»

Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!

Slo-Tech - Britanski posrednik certifikatov HTTPS Trustico je te dni zakuhal pravi škandal, saj je objavil zasebne ključe 23.000 certifikatov svojih strank, s čimer je povzročil množičen preklic. Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani, zaradi česar bodo letos brskalniki nehali zaupati njegovim certifikatom. Ko se bo to zgodilo, bodo zaupanja nevredni tudi Trusticovi certifikati, zato je podjetje preventivno reagiralo in šlo na nož.

Trustico je od DigiCerta zahteval, da prekliče izdane certifikate, s čimer bi svoje stranke prisilil, da bi jih zamenjale za Comodove certifikate. DigiCert tega ni...

11 komentarjev

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

201 komentar

Egiptovski CA izdal lažne certifikate za Google

Google Online Security Blog - Google je odkril lažne certifikate za svoje strežnike, ki jih je izdalo egiptovsko podjetje MCS Holdings. Ker je MCS Holdings vmesni certifikatni urad (intermediate CA), ki ga je kot zaupanja vrednega proglasil kitajski CNNIC, mu zaupajo vsi brskalniki. Firefox in Chrome sicer omenjenih certifikatov za dostop do Googlovih strani nista uporabljala, ker upoštevata public key pinning. Vseeno je početje podjetja MCS Holdingsa hud prekršek, zaradi česar so njihove certifikate proizvajalci brskalnikov takoj po odkritju uvrstili na listo neveljavnih.

CNNIC je potrdil, da so z MCS Holdings sklenili pogodbo, ki jim je dovoljevala le izdajo certifikatov za domene, ki jih imajo registrirane. Kot kaže, je MCS Holdings svoj zasebni...

4 komentarji

Vdor v indijski NIC na splet poslal lažne certifikate

Ars Technica - Ponavlja se zgodba, ki se je DigiNotarju zgodila leta 2011, le da z novimi igralci. Neznani napadalci so pridobili dostop do NIC (National Informatics Centre), ki deluje pod okriljem indijskega CCA (Controller of Certifying Authorities), in izdali vsaj štiri lažne certifikate za Google in Yahoo, kar je povzročilo precej težav zlasti uporabnikom operacijskega sistema Windows in brskalnika Internet Explorer.

CCA sicer trdi, da so lažni certifikati le štirje, a Googlov Adam Langley trdi, da imajo dokaze o večjem številu izdanih lažnih certifikatov. CCA je sicer takoj razveljavila vse certifikate, ki jih je izdal NIC, a uvrstitev na listo neveljavnih (revocation list) ni stoodstotna rešitev.

Windows in IE sta posebej prizadeta, ker je...

6 komentarjev

Še en nizozemski CA napaden

SecurityWeek - Po septembrskem fiasku nizozemskega centralnega overitelja certifikatov (CA) DigiNotar, ki so ga napadli hekerji in izkoristili za izdajo lažnih certifikatov, zaradi česar je bil po odkritju izločen z vseh seznamov zaupanja vrednih CA-jev, kar je podjetje prignalo v stečaj, ima težave še en nizozemski CA. To pot so hekerji napadli Gemnet, a naj bi bila škoda omejena javni del strani in nekaj javno nedostopnih podatkovnih baz, ki pa niso imele povezave z oddelkom za izdajo certifikatov.

Kot lahko preberemo v nizozemskih časnikih, so napadalci zlorabili pomanjkljive nastavitve nameščenega PHPMyAdmina na strežnikih, ki je omogočal dostop brez vnosa gesla. Tudi izbrano administratorsko...

11 komentarjev

DigiNotar gre v stečaj

Network World - Nizozemsko podjetje DigiNotar, ki se ukvarja z izdajanjem certifikatov SSL ter je prejšnji mesec postalo svetovno znano zaradi vdora in izdaje več kot petsto lažnih certifikatov, bo prenehalo poslovati. Kmalu po javnem razkritju vdora, ki se je zgodil že junija, podjetje pa je od julija do konca avgusta o njem molčalo, se je začelo zgražanje javnosti nad početjem podjetja. Nizozemska vlada je prenehala sodelovati s podjetjem, ki je bilo do tedaj glavni CA zanje, vse DigiNotarjeve certifikate so brskalniki odstranili s seznamov zaupanja vrednih certifikatov, od podjetja pa se je distanciral tudi večinski lastnik...

4 komentarji

Mozilla korenskim overiteljem naložila obsežen varnostni pregled

vir: The H
The H - Po seriji alarmantnih vdorov v korenske overitelje (root CA) Comodo, DigiNotar in potencialno še v GlobalSign, imajo ponudniki brskalnikov počasi dovolj "popravljanja za nazaj" z brisanjem spornih certifikatov iz svoje baze zaupanja vrednih overiteljev. Med samim vdorom in izbrisom lahko namreč mine kar nekaj časa in ves ta čas so uporabniki potencialno izpostavljeni vdoru ali nadzoru v njihove priljubljene servise. To pa uničuje zaupanje, ki je nujno za delovanje internetne ekonomije in ki so ga dolga leta le počasi vzpostavljali.

Mozilla je zdaj poslala nujni poziv vsem overiteljem, ki so vključeni v njihovo bazo (okoli 50). Poziv jih prosi, da takoj izvedejo obsežno varnostno...

9 komentarjev

Google prevzel Zagat

Google - Google je včeraj najavil, da so prevzeli podjetje Zagat, ki je znan ocenjevalec lokalov, trgovin itn. Za razliko od večine Googlovih nakupov, ki jih predstavljali relativno mladi start-upi, je bil Zagat ustanovljen že leta 1979. Prav tako podjetje ni prisotno zgolj na internetu, ampak objavlja ocene kakovosti restavracij tako na spletu kakor tudi v tiskanih izdajah (kjer so pravzaprav začeli).

Zagat restavracije ocenjuje po ključu z več postavkami, tako da lahko skupaj zberejo do 30 točk. Pokrivali so več kot sto mest, pri ocenjevanju pa so se zatekali tudi k mnenju uporabnikov (gre za enega prvih primerov user-generated content). Svoj obseg so razširili na restavracije, hotele, motele, trgovine, nočne klube, diskoteke itn.

Zaradi naštetega so bili privlačna tarča za Google, ki je hitro uvidel...

19 komentarjev

GlobalSign zaradi suma napada začasno prenehal izdajati certifikate

BBC - Zgodba o zaupanja vrednih overiteljih digitalnih potrdil (CA), ki so to zaupanje zaradi vdorov in nezavednega izdajanja ponarejenih certifikatov izgubili, dobiva nove razsežnosti. Že več kot teden dni je na tapeti nizozemski registrar DigiNotar, ki so ga napadli neznani hekerji (najverjetneje Iranci) in ga izkoristili za izdajo lažnih certifikatov. Sprva je bil odkrit le Googlov, kasneje pa se je število povzpelo na vsaj 531. DigiNotar je seveda izgubil vso kredibilnost in mesto v seznamu...

2 komentarja

Znane podrobnosti v vdoru v DigiNotar

The H -

No anti-virus, a single Windows domain for many CA servers, an easily brute-forced password and a tempest proof server room accessible from the management LAN: DigiNotar's security was full of holes.


Nizozemska vlada je pripravila vmesno poročilo z naslovom Črni tulipan (pdf) o varnostni situciji pri njihovi 'črni ovčki'; SSL overitelju DigiNotar. Kot smo že poročali v zadnjih dneh, so vanj enkrat poleti vdrli nepridipravi in si izdali ponarejene, a povsem legitimno izgledajoče certifikate za več deset domen visoke vrednosti, npr. za Google Mail ali določene varnostne službe. S temi certifikati je mogoče izvajati man-in-the-middle napade na lokalnih omrežjih ali - v skrajnem primeru - celo na posamezni državi.

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik. Nad tem naj bi bdel IDS (intrusion detection system), ki je sicer tekel, a naj ne bi bil ustrezno konfiguriran. Zatem so uspeli uganiti administratorsko geslo za Windows domeno, ki naj bi bilo pretirano...

9 komentarjev

V napadu na DigiNotar ponarejeni tudi certifikati obveščevalnih služb

Heise - Napad na nizozemskega overitelja digitalnih potrdil DigiNotar je obširnejši in resnejši, kot je kazalo na začetku. Sprva se je odkril le lažni certifikat za Googlove strežnike, kasneje je bilo potrjenih več deset, sedaj pa se je število odkritih lažnih certifikatov povzpelo na 532.

Nizozemska vlada je skrbnikom omrežja Tor (uporablja se za anonimni dostop do interneta) izročila seznam vseh lažnih certifikatov, ki so bili izdani in podpisani v DigiNotarjevem imenu (Excelova datoteka s...

2 komentarja

V napadu na DigiNotar izdanih več deset lažnih certifikatov

PC World - Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.

DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj...

1 komentar

Nizozemski CA DigiNotar izdal lažen SSL-certifikat

Slashdot - Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.

Na Mozillinih straneh so...

5 komentarjev

Izvedba popolnega MITM napada

Prikaz MITM napada, (CC) Open Web Application Security Project

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...

116 komentarjev

Intervju s Huangom Jen-hsunom

Huang Jen-hsun

vir: DigiTimes
DigiTimes -

Na DigiTimes so včeraj objavili zapis intervjuja s Huangom Jen-hsunom, ki so ga opravili pred kratkim. Huang Jen-hsun je namreč sedanji predsednik Nvidie in njen CEO. Tokrat so se pogovarjali predvsem o Nvidiinih načrtih za prihodnost, zadevajoč tako Xbox trg, kot tudi trg osebnih računanikov. Predsednik je izkazal velik optimizem, saj pričakuje dobre rezultate Nvidie na vseh dosedanjih področjih in celó prodor na nove trge. Klik!

14 komentarjev

Abit v trg nižjega cenovnega razreda

DigiTimes - Še ena iz DigiTimesovih logov. Tudi Abit se spravlja proizvajati osnovne plošče nižjega cenovnega razreda. Kakor pravi direktor podjetja Edwin Lin, namerava Abit odpreti dve novi proizvodni liniji, prvo za plošče temelječe na SiS645, ter drugo na Intel 845GL čipovju. Predvidevajo, da bodo zmožni narediti okoli 100.000 plošč mesečno, rezultati teh novih linij naj bi se pa začeli kazati proti koncu tega leta. Navkljub očitnemu konkuriranju z nižjim razredom Asusovih plošč pa pri Abitu priznavajo, da bodo končne cene nekoličkanj višje od plošč enakega čipovja podjetja Asus. Bosta podjetji, znani po dragih ploščah za entuziaste, odprli novo bojišče v nižjem cenovnem razredu?

2 komentarja

DigiDoc 5 - vsestranski prikazovalnik

Overclockers Australia - V svojih novicah sem obdelal že toliko različnih prikazovalnikov temperature (od Senfu Thermal Proba, preko njegovih variacij, do AUSU I-Panela), pozabil pa sem na DigiDoca, vendar povsem po krivici, saj nudi nekaj zelo dobrih rešitev. Kot prvo naj povem, da DigiDoc 5 ni samo navaden LCD zaslonček, ki preko temperaturne sonde prikazuje temperaturo, ampak precej bolj zajeten kos hardvera, ki zasede celo 5.25" odprtino v ohišju. DigiDoc 5 je v primerjavi z drugimi prikazovalci precej bolj vsestranski, saj prikazuje temperaturo, omogoča vstavitev diska v 5.25" odprtino, ki jo zasede in nadzoruje do 8 ventilatorjev. Poleg vsega zgoraj naštetega, pa ima DigiDoc 5 tudi lep videz, ki bo vsekakor naredil vtis na modifikatorje. Po vsem tem lahko sklepamo, da gre za odlično večnamensko napravo, katere edina težava je, da je ne dobimo v Sloveniji. Šmrk.

1 komentar