju zgoščevalnih funkcij. Pozimi se je začelo z nekaj teoretičnimi prebliski in končalo z metodo za generiranje certifikatov X.509, med katerimi lahko prosto prenašamo podpise, ker imajo zgoščeni z funkcijo MD5 enako vrednost (zaradi nekaterih težav z ohranjanjem tajnosti zasebnih ključev, če lahko napadalec izbere besedilo, ki ga bomo podpisali, se vedno podpisuje kratek niz znakov, dobljen iz dokumenta s kriptografsko zgoščevalno funkcijo in ne dokumenta samega).

V vmesnem času je raziskovalcem kar nekaj zgoraj omenjenih metod uspelo v rahlo modificirani obliki uporabiti tudi za igranje z zgoščevalno funkcijo SHA1.

V zadnjih dneh pa je bila celotna zgodba dvignjena na popolnoma nov nivo. Raziskovalcem je namreč uspelo ustvariti dva smiselna dokumenta z enako MD5 vrednostjo (torej lahko zanju uporabimo isti elektronski podpis).

Glede na to da sta algoritma MD5 in SHA-1 le majhna popravka algoritma MD4, lahko v bližnji...