»

Microsoft odpira četrt milijona dolarjev vreden natečaj

Microsoft - Medtem ko Facebook, Google in Mozilla hrošče v svojih programih in straneh lovijo tudi tako, da najditeljem in prijaviteljem podeljujejo nagrade, se je Microsoft odločil za drugačen pristop. Klasično lovljenje hroščev za nagrado (bug bounties) je po besedah Katie Moussouris, vodje varnostne strategije v Microsoftu, neprimerno, zato so poizkusili nekaj večjega. Na letošnji konferenci Black Hat so predstavili program, ki ponuja 250.000 dolarjev za najboljšo zamisel.

Kot pravi, raziskovalci že sedaj redno javljajo ranljivosti in hrošče Microsoftu, nekaj tisoč dolarjev vredne nagrade pa tega ne bodo spremenile, saj kdor želi, lahko na črnem trgu zanje iztrži mnogo več. Česa se je torej domislil Microsoft?

Gre za razpis BlueHat Prize, kjer je prva nagrada 200.000 dolarjev, druga nagrada 50.000 dolarjev in tretja nagrada enoletna naročnina na MSDN Universal. Vse ti nagrade...

18 komentarjev

Hekerska meka v Las Vegasu

Slo-Tech - Te dni se v Las Vegasu ponovno odvija največja krekerska konferenca, Black Hat. Letos naj bi število obiskovalcev po nekaterih napovedih preseglo že 8000 ljudi. Hkrati poteka 8 sledi.

Uvodni govor je letos imel nekdanji agent CIE, ki je deloval v sklopu protiteroristične skupine, predaval pa je o tem kako je Stuxnet zaznamoval začetek nove dobe, ko napad na kiber infrastrukturo pusti posledice v delovanju fizičnih naprav in da so z dostopnostjo kode črva...

21 komentarjev

Izpod Črnega Klobuka, 1. dan

Black Hat USA+2010, Las Vegas

Slo-Tech - Letošnja varnostna konferenca Black Hat USA+2010 v Las Vegasu je največja doslej: več kot 4000 obiskovalcev lahko izbira med 11 sočasnimi sekcijami. Prvi dan smo lahko videli nekaj zanimivih prispevkov.

Raziskovalec Dan Kaminsky, sicer znan po odkritju zelo učinkovitega napada z zastrupljanjem predpomnilnika DNS iz leta 2008, je tokrat v duhu nedavnega podpisa korenskih območij (root zones) predstavil svojo vizijo varnejšega interneta - Domain Key Infrastructure. Gre za koncept, ki naj bi dokončno rešil problem zaupanja na internetu pod pogojem, da zaupamo korenskim podpisom strežnikov DNS. Predstavil je nekaj zanimivih idej in implementacij v...

4 komentarji

Adobe in Microsoft na konferenci Black Hat

CNet - Microsoft in Adobe sta na varnostni konferenci Black Hat, ki te dni teče v Las Vegasu, objavila, da bo Apple sprejel Microsoftov model informiranja o varnostnih ranljivostih v svoji programski opremi proizvajalcev programske zaščite pred izidom popravkov. Microsoft je program MAPP (Microsoft Active Protections Program) uvedel leta 2008 in od takrat proizvajalcem poroča o varnostnih luknjah pred uradno izdajo popravka, tako da lahko ti pripravijo ustrezno zaščito že prej. Microsoft ocenjuje, da so s tem zmanjšali okno ranljivosti do 75 odstotkov.

Adobe se je zato odločil, da bo ranljivosti v svojih programih istim proizvajalcem razkrival na enak način. Uporabljali bodo enak format, enak...

3 komentarji

Odkrita ranljivost v WPA2

Slo-Tech - Raziskovalec Mohammad Sohail Ahmad iz podjetja AirTight je odkril ranljivost v protokolu WPA2, ki jo je poimenoval Luknja 196. Ime je dobila po zaporedni številki strani v standardu IEEE 802.11 (revizija iz leta 2007), kjer se skriva ozadje zanjo. Napaka omogoča avtoriziranemu uporabniku omrežja prestrezanje in dešifriranje podatkov drugih uporabnikov na istem omrežju z MITM-napadom. Podrobnosti bodo predstavljene na konferencah Black Hat Arsenal in DEF CON 18, ki bosta potekali prihodnji teden v Las Vegasu.

Zlomljen ni šifrirni algoritem AES, iz katerega je izpeljan WPA2, marveč je zlorabljena pomanjkljivost v implementaciji, ki omogoča prejem prometa z dostopne točke (AP) s skupnim deljenim ključem vsem odjemalcem. WPA2 namreč uporablja dve vrsti ključev: PTK (pairwise transient key), ki je unikaten za vsakega odjemalca, in GTK (group temporal key) za zaščito poslanih podatkov več odjemalcem v omrežju. S PTK je moč zaznati ponarejanje (spoofing) in poneverbo podatkov (data...

26 komentarjev

Skupina, ki se ukvarja s kriptoanalizo GSM, izdala program Kraken

Mitološka pošast Kraken

vir: Wikipedia
Slo-Tech - Skupina raziskovalcev, ki se ukvarja s kriptoanalizo A5 šifrirnega algoritma, ki se uporablja za šifriranje pogovorov v GSM omrežju, je prejšnji teden izdala program Kraken. Program omogoča kriptoanalizo prestreženih pogovorov oziroma omogoča uporabo mavričnih tabel, ki jih skupina pripravlja že dlje časa (javno so jih prvič izdali lansko leto na Berlinski CCC konferenci).

...

8 komentarjev

Slečeni (na) Comdex?

CNet - Na letošnjem Comdexu, ki bo trajal od 12. do 16. novembra v Las Vegasu, pričakujejo nekje 150.000 obiskovalcev. Vsled terorističnega napada na ZDA vemokdaj pa bodo na tem sejmu prepovedane nakupovalne vreče, kamere, kovčki ter prenosni računalniki. Ne, nisem se zatipkal, če ne verjamete - Klik!

5 komentarjev