Forbes - Po nekajmesečnem boju je Privacy International uspela pridobiti pogodbe o sodelovanju med britansko zdravstveno zavarovalnico NHS in Amazonom, po katerem ima ameriški velikan dostop do podatkov iz britanskega zdravstvenega sistema (ne podatkov o bolnikih). Britanski minister za zdravje Matt Hancock je že julija najavil ta dogovor, a brez podrobnosti. Tedaj je dejal le, da bodo britanski bolniki dobili boljše zdravstvene nasvete od Amazonove pomočnice Alexe. A v resnici bo Amazon dobil ogromno, in to čisto brezplačno. Pogodba sega v december 2018.

Po pogodbi ima Amazon dostop do zdravstvenih podatkov, vključno s simptomi, vzroki, definicijami in vsemi povezanimi avtorskimi vsebinami, podatki, informacijami in drugimi materiali, ki jih ima DHSC (Department of Health and Social Care). Amazon je dobil dostop tudi NHS-jevih knjižnic API. Nikjer ni omejeno, da lahko Amazon zbrane informacije uporablja le za deljenje zdravstvenih nasvetov Britancem. Amazon jih lahko in jih tudi bo...

The New York Times - Saudova Arabija je zaradi nedavnega umora disidenta Jamala Khashoggija stopila na naslovnice medijev, ki zdaj postopoma razkrivajo, kako so njihova prizadevanja za utišanje nasprotnikov režima na družabnih platformah v preteklosti dosegla neslutene razsežnosti. To je okusil tudi Khashoggi, ki je bil pred smrtjo izpostavljen hudim osebnim napadom s strani troll farm, organiziranih kot podaljšanje roke saudske vlade.

Kot te dni poroča New York Times, so njihovi aktivisti delovali organizirano, z izmenjavo list posameznikov, ki jih je potrebno nadlegovati, temami, ki so jih orkestrirano nadzorovali ter provladnimi sporočili s katerimi so prek lažnih računov zasipali javnost. Ena takih tem...

Slo-Tech - Raziskovalec Troy Hunt, ki vzdržuje servis Have I been pwned?, je včeraj na svojem blogu objavil, da je odkril datoteko s kompilacijo uporabniških imen in gesel, pridobljenih z vdori v tisoče spletišč širom svetovnega spleta, pa tudi z ugibanjem - kombiniranjem starejših, že prej objavljenih podatkov. Ni znano, koliko je legitimnih in koliko izmišljenih ter koliko so podatki stari, seznam novoodkritih podatkov pa je Hunt z izločanjem že znanih in preverjanjem skrčil na skoraj 3000 spletišč in 80 milijonov uporabniških imen z gesli. Velik del je takih, ki se doslej še niso pojavila, vse v neenkriptirani, plain-text obliki. V seznamu omenjenih spletišč je tudi nekaj slovenskih:

• kgz-kranj.si
• m.agp-pro.si
• racunalnistvo-potocnik.si
• www.joker.si
• www.zavodipf.si

Kot rečeno, dejanska ranljivost prijavnih podatkov ni znana, vseeno pa najbrž ni odveč preveriti, ali je na seznamu kakšno znano spletišče in tam za vsak slučaj zamenjati geslo.

Ars Technica - Modul Darkleech, ki se vstavi v Apache na spletnih straneh in okuži obiskovalce, je zelo trdoživ. Čeprav se po spletu širi že vsaj od februarja 2011, je danes bolj razširjen in aktivnejši kot kdajkoli prej, ugotavljajo v ESET-u. V zadnjih devetih mesecih je okužil 40.000 domen, od tega samo maja kar 15.000. Marca je bilo kar 30 odstotkov vseh spletnih groženj povezanih prav z Darkleechem.

Darkleech opreza za nezaščitenimi in neposodobljenimi namestitvami Apacheja in ko kakšno najde, se ugnezdi vanjo. Potem pa na spletne strani, ki jih ta strežnik serviva, vgradi element iframe, ki uporabnike napoti na okuženo stran. Od tam se na njihov računalnik prenese Blackhole, ki poizkuša izkoristiti ranljivosti v brskalniku ali vtičnikih (Java, Acrobat Reader ...). Če mu to uspe, na računalnik prenese Pony Loader, Nymaim in Sirefef.

Končni rezultat je...

ZDNet - Zloglasna hekerska skupina LulzSec, ki je bila v zadnjih dveh mesecih odgovorna za številne napade na spletne strani podjetij in vladnih organizacij po celem svetu, se je včeraj v baader-meinhofovskem slogu poslovila. Na Twitterju so objavili povezavi do izjave za javnost in še zadnjega paketa ukradenih dokumentov, s čimer so poglavje o LulzSecu končali.

Še v petek je njihov domnevni vodja dal anonimni intervju za The Associated Press, v katerem ni razpustitve niti omenil. Namesto tega se je pohvalil, da so uspešno napadli tako korporacije, kot je Sony, kakor tudi vladne FBI, CIA itd. Imeli naj bi še pet gigabajtov dokumentov, ki bodo objavljeni v prihodnjih treh tednih. LulzSec je sicer kmalu zanikal avtentičnost intervjuja.

Dan pozneje, v...

BBC - Britanska policija je ta teden aretirala 19-letnika iz Essexa, ki naj bi bil po besedah PCeU (britanske policijske enote za e-krminal) vodja LulzSeca, kar pa je skupina že zavrnila. Sedaj je znanih več podatkov.

Gre za 19-letnega Ryana Clearyja iz Wickforda, ki je bil sedaj uradno obtožen petih kaznivih dejanj po Criminal Law Actu in Computer Misuse Actu. Obtožen je, da je 20. junija napadel strežnike SOCA (Britanska enota policije za najtežji organizirani kriminal). Pred tem je napadel še Britansko fonografsko industrijo in nekatere druge strani. V zvezi z napadi na Sony in organizacijo...

Sophos - Britanska policija je objavila, da so v Essexu aretirali 19-letnega Britanca, ki je povezan z nedavnimi napadi DoS in hekerskimi vdori v večje organizacije. Policisti iz enote za e-kriminal (PCeU) so potrdili, da je bila aretacija izvedena sinoči. Zaradi suma kršitve Computer Misuse Acta (zakon o zlorabi računalniške opreme) so preiskali hišo v Wickfordu v Essexu, kjer so zasegli vso računalniško opremo. PCeU-ju sta pomagala tudi lokalna esseška policija in s podatki še FBI.

Neuradno se govori, da je aretirani Britanec eden izmed vodij hekerske skupine LulzSec, ki zadnje čase seje strah...

BBC - Kljub obupnemu začetku leta za informacijsko varnost se administratorji spletnih strani še niso zganili in uredili stvari. Ekipa LulzSec zato mirno nadaljuje z delom in pisanjem s črnim humorjem nabitih poročil.

V boju proti white hat varnostnim strokovnjakom, ki sodelujejo z ameriško vlado, so po že znanem vdoru v FBI-jev projekt Infragard zdaj objavili še polne osebne podatke (žanrsko full dox) o podjetjih Prolexic in Endgame Systems. Med podatki najdemo osebna imena, naslove, račune na socialnih omrežjih in podatke o družinskih članih za vse vidne člane obeh podjetij. Poglavitne stranke poleg vlade vključujejo še...

Slo-Tech - Skupina hekerjev LulzSec, ki je vdrla v že kar nekaj sistemov, je ponovno udarila. Tokrat so vdrli na stran Infragard, nacionalni projekt ZDA, s katerim naj bi okrepili sodelovanje FBI z zasebnimi podjetji, da bi bolje zaščitili infrastrukturo pred terorističnimi napadi.

LulzSec se je dokopal do uporabniškega imena in gesla Karima Hijazija, računalniškega varnostnega strokovnjaka. Karim je uporabljal nevarno prakso uporabe istega gesla za različne storitve, kar je v krogih FBI močno prezirano. Z istim geslom je tako dostopal do zasebnega GMail računa, do GMail računa svojega podjetja Unveillance in do zasebnega dela strani Infragard.

Karima je potem skupina LulzSec pripravila do pogovora na IRC kanalu, kjer je bil sprva prepričan, da za to potezo stojijo njegovi konkurenti, ko pa so ga prepričali, da temu ni tako, pa se je zanimal kako bi jih uspel prepričal, da svoje znanje uporabijo proti njegovim konkurentom.

LulzSec je sicer objavil tudi arhiv e-pošte Karima Hijazija, iz...

Slashdot - Na Slashdotu so prek BBC-ja objavili vest, da je nov zakon v Franciji prepovedal shranjevanje gesel na spletnih straneh in spletnih servisih v zgoščeni vrednosti (hash value), namesto česar morajo upravljalci storitev, npr. spletne elektronske pošte, ponudniki glasbe in videa, spletne trgovine, itd., v svojih bazah shranjevati gesla v obliki običajnega besedila (plain-text). Poleg neposredno zapisanega gesla naj bi pri vsakemu uporabniku imeli napisan še ime in priimek, naslov prebivališča in telefonske številke, vse te podatke pa bi v primeru sprejetja zakona morali posredovati oblastem, če bodo te to zahtevale. Podatke lahko zahteva policija, davčni in socialni urad, carina in urad za boj proti...

Slo-Tech -

Raziskovalci pri podjetju F-Secure poročajo o novem, tehnično dovršenem napadu na uporabnike spletnega bančništva. V normalnih okoliščinah se uporabnik prijavi v spletno banko kar z uporabniškim imenom in geslom, ko pa želi opraviti transakcijo, jo rabi posebej avtorizirati z vpisom posebne številke (mTAN), ki jo v ta namen obliki SMS-a prejme na svoj mobilni telefon. Ta sistem dvojnega preverjanja preprečuje, da bi napadalec zgolj z prestrezanjem uporabniškega imena in gesla (npr. s keyloggerjem) spraznil račun.

Napad poteka v več fazah. Najprej rabijo lopovi na spletno stran banke nastaviti opozorilo, da je uporabnikovo digitalno potrdilo poteklo in da rabi dobiti novega (nič od tega seveda ni res). Opozorilo...

Slashdot - Podjetje BitDefender, znano tudi po istoimenskem protivirusnem programu, je izvedlo študijo o varnosti in raznolikosti gesel. Rezultati so žalostno pričakovani. Med več kot četrt milijona udeležencev raziskave jih je imelo več kot tri četrtine identično geslo za socialna omrežja (Facebook, Twitter, Orkut ...) in za elektronski predal.

Osebne podatke so zbrali z blogov, torrentskih datotek, spletnih orodij za sodelovanje in drugih virov, kjer trosimo osebne podatke ali pa jih je moč najti že zbrane. Od teh je bilo 43 odstotkov gesel objavljenih prek orodij za spletno sodelovanje, 21 odstotkov na blogih, 18 odstotkov na socialnih omrežjih in 10 odstotkov prek datotek torrent. Nadalje so odkrili, da je bilo od teh kompromitiranih uporabniških imen in gesel 87 odstotkov še vedno aktivnih. Žal v raziskavi ni podatkov, koliko gesel je identičnih tudi za elektronsko bančništvo, a predpostavimo lahko, da mnogo preveč.

CNet - Težave z razkrivanjem podatkov sodelavcem (predvsem nadrejenim), sorodnikom (in partnerjem) oz. celo zavarovalnicam prek Twitterja, Facebooka in podobnih socialnih spletnih strani so dobro poznane, zaradi česar je bilo orodje 'Web 2.0 Suicide Machine' sprva dobro sprejeto. To samomorilsko orodje je s spleta samo počistilo razne osebne podatke, za katere ste si zaželeli, da ne bi bili več tako javni.

Izmed socialnih strani je, vsaj izven ZDA, najbolj popularen Facebook (v ZDA je zelo popularen tudi MySpace), eden izmed...