»

V Iranu zaradi malomarnosti obsežen vdor v bančni sistem

ZDNet - Iranski bančni sistem je luknjičast, je ugotovil Khosrow Zarefarid, ki je bil svoj čas menedžer v podjetju Eniak, ki je za iranski trg izdelovalo in nameščalo POS-terminale ter vzdrževalo klirinški sistem Shetab. Že lani je namreč odkril veliko luknjo v sistemu, ki omogoča nepooblaščen dostop do sistema, o čemer je po lastnih navedbah obvestil centralno banko. Naletel je na gluha ušesa, zato je poskusil še enkrat, to pot s priponko s podatki o tisoč bančnih računih. Ker se odgovorni še vedno niso odzvali, je vdrl v sistem, pridobil podatke o treh milijonih bančnih računov, številkah kartic in ustreznih PIN-številkah ter jih objavil na svojem blogu. Končno je dobil pozornost.

To je poskrbelo za enega največjih računalniških...

8 komentarjev

Iran pričel z obsežnim blokiranjem interneta in Tor omrežja

 Javni del Tor omrežja v sliki

Javni del Tor omrežja v sliki

Slo-Tech - Kot poročajo na poštnem seznamu uporabnikov in operaterjev proticenzurnega in anonimizacijskega omrežja Tor, je Iran v zadnjih 48 urah pričel z obsežnim blokiranjem dostopa do interneta. Kot kaže, trenutno blokirajo že skoraj ves SSL/TLS šifriran promet (prve analize sicer kažejo, da iranski cenzorji uporabljajo DPI in ne IP:port filtrov), posledično pa to lahko pomeni, da bodo iranske oblasti morda uspele blokirati dostop do interneta tudi med 50.000 do 60.000 Tor uporabnikom iz Irana (da, uporaba Tor omrežja je v Iranu ena redkih možnosti za neoviran dostop do spleta).

Kot poročajo nekateri uporabniki iz Irana, oblasti blokirajo tudi ssh, posledično pa poslovno škodo trpijo tudi iranska podjetja, ki ne morejo do svojih strežnikov in...

20 komentarjev

Zaradi poročanja o črvu Stuxnet Iran blokiral Ars Technico

Ars Technica - V zadnjih tednih je na spletu vroča tema črv Stuxnet, ki povzroča preglavice Irancem. Industrijski črv, ki je napadal sisteme SCADA, je udrihal predvsem po iranskih obratih, nekoliko manj po indijskih in indonezijskih, medtem ko drugod po svetu težav praktično ni bilo. Špekulacij, zakaj črv napada ravno Iran, je bilo na internetu nešteto: bodisi je tako napisan bodisi so Iranci samo neznansko malomarni. Kakorkoli že, Iranci imajo toliko težav, da so na pomoč pod mizo poklicali tudi tujce.

Ena izmed strani, ki je najbolj vestno pokrivala celotno zgodbo o Stuxnetu, je bila Ars Technica. In Irance je razgaljenje njihove nemoči pred širnim spletom tako razjezilo, da so omenjeno stran v Iranu kar blokirali. Dosegljiva je bila še 27. septembra, potem pa število obiskov iz iranskega naslovnega prostora pade na nič. Obiskovalci iz te države dobijo napako 403, kar je po besedah seznanjenih klasičen odziv na...

Preberi več »

24 komentarjev

Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...

Preberi več »

12 komentarjev