Slo-Tech - Kot kaže, nekatere slovenske banke uvajajo nove standarde na področju informacijske varnosti. Konkretno, na področju gesel.

Geslo je osnovni in najpogosteje uporabljan zaščitni mehanizem, zato morajo biti gesla praviloma dovolj kompleksna in dovolj dolga, da zagotavljajo želeni nivo varnosti. Težava pri geslih je, da si je kompleksna gesla težko zapomniti, zato pri oblikovanju gesel trčimo ob dilemo ali si želimo večjo varnost ali pa enostavnejšo uporabo. Vsekakor je pri geslih pomembno, da morajo biti čim daljša in čim bolj kompleksna (mešanica črk in številk, po možnosti tudi mešanica velikih in malih črk ter številk in "posebnih" znakov). Prekratka gesla je namreč mogoče razbiti z metodo grobe sile (angl. brute force attack – gre za ugibanje vseh možnih kombinacij črk in številk) ali pa napada s slovarjem (angl. dictionary attack – gre za ugibanje gesel na podlagi besed iz slovarja).

Seveda pa navedeno velja zgolj za pomembna gesla. Za geslo, ki ga uporabimo za prijavo na neko...

Slo-Tech - Varnostni raziskovalci Kasperskija in Citizen Laba so v zadnjih mesecih razkrili mrežo kontrolnih strežnikov za policijske mobilne trojance italijanskega ponudnika Hacking Team. Gre za obsežno mrežo 300 in nekaj strežnikov v več državah; največ v ZDA, Veliki Britaniji, Kanadi, Ekvadorju in Kazahstanu. Imenuje se "Galileo" (glej filmček), preko nje pa policijske službe posameznih držav nadzirajo mobilne trojance za platforme iOS, Android, BlackBerry in Windows Mobile, ki so jih pred tem uspeli podtakniti na mobilne telefone osumljencev. Poročilo o najdbah so nedavno predstavili na dogodku v Londonu.

Kaspersky je uspel analizirati tudi modula za iOS in Android ter oceniti njun doseg. Tisti za Applov iOS ima izjemno bogat nabor možnosti,...

Ars Technica - Twitter bo dobil izboljšane varnostne ukrepe za prijavo, ki naj bi zmanjšali možnost zlorab, so sporočili po petkovem razkritju napada. Da bi karseda zmanjšali škodo, ki jo lahko napadalci v podobnih situacijah povzročijo, bo prijava v Twitter odslej tudi dvostopenjska. Podoben sistem že imajo Gmail, Dropbox, Microsoft ...

Kmalu po odkritju vdora so se pojavila odprta delovna mesta pri Twitterju, kjer iščejo inženirje za razvoj in implementacijo dodatnih varnostnih ukrepov. Za prijavo prek aplikacij v mobilnih napravah ali drugih spletnih straneh Twitter ta hip uporablja OAuth, medtem ko se neposredna prijava vrši prek SSL. Ti ukrepi preprečujejo napade z neposrednim prestrezanjem, niso pa uporabni proti MITM-napadom.

Zato bo sedaj Twitter dobil dvostopenjsko preverjanje...

Wired News - Kaspersky poroča o najdbi še enega vohunskega trojanca, ki bo bržkone plod dela ameriške in izraelske vlade, namenjen pa napadom na bližnjevzhodne tarče. "Gauss" je sprva deloval zgolj kot različica Flamea (s katerim tudi delita določene module), vendar so po natančnem pregledu ugotovili, da ima precej drugačne cilje: zanimajo ga gesla za spletno bančništvo, vključuje pa še neznani modul, ki je šifriran in to tako, da se lahko odklene zgolj na določenih strojnih konfiguracijah, zato preprosto ne vedo, kaj dela.

Oznako "Gauss" so pobrali iz imena enega od modulov; povezavo z Libanonom pa domnevajo iz simbolov za razhroščevanje (debug symbol), ki so jih avtorji, najbrž pomotoma, pustili v nekaterih različicah trojanca. Delovno ime tiste različice je bilo "gauss_white",...

SC Magazine - Domiselnost tatov kar noče poznati meja. Skupina avstralskih nepridipravov je potem, ko so s trojancem uspešno pridobili prijavne podatke za spletno banko lokalnega poslovneža, z malo socialnega inženiringa dobila njegovo mobilno številko in jo po krajšem telefonskem klicu na avstralski Vodafone prenesla na svoj telefonski aparat. Nato so si naklikali 45 tisoč avstralskih dolarjev preko nakupa v trgovini s pohištvom. Banka je transakcijo sicer zaznala kot sumljivo, vendar imetnika računa niso uspeli priklicati, ker je med kontaktnimi podatki navedel (ironija) svojo mobilno številko.

Napad se je zgodil letos junija, poslovnež pa je zanj zvedel šele...

The Register - Ruski razvijalci online banking trojanca SpyEye so pripravili še Android različico Spitmo, namenjeno kraji enkratne potrditvene kode (TAN, transaction authentication number), ki jo uporabnik spletnega bančništva prejme po SMS-u in z njo potrdi transakcijo. Banke so namreč že pred leti posredi visokih stroškov z zlorabami uvedle dvofaktorsko avtorizacijo transakcij, tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo denarja z bančnih računov morali kontrolirati tudi uporabnikov mobilni telefon. Druga možnost so majhni kalkulatorčki enkratnih kod, a tudi mimo tega se da priti, npr. z malo socialnega inženiringa in pošiljanjem okuženih XLS datotek delavcem pri RSA Security, ki je eden izmed večjih proizvajalcev teh kalkulatorčkov.

SpyEye mora biti najprej nameščen na...

BBC - Kljub obupnemu začetku leta za informacijsko varnost se administratorji spletnih strani še niso zganili in uredili stvari. Ekipa LulzSec zato mirno nadaljuje z delom in pisanjem s črnim humorjem nabitih poročil.

V boju proti white hat varnostnim strokovnjakom, ki sodelujejo z ameriško vlado, so po že znanem vdoru v FBI-jev projekt Infragard zdaj objavili še polne osebne podatke (žanrsko full dox) o podjetjih Prolexic in Endgame Systems. Med podatki najdemo osebna imena, naslove, račune na socialnih omrežjih in podatke o družinskih članih za vse vidne člane obeh podjetij. Poglavitne stranke poleg vlade vključujejo še...

Slo-Tech -

Raziskovalci pri podjetju F-Secure poročajo o novem, tehnično dovršenem napadu na uporabnike spletnega bančništva. V normalnih okoliščinah se uporabnik prijavi v spletno banko kar z uporabniškim imenom in geslom, ko pa želi opraviti transakcijo, jo rabi posebej avtorizirati z vpisom posebne številke (mTAN), ki jo v ta namen obliki SMS-a prejme na svoj mobilni telefon. Ta sistem dvojnega preverjanja preprečuje, da bi napadalec zgolj z prestrezanjem uporabniškega imena in gesla (npr. s keyloggerjem) spraznil račun.

Napad poteka v več fazah. Najprej rabijo lopovi na spletno stran banke nastaviti opozorilo, da je uporabnikovo digitalno potrdilo poteklo in da rabi dobiti novega (nič od tega seveda ni res). Opozorilo...

bit-tech.net - Valvova spletna trgovina Steam je med daleč najbolj popularnimi na področju digitalnih nakupov iger, med drugim tudi zaradi enostavnosti nakupa iger. Na spletni strani oz. v odjemalcu enostavno izberete nakup igre, le-to plačate s kreditno kartico oz. s PayPalom, sledi pa prenos igre s spleta in njena namestitev. Vse, kar vaše težko prislužene denarce pretopljene v zabavne igre loči od nepridipravov, je vaše uporabniško ime in geslo (ki je seveda izredno varno, ima več kot 15 znakov, velike in male črke, številke, posebne znake in vzorec vašega DNK-ja, kajne? Kajne??). Da bi še dodatno...

Google - Google je včeraj začel za vse uporabnike ponujati storitev varnejše prijave v Googlove račune, ki bo z dodatnim korakom nekoliko podaljšala prijavo in zmanjšala možnost kraje identitete. Uporabniki bodo namreč lahko nastavili, da pri prijavi po vpisu gesla na svojo mobilno napravo prejme sporočilo z enkratno kodo ali pa si enkratno kodo generirajo z aplikacijo za Android, BlackBerry ali iPhone.

Pri tem si lahko nastavijo, da tega ne bo potrebno ponoviti mesec dni, nakar jih bo Google zopet pozval k varnejši prijavi. Na ta način želi Google zmanjšati možnost kraje gesla in zlorabe računa. Omenjena storitev je za Google Apps na voljo že od septembra, sedaj pa jo je Google razširil na vse izdelke in za vse uporabnike.

Kmalu bo Google ponujal varnejšo prijavo kot naše...

Slashdot - Medtem ko so zombijevsko omrežje Zeus lani uspešno strli, so v spletni divjini odkrili njegovo drugo inkarnacijo. Zeus 2 nadzorujejo in uporabljajo iz Vzhodne Evrope, služi pa napadu na denarnice britanskih uporabnikov interneta. Okuženih je že več kot 100 tisoč računalnikov, izmed katerih jih je 98 odstotkov iz Velike Britanije. Iz okuženih računalnikov so zlikovci nabrali prijavne informacije za spletne banke, številke kreditnih kartic, bančne izpiske, certifikate, informacije za prijavo v elektronski predal, gesla za socialna omrežja in druge osebne podatke.

Amit Klein, tehnični direktor v britanskem Trusteer, kjer so prvi prišli na sled Zeusu 2, pravi, da da je ta botnet...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

Slo-Tech - V eni prejšnjih novic smo že poročali o odkritju zlonamerne izhodne točke v omrežju Tor, ki je pretrezala izhodni promet iz anonimizacijskega omrežja, lastniki pa so javno objavili ukradena uporabniška imena in gesla.

Na poštnem seznamu operaterjev Tor omrežja se je glede problema prestrezanja in spreminjanja izhodnega prometa (npr. možnost vrivanja virusov) razvila živahna debata. Padel je predlog za izdelavo programa, ki bi preverjal obstoj zlonamernih Tor izhodnih točk v omrežju, in Mike Perry je v nekaj dneh tak program tudi napisal. Gre za program z imenom Snakes On A Tor, ki je namenjen ugotavljanju, ali nekdo na Tor izhodni točki ne spreminja prometa (tim. injection) in SSL certifikatov (slednje omogoča man-in-the-middle napad). Mimogrede, program je ime dobil po "kultnem" filmu Snakes On A Plane.

Po nekaj dneh poiskusnega delovanja je program dejansko odkril zlonamerno izhodno točko, ki vse SSL certifikate "neopazno" zamenja s svojimi. Gre za izhodno točko z imenom...

Jaz - Hehe, yup, Slo-Tech je v tem trenutku dosegel magično številko 500 aktivnih uporabnikov. Toda bodite pozorni na besedo "aktivnih", kar pomeni, da so ti uporabniki dejansko aktivirali svoj uporabniški račun in da stran dejansko uporabljajo. Neaktiviranih računov je še precej več in če Primož le-teh ne bi brisal bi po mojem štetju bili že blizu 800. No, kakorkoli, gre za lep uspeh, kar nakazuje, da vam je stran všeč. Thnx [:))]!