Slo-Tech - Avast je priljubljen protivirusni program, ki ga proizvaja istoimensko češko podjetje. Zaradi svoje brezplačnosti je našel pot na številne računalnike, a zadnje preiskave kažejo, da v resnici uporabniki plačujejo visoko ceno. Za približno 400 milijoni uporabnikov, kolikor jih ima, Avast vohuni. Podatke prodaja zainteresiranim oglaševalcem.

Že lani je Forbes odkrival, kako Avast in AVG z razširitvami za brskalnike, ki so namenjene varnemu brskanju, gledata, kaj uporabniki počno. Decembra sta Mozilla in Opera nekaj Avastovih razširitev za brskalnik celo odstranili iz spletne tržnice zaradi varnostnih pomislekov. Izvršni direktor Ondrej Vlcek je tedaj pojasnil, da gre zgolj za agregirane in anonimizirane podatke, ki jih kupci ne morejo povezati s konkretnimi uporabniki. Za milijonske zneske te podatke kupujejo multinacionalke, kot so Google, Microsoft, PepsiCo ali McKinsey. A raziskave so večkrat pokazale, da deanonimizacija ni nemogoča.

The Vice je sedaj skupaj s PCMag pridobil...

Slo-Tech - Na internet skorajda dnevno curljajo delci baz podatkov, ki so jih hekerji izmaknili z različnih strežnikov, zato dandanes pišemo le še o največjih. Tako je več kot omembe vredno dejstvo, da je na internet zašla baza z osebnimi podatki 50 milijonov turških državljanov, ki je glede na dosedanje analize pristna. V njej najdemo poleg imen in priimkov še naslove, identifikacijske številke (turški EMŠO), rojstne podatke in imena staršev.

Baza je velika 6,6 GB in vsebuje tudi podatke o turškem predsedniku Erdoganu. Vdor je bil najverjetneje politično motiviran, saj na finski spletni strani, kjer se je torrent povezava do baze najprej pojavila, piše: "Kdo bi si mislil, da bodo nazadnjaške ideologije, kronizem in vzpenjajoč verski ekstremizem v Turčiji podlegli krhki in ranljivi tehnični infrastrukturi?". V nadaljevanju se...

The New York Times - Znan je potek letošnjega napada na ameriško banko JPMorgan Chase, ki so ga slučajno odkrili avgusta letos in v katerem so neznani storilci odnesli osebne podatke 83 milijonov komitentov. Šlo je za največji računalniški napad na banko v zgodovini.

Napad je uspel, ker eden izmed strežnikov v omrežju JPMorgan Chase ni uporabljal dvostopenjskega preverjanja identitete, čeprav je to standardna praksa v banki. To pomeni, da se je bilo mogoče prijaviti zgolj s poznavanjem uporabniškega imena in statičnega gesla. Slednja so hekerji izmaknili neprevidnemu zaposlenemu, čigar računalnik so uspeli okužiti. Ko so pridobili dostop do slabo zaščitenega strežnika, so zlahka pridobili še dostop do dobrih 90 drugih strežnikov....

The Wall Street Journal - ...

The New York Times - Na dan so pricurljale informacije, da je bil decembrski hekerski napad na ameriškega trgovca Target bistveno obsežnejši, kot so sprva zatrjevali. Že prvotne navedbe so bile zaskrbljujoče, saj so napadalci dobili bančne podatke vsaj 40 milijonov kupcev, in sicer imena imetnikov kartic, številke kartic, datume veljavnosti, kode CVV in šifrirane kode PIN. Sedaj pa ugotavljajo, da je bilo prizadetih okoli 110 milijonov kupcev, o katerih so jim ušli še drugi podatki.

Target je v izjavi za javnost priznal, da so neznanci med napadom odtujili tudi nekatere druge podatke o kupcih. Poleg omenjenih 40 milijonov imetnikov kartic, so napadalci dobili imena, elektronske naslove, telefonske številke in domače naslove vsaj 70 milijonov drugih kupcev. Pravijo, da gre v večini...

The New York Times - Sinoči je 8 milijonov ljudi prejelo e-poštno sporočilo od New York Timesa (nytimes@email.newyorktimes.com), v katerem so bili pozvani, naj še enkrat razmislijo glede preklica naročnine na njihov tiskani izvod (glej priponko). Kot se je kasneje izkazalo, je bila pošta namenjela le ~300 ljudem, ki so dajansko preklicali svojo naročnino, ni pa še jasno, zakaj so jo prejeli vsi ostali. V zraku je več teorij, od vdora v njihove poštne strežnike, strežnike njihovega marketinškega sodelavca oz. uradne razlage -...

ComputerWorld - V investicijskih bankah in drugih igralcih na finančnih trgih vedno večji del nalog finančnim analitikom prevzemajo računalniki. Uporabljajo se tako za visokofrekvenčno trgovanje, kjer milisekunde pomenijo milijone in se trgovalni interval še drobi, odloča pa celo zakasnitev pri prenosu podatkov po kablih, kot tudi obsežne simulacije za izračun tveganja. Prav ta namen je JPMorgan Chase julija kupil nov superračunalnik s FPGA (Field-Programmable Gate Array).

Pohitritev tedaj je bila ogromna. Namesto osmih ur so za izračun tveganj po novem potrebovali 238 sekund. To je odlično, saj pomeni, da lahko dnevno poženejo več simulacij z različnimi scenariji in vhodnimi parametri, kar bi načeloma...

Slashdot - Na spletni strani kernel.org so sporočili, da so 28. avgusta odkrili napad na stran, ki je bil izveden pred dvema tednoma in je ves čas napadalcem omogočal nepooblaščen dostop. Škode ali posledic za uporabnike Linuxa ni.

Ugotovili so, da so neznani napadalci 12. avgusta pridobili dostop do strežnikov, na katere so namestili rootkit Phalanx. Najprej so pridobili administratorski (root) dostop do strežnika Hera, kar so najverjetneje izvedli z uporabo ukradenega uporabniškega imena in gesla (pridobili naj bi 448 gesel za dostop prek SSH). Ni še znano, kako so uspeli izvesti eskalacijo privilegijev do absolutnega dostopa root. V zagonske skripte so nato dodali trojanskega konja, ki je...

Slo-Tech - Britanci so vnovič izgubili osebne podatke. To pot ni šlo za noben vdor, ampak za starejšo klasiko - nekdo je pozabil medij s podatki na javnem mestu. V nekem londonskem pubu so odkrili USB-ključ, ki je imel osebne podatke o več kot 20.000 najemnikih nepremičninskega podjetja Lewisham Homes in 6.200 najemnikih Wandle Housing Association. Zraven so bili tudi bančni podatki 800 najemnikov, ki bi potencialno lahko omogočili zlorabo.

K sreči se je USB-ključ našel. Policija, ki ji je bil izročen, je ugotovila, da pripada podizvajalcu, ki dela za obe navedeni podjetji. Britanska informacijska pooblaščenka Sally-Anne Poole je za zdaj podjetji le okrcala in vnovič poudarila, da je hranjene...

ComputerWorld - Ameriška banka JPMorgan Chase, ki se ukvarja tako z investicijskim kot komercialnim bančništvom, ima približno 2100 milijard dolarjev težko aktivo in letne prihodke v višini več deset milijard dolarjev. Imeti pregled nad tako ogromnim portfeljem ter izvajati analize in ocene tveganje ni preprosto niti za računalnike. Zato so v banki od podjetja Maxeler Technologies nabavili nov superračunalniški sistem HPC, ki uporablja FPGA...

The Register - Naslednje v vrsti podjetij, kamor so vdrli hekerji in pridobili osebne podatke strank, je Acer. V petek so na The Hacker News objavili posnetke, ki dokazujejo, da je hekerska skupina Pakistan Cyber Army (PCA) pridobila podatke o približno 40.000 Acerjevih strankah iz evropskih držav. Zbrani podatki vključujejo imena, elektronske naslove, domače naslove in telefonske številke. Poleg tega so pridobili dostop do izvorne kode v ASP za izvajanje strani in Acerjevega FTP-strežnika.

Prav slednji je srž vdora, ki mu po včeraj razkritih podatkih komajda lahko rečemo tako. Izkazalo se je, da je Acer leta 2008 nepremišljeno na svojih forumih objavil podatke za dostop do njihovih FTP-strežnikov, da so si uporabniki lahko prenesli popravek. Napadalci so ta...

The New York Times - Sony in Epsilon sta naposled le privolila v zaslišanje pred ameriškim Kongresom, čemur sta se doslej na vse kriplje izogibala. Sony bo seveda imel pojasniti mnogo o vdoru v PSN in odtujene osebne podatke več milijonov uporabnikov, zaradi česar je na tapeti cel zadnji mesec. Medtem ko so se prvemu zaslišanju, na katerem je tekla beseda o nevarnosti kraje podatkov za ameriške potrošnike in pomanjkljivi zakonodaji, izognili rekoč, da so sredi intenzivne preiskave vdora in zanj nimajo časa, ter kongresnemu pododboru namesto tega poslali pisno izjavo, se bo v četrtek Sony udeležil zaslišanja. To pot bo beseda tekla o varnosti podatkov, Sony pa je pripravil tudi odgovore na vprašanja Kongresa.

Epsilon je prav tako imel težave z vdorom v svoje podatkovne baze, saj so hekerji...

Guardian - Naslednje podjetje, ki se mora po Sonyjevih težavah spopasti s hekerskim vdorom in odtujitvijo podatkov, je japonski razvijalec iger Square Enix, ki ga poznamo po franšizah Final Fantasy, Deus Ex in Tomb Raider. V izjavi za javnost so namreč priznali, da so pretekli teden doživeli vdor, ob katerem so se hekerji dokopali do osebnih podatkov strank in prosilcev za zaposlitev.

Pojasnjujejo, da so hekerji nepooblaščeno dostopili do strani Eidosmontreal.com in še dveh drugih njihovih strani, od koder so dobili dostop do osebnih podatkov 25.000 strank in 350 prosilcev za zaposlitev. Prvim so po zagotovilih podjetja odtujili zgolj elektronske naslove, ki niso bili povezani z nobenimi drugimi...

iTNews - Na spletu še vedno odmeva vdor v podatkovne baze ponudnika elektronske pošte za podjetja (ESP) Epsilon, v katerem je bilo po zadnjih podatkih prizadetih že 57 podjetij. Čeprav zagotavljajo, da so bili odtujeni samo elektronski naslov in nobeni drugi osebni podatki, strokovnjaki že svarijo pred porastom ciljanega ribarjenja in drugih poizkusov prevar, ki jih bodo zlikovci s pridobljenimi naslovi poizkušali izvesti. Na dan pa prihajajo informacije, da bil identični napad že uporabljen pred pol leta in da so bila podjetja, kakršno je Epsilon, posvarjena.

Epsilon partner ReturnPath je že lanskega...

Slashdot - Podobno kot McDonald'sovemu podizvajalcu lanskega decembra je tudi podjetju Epsilon ušlo nekaj osebnih podatkov o svojih strankah. V petek so namreč javnost obvestili, da so napadalci pridobili dostop do njihovih podatkovnih baz. Epsilon upravlja baze za več podjetij, med drugim tudi za Kroger, JPMorgan Chase, Capital One, Marriott Rewards, McKinsey in New York & Company, ki so vsa med prizadetimi.

Kompromitirane baze podatkov vsebujejo zgolj imena in elektronske naslove strank, zatrjujejo v Epsilon. Škoda je tako omejena le nanje, medtem ko drugih osebnih podatkov napadalci niso dobili. Kroger in JPMorgan Chase sta svoje stranke o vdoru že obvestila po elektronski pošti in jih hkrati opozorila, naj ne odpirajo pošte od nepoznanih oseb, če bi jo dobili. Drugih posledic naj...

CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.

Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih...

Slashdot - Leta 2006 je bloger Jason Fortuny na spletni strani z malimi oglasi Craigslist izvedel svojevrsten eksperiment. Postavil je oglas, v katerem se je izdajal za privlačno in voljno žensko, ki išče ognjevitega moškega. Zanimalo ga je, koliko odzivov bo dobil v 24 urah. Bera je bila izvrstna, saj je prejel 178 odgovorov, od teh 145 s slikami v takšnih in drugačnih kočljivih položajih. Nato je vse, kar je prejel, javno objavil na spletu.

Leta 2008 je eden izmed nesrečnih respondentov anonimno vložil tožbo proti Fortunyju, v kateri mu je očital kršitev avtorskih pravic z objavo slike, ki jo je poslal, in vdora v zasebnost z javno objavo pisma. Zahteval je 75.000 dolarjev odškodnine. Fortuny se je pred sodiščem zastopal sam, kar mu očitno ni najbolj koristilo. Ker se naposled na sodišču sploh ni več pojavljal, mu je sodišče s kontumacijsko sodbo naložilo (PDF) plačilo 35.001 dolarja pavšalne odškodnine (statutory damages) za kršitev avtorskih pravic, 5000 dolarjev odškodnine za dejansko...

Slo-Tech - Sodišče zvezne države New York je v torek spoznalo Dell za krivega goljufije, lažnega oglaševanja, sumljivih poslovnih potez in neprimerne izterjave dolgov. Dell je svojim strankam zavračal ali močno oteževal tehnično pomoč kljub temu, da so bile do tega upravičene v okviru garancije ali so takšno pomoč kupile. Pogosto je to pomenilo, da so morale stranke izredno dolgo časa čakati na telefonu, njihove povezave pa so bile pogosto preusmerjene ali prekinjene med čakanjem.



Dell tudi ni uspel zagotoviti svojim strankam t.i. "popravila na domu", saj so kljub nakupu takšne storitve morali čakati tudi do dva meseca, preden je tehnik dejansko prišel k njim. Stranke, ki so kupile storitev "pomoč naslednji dan", so bile deležne vse prej kot te - včasih so morali čakati celo leto, preden so dejansko bile deležne kupljene pomoči. Pogosto so tudi pozabili na...

Slo-Tech - Državni zbor je na na tretji obravnavi 23. marca 2004 obravnaval Zakon o spremembah in dopolnitvah Kazenskega zakonika Republike Slovenije (KZ-B).
V prenovljenem KZ je bil med drugim spremenjen 225 člen. Ta člen je po starem KZ prepovedoval poškodovanje (spremembo ali izbris) računalniških podatkov in programov, nove spremembe pa prepovedujejo že neupravičen vstop v zaščiteno računalniško bazo podatkov.
Po novem je tako za neupravičen vstop v računalniško bazo z namenom, da se storilec seznani s kakšnim podatkom, zagrožena denarna kazen. Za uporabo, spreminjanje, kopiranje, uničenje ali vnos kakšnega svojega podatka ali računalniškega virusa pa je zagrožena do dveletna zaporna kazen. A le, če s tem ni povzročena velika materialna škoda - v nasprotnem primeru je zagrožena zaporna kazen od dveh mesecev do kar petih let. Seveda je kazniv tudi poiskus (31. člen KZ-A). 242. člen, ki je prepovedoval vdor v računalniški sistem, je ostal nespremenjen, kar pomeni, da je vdor v računalniški...

Slashdot - Na Slashdotu so pravkar objavili zanimivo dejstvo, da je Compaq povečal svojo bazo pogostih vprašanj in odgovorov za prav posebni vnos.

Uspelo jim je ugotoviti, katera tipka je 'katerakoli' tipka, in sedaj to z veseljem delijo s svojimi strankami, ki se to že dolgo sprašujejo. Če se tudi vi sprašujete, katera tipka je 'katerakoli' tipka, pa le poglejte v Compaqovo bazo. [>:D]