Slo-Tech - Raziskovalci z ECE Illinois so razvili delujoč koncept aplikacije za pametno uro, ki z beleženjem in analizo podatkov z žiroskopov in pospeškomerov ugotavlja, katere tipke je uporabnik pritisnil na klasični tipkovnici QWERTY/QWERTZ. To je mogoče, ker so mikrogibi zapestja leve roke pri pritiskanje različnih tipk drugačni. Podatkov o gibih desne roke seveda ni, a lahko tudi te podatke precej dobro uganemo, če imamo dostop do slovarja.

Aplikacija, ki so jo razvili v okviru projekta Motion Leaks, za zdaj deluje le na uri Samsung Gear Live in ima še nekaj porodnih težav. Za zdaj predpostavlja, da uporabnik pritiska le tipke s črkami, čeprav v resnici tekst...

PhysOrg.com - Ena izmed enostavnih metod za zaščito pred zlorabo na bančnem avtomatu je pazljiv vnos številke PIN. Kadar nepridipravi bančne avtomate opremijo z bralniki zapisa, namestijo tudi kamero, ki snema številčnico, od koder dobijo PIN. Doslej je bilo dovolj, če smo med vpisom PIN-a številčnico prekrili z roko. Raziskovalci s sandiegovske Univerze v Kaliforniji so na avgustovskem USENIX Security Symposiumu prikazali napad, ki stre tudi ta oreh.

Predstavljena zamisel je zelo preprosta. Bančni avtomat lahko opremimo z infrardečo kamero, ki beleži temperaturo posameznih tipk. Pritisnjene tipke ob vnosu PIN-a so toplejše od neuporabljenih, tako da lahko na ta način 'preberemo' kodo tudi, če uporabnik številčnico zakrije z roko.

Če posnetek preberejo takoj po vnosu številke, lahko z 80-odstotno natančnostjo povedo, katere tipke so bile pritisnjene, nato pa odstotek pada. Po...

Wired News - Na BlackHat konferenci prejšnji teden v Las Vegasu je po poročanju medijev največ zanimanja požel prikaz napada na bančne avtomate.

Barnaby Jack je namreč prikazal dva napada na bančne avtomate. Prvi napad zahteva fizični dostop: bančni avtomat (proizvajalca Triton) je potrebno odpreti (vsi bančni avtomati tega proizvajalca uporabljajo isti ključ) in vanj vtakniti USB ključek z zlonamerno programsko opremo. Drugi napad (na avtomat proizvajalca Tranax) pa je mogoč kar preko omrežja. Na obeh sistemih teče operacijski sistem Windows CE. Triton je sicer lansko leto že izdal popravek, ki omogoča samo poganjanje digitalno podpisane programske opreme, tako da ta napad na posodobljenih napravah ni več mogoč.

Oddaljeni...

Slo-Tech - Letošnja varnostna konferenca Black Hat USA+2010 v Las Vegasu je največja doslej: več kot 4000 obiskovalcev lahko izbira med 11 sočasnimi sekcijami. Prvi dan smo lahko videli nekaj zanimivih prispevkov.

Raziskovalec Dan Kaminsky, sicer znan po odkritju zelo učinkovitega napada z zastrupljanjem predpomnilnika DNS iz leta 2008, je tokrat v duhu nedavnega podpisa korenskih območij (root zones) predstavil svojo vizijo varnejšega interneta - Domain Key Infrastructure. Gre za koncept, ki naj bi dokončno rešil problem zaupanja na internetu pod pogojem, da zaupamo korenskim podpisom strežnikov DNS. Predstavil je nekaj zanimivih idej in implementacij v...

ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea...

Schneier.com - Kot na svojem blogu poroča Schneier, je v ZDA za zdaj še neznani storilec oropal nekaj bančnih avtomatov na precj hi-tech način.

Storilec je namreč za bančni avtomat Tranax Mini Bank 1500 iz spletne strani proizvajalca pridobil uporabniški priročnik. V njem je med drugim lahko prebral navodila kako vstopiti v administracijski način s privzetimi gesli. Ker bančni avtomat ni imel spremenjenega privzetega gesla, je storilec preprogramiral avtomat tako, da je namesto 5-dolarskih bankovcev izplačeval 20-dolarske.

Kljub varnostnim kameram in domnevni visoki varnosti avtomatov, je za zdaj še neznani storilec po izplačilu veselo odkorakal z štirikratno vsoto denarja prigoljufanega denarja v žepu. Goljufijo so odkrili šele po devetih dneh.

The Register -

Raziskovalci na britanskem Cambridgeu so objavili poročilo, v katerem trdijo, da lahko s posebno metodo v povprečno petnajstih poizkusih odkrijejo PIN kodo, ki na avtomatih varovanih z ATM sistemom omogoča dvig denarja s transakcijskga računa. Bančni avtomati so zasnovani tako, da bi povprečen zlikovec potreboval približno pet tisoč poizkusov, da bi uganil pravo PIN kodo, zaradi česar so omenjena dejstva še bolj zaskrbljujoča.

Napad na kodo je seveda zapletenejši, kot se zdi na prvi pogled. Zlikovci tako ne vpisujejo direktno PIN številke, marveč to preračunavajo prek posebnih tabel. Zadeva je prezapletena za opis tukaj, zato je najbolje, da si poročilo preberete kar sami. Klik!