Slo-Tech - NordVPN se je dlje časa oglaševal kot storitev, ki zagotavlja zasebnost na internetu in zaščito pred nepovabljenimi očmi. Toda v resnici je bil NordVPN tarča hekerskega vdora že marca 2018, za kar so izvedeli pred nekaj meseci, stranke pa o tem obvestili šele sedaj. Da je nekaj narobe, se je na temnem delu interneta govorilo že od maja 2018. Trenutno dostopni podatki kažejo, da so imeli napadalci polni (root) dostop do NordVPN-ja. Odnesli so tudi zasebne šifrirne ključe, med drugim ključ za certifikat za domeno nordvpn.com, ključ za podpisovanje digitalnih certifikatov drugih storitev NordVPN-ja in ključ za dostop do strežnikov. Omenjeni ključi so potekli kasneje leta 2018 in danes niso več relevantni.

NordVPN v izjavi za javnost pojasnjuje, da je bil marca 2018 prizadet en strežnik na Finskem, drugi pa naj ne bi bili kompromitirani. Poudarjajo, da je bil napad usmerjen na omenjeni strežnik in ne na celotno storitev. Napad naj bi bil posledica nepravilne konfiguracije na strani...

Slo-Tech - Gal Beniamini iz Googlovega projekta Zero, v sklopu katerega se iščejo ranljivosti v programski in strojni opremi, je odkril, da je veliko pametnih telefonov z iOS ali Androidom, ki uporabljajo Broadcomov čip za zagotavljanje povezljivosti z Wi-Fi, ranljivih za oddaljen napad. Za uspešen napad zadostuje, da je naprava v dometu istega Wi-Fi kakor napadalec, medtem ko žrtvi ni treba storiti nič. Apple je luknjo v ponedeljkovi posodobitvi iOS 10.3.1 že zakrpal, medtem ko je Google še ni. To naj bi storil še ta mesec, a v ekosistemu Android od popravka v glavni kodi do njegove namestitve na vseh napravah mine precej časa, vsi telefoni pa ga sploh ne dobijo.

Napad deluje, če telefonu pošiljamo paketke Wi-Fi (frames), ki vsebujejo določene posebej prilagojene vrednosti. To zmede firmware v Broadcomovem čipu, kjer pride do prekoračitve...

Slo-Tech - Wi-Fi se že rutinsko uporablja za določevanje makro lokacije, kjer lahko v navezi z GPS daje zelo natančne informacije, kje se nahaja sprejemnik. Na ameriški univerzi MIT pa so ugotovili in pokazali, kako lahko Wi-Fi uporabimo za določanje položaja v prostoru z natančnostjo nekaj deset centimetrov. Zamisel ni nova, je pa nova izvedba in predvsem namen uporabe, saj želijo s tem odpraviti potrebo po geslih.

Fizični priključki običajno niso zaščiteni z geslom, ker se lahko nanje priključimo le, če smo fizično v neki zgradbi. Brezžična omrežja za varovanje potrebujejo gesla, ker signal nekritično sega vse naokoli, tako da nimamo nobenega nadzora, kdo vse ga lahko sprejema. Toda če bi ga imeli, bi gesla lahko odpadla, so razmišljali na MIT-u. Tehnologijo, ki je temu namenjena, so poimenovani...

AllThingsD - Zadnja verzija Applovega mobilnega operacijskega sistema iOS 6.1.1 ima zanimivega hrošča, ki omogoča enostaven odklep telefona, četudi je ta zaklenjen s kodo. Namen zaklepa s kodo je onemogočitev uporabe telefona nepridipravu, ki ima fizičen dostop do telefona. Sedaj pa so odkrili način, kako to zaščito zelo enostavno obiti.

Vse, kar morate storiti za uporabe kateregakoli zaklenjenega iphona, je nekajkrat pritisniti tipko za izklop, vtipkati številko za klic v sili 112 in malo počakati. Točna navodila so na YouTubu (glej spodaj) in testi kažejo, da delujejo na vseh telefonih s posodobljenim operacijskih sistemom. Ne glede na nastavljeno geslo lahko tako vstopite v vsak vključen iPhone.

Spodrsljaj pa ni prvi, saj se je Applu nekaj...

threatpost - Raziskovalec z vzdevkom pod2g je odkril ranljivost v vseh verzijah iOS od prvih iphonov do zadnjih izdaj, ki omogoča prikaz lažne številke pošiljatelja kratkega sporočila (SMS). Z izkoriščanjem te ranljivosti lahko napadalec pošlje sporočilo, ki se zdi, kot da je prišlo z druge številke. Ker se žetoni in kode prek SMS-ov izkoriščajo za nekatere vrste identifikacije, tudi v nekaterih izvedbah...

Heise - Shoulder surfing oz. zijanje pod prste, medtem ko uporabnik računalnika oz. mobilne naprave vpisuje skrajno pomembno geslo, je s prihodom touchpadov postalo samo še lažje. Večina jih je opremljena z navidezno tipkovnico, ki nima istega učinka kot fizična (hitrost tipkanja, natančnost, uporaba večih prstov, možnost tipkanja z rokavicami, ipd), zato pa ponujajo dodatna pomagala, kot so večje tipke oz. osvetlitev pravkar pritisnjene tipke. Varnostni inženirji pri tvrdki Thinkst so spisali mobilno aplikacijo, ki z video kamero snema žrtvin tablet, zazna on-screen tipkovnico in zabeleži vpisano geslo, vse avtomatsko.

Program uporablja odprtokodno knjižico OpenCV in nekaj svoje kode, ki išče značilni barvni odblisk ob stisku tipke. Več...

ComputerWorld - Raziskovalci s Fraunhoferjevega inštituta za varno informacijsko tehnologijo so prikazali, kako lahko v šestih minutah iz zaklenjenega iPhona pridobijo osebne podatke in gesla, če imajo fizičen dostop do naprave.

V napadu najprej izvedejo programski jailbreak na telefonu, nato nanj namestijo SSH-strežnik in vanj prekopirajo skripto, ki jim zagotovi dostop do keychaina. To je Applov sistem za upravljanje s shranjenimi gesli. Ker je kriptografski ključ na napravah z operacijskim sistemom iOS neodvisen od gesla, lahko napadalec dostopi do telefona z izdelavo ključa, ne da bi moral poznati ali razbiti geslo za zaklep telefona. Ranljiva so le gesla v keychainu.

Med odkritimi gesli so bila tudi gesla za Gmail, Microsoft Exchange, LDAP,...

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.

ZDNet - Raziskovalci Fraunhoferjevega Institute for Secure Information Technology so pred kratkim objavili članek z naslovom Attacking the BitLocker Boot Process, v katerem razkrivajo kako je mogoče zaobiti BitLocker šifriranje in to celo če BitLocker uporablja TPM (Trusted Platform Module).

Njihov napad sicer temelji na Evil Maid napadu, novost pa je, da so raziskovalci uspeli onesposobiti BitLocker zaščito diska tudi v primeru uporabe strojnega TPM modula.

Enako kot pri Evil Maid napadu mora tudi tukaj napadalec najprej zagnati ciljni računalnik s pomočjo zagonskega USB ključka, nato pa mora zamenjati zagonsko kodo (tim. boot code) BitLockerja svojo. Le-ta nato ukrade geslo ter ga shrani na trdi disk, napadalec pa geslo pridobi ob naslednjem "obisku".

Očitno ima torej tudi TPM določene omejitve...

engadget - Pred par dnevi smo poročali o hekerju, ki je želel nekaj malega zaslužiti s pomočjo dejstva, da ima večina lastnikov jailbreakanih iPhoneov nameščen tudi SSH in nastavljeno privzeto geslo. Šlo je za bolj opozorilno akcijo, saj je v končni fazi zahteve po plačilu umaknil in vsem ponudil brezplačna navodila za rešitev varnostne težave.A nedavno se je pojavil črv, ki jo izkorišča na malce bolj zloben, čeprav še...

TG Daily - Jailbreaking je postopek, ki odklene Applov iPhone, tako da je na njem moč poganjati tudi nepodpisane aplikacije, ki jih Apple ni potrdil. S tem si uporabniki krepko razširijo nabor aplikacij, ki jih lahko prenesejo in uporabijo, sedaj ne več le z uradnega App Stora, marveč tudi s konkurenčnih strani Cydia in Icy.

Neki nizozemski heker se je domislil, kako za talce vzeti kar te odklenjene iPhone in od lastnikov izsiliti pet dolarjev. Ni veliko, a se z množico uporabnikov nabere. S skeniranjem portov je odkril, kateri iPhoni v omrežju T-mobile Netherlands so odklenjeni in imajo omogočen SSH. Slednji protokol se uporablja za dostop prek terminala in poganjanje standardnih UNIX-ovih ukazov. Ker Apple uporabi kar privzeto geslo za root dostop, je heker to uporabil in na te telefone poslal SMS-opozorilo, da je njihov telefon napaden, ker je nezavarovan, ter jih napotil na stran, kjer ga lahko zaščitijo. Tam jih je pričakalo obvestilo, naj nakažejo pet dolarjev prek PayPala, nato pa...

Slashdot - Apple je sinoči le obelodanil novo verzijo operacijskega sistema za svoj iPhone. Natančen zapisnik celotnega dogodka v Cupertinu imajo na MacWorld, mi pa si poglejmo bistveno. Namreč, kaj je Apple novega dodal v tretjo verzijo sistema za iPhone.

Funkcija kopiraj-izreži-prilepi je končno dostopna v vseh aplikacijah, kar bo gotovo olajšalo rokovanje z napravo. Vgradili so še iskanje po celotni vsebini iPhona, ležečo tipkovnico (landscape keyboard), podporo za MMS in glasovne opomnike (voice memo). Razvijalci bodo veseli zmožnosti nakupovanja v aplikacijah, kar bo prišlo prav za razne plačljive nadgradnje, razširitve in podobno, povezljivosti s soležniki (peer-to-peer) prek Bluetootha ter dostopa do strojne opreme prek dock priključka in Bluetootha. Razvijalska beta je izšla zdaj, končni uporabniki pa bodo prejeli novo verzijo poleti - lastniki telefonov 3G brezplačno, za iPod Touch pa bo stala 10 dolarjev.