Slo-Tech - Pravzaprav priporočilo za nobenega poznavalca mobilnih omrežij ne bi smelo biti presenečenje, a vseeno malokdo tako neposredno pove, kot je to storil Alex Weinert, ki je v Microsoftu vodja programa Identity Security. V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

MFA je učinkovita zaščita. Microsoft ocenjuje, da se z uporabo MFA prepreči 99,9 odstotka avtomatiziranih napadov, kar je Weinart ocenjeval v blogu že julija lani. Po drugi strani so izključno gesla v večini primerov slab način zaščite identitet. Kaj je torej narobe z MFA prek mobilnih telefonov?

Mobilna omrežja so bila zgrajena v nekem drugem času, zaradi zagotavljanja združljivosti in enostavnosti uporabe pa še danes v njih mrgoli ranljivosti. Napad na protokol SS7, FEMTOcelice in drugi načini prestrezanja pomenijo, da telefonska števila ni varen in...

Slo-Tech - Iz Dropboxa so sporočili, da bodo prihodnje leto ukinili aplikaciji Mailbox in Carousel. Razlogov za ukinitev je več, v glavnem pa gre za nezadostno priljubljenost, saj so uporabniki raje posegali kar po klasični aplikaciji za dostop do Dropboxa. Elektronska pošta pa zadosti svojih problemov, da je zgolj na nivoju odjemalca ni mogoče popraviti.

Carousel je del Dropboxove ponudbe poldrugo leto in je namenjen lažjemu upravljanju s fotografijami. Dropbox je - sedaj priznava, da zmotno - verjel, da bo uporabnikom bliže namenska aplikacija, a se je izkazalo, da jih večina do fotografij v oblaku najraje dostopa kar prek osnovne aplikacije za Dropbox. Zaradi tega so se odločili, da bodo 31. marca prihodnje leto ugasnili Carousel. Vse fotografije bodo uporabnikom...

Ars Technica - Kakorkoli obrnemo, gesla ostajajo najpogostejša možnost za ugotavljanje istovetnosti uporabnikov računalniških sistemov. Lokalno je sicer mogoče uporabljati biometrijo, recimo prepoznavanje glasu, prstnih odtisov ali šarenice, na internetu pa nam do neke mere na pomoč priskočijo certifikati, a brez gesel ne gre. In ker je storitev, za katere potrebujemo geslo, čedalje več, ljudi pa nismo čedalje pametnejši, gesla recikliramo, uporabljamo ista gesla, si jih pišemo na listke itn. Zato vsake toliko časa vznikne kakšna zamisel, kako bi z gesli opravili enkrat za vselej. Sedaj imajo tako idejo v Paypalu.

Kot pojasnjuje Paypalov vodja računalniške varnosti Michael Barrett, želijo v prihodnjih letih doseči odpravo gesel, številk PIN in...

Facebook - Pozabljena gesla so problem, ki ga rešujemo na več načinov. Najenostavneje je težava rešljiva, če imamo dostop do elektronskega predala, saj lahko v tem primeru tja prejmemo povezavo, ki omogoča ponastavitev gesla. Včasih to ni mogoče (če pozabimo geslo za elektronsko pošto in nimamo rezervnega predala, če naslova sploh nismo vnesli ...) in tedaj je situacija teže rešljiva. Pri večjih storitvah pomaga, če smo predhodno vnesli telefonsko številko ali kak drug kontakt, spet druga možnost so tako imenovana varnostna vprašanja z odgovori, ki pa jih lahko kdo ugane itd. Facebook je sedaj vzpostavil alternativni način za obnavljanje gesla, ki temelji na povezanosti ljudi, kot se za družabno omrežje spodobi.

Vsak uporabnik lahko navede od tri do pet ljudi,...

Wired News - Z gesli je križ. Množijo se huje kakor zajci: geslo za spletno banko, elektronsko pošto, deset različnih forumov, PIN-kode za bančno kartico, prijavo v Windows, pametni telefon in še in še. Čim več pametnih naprav nas obkroža, tem več gesel moramo poznati. Ker so preenostavna gesla idealna priložnost za krajo identitete, nas marsikod silijo v izbiro težkih gesel z različnimi pravili glede dolžine, velikosti črk, vsebovanih številk in drugih znakov. Rezultat? Sila klavrn. Recikliranje gesel je zelo pogosto, saj ima mnogo ljudi isto geslo za več različnih strani (s čimer v principu ni nič narobe, če gre zgolj za nepomembne forume), marsikdo pa si geslo nekam napiše - po možnosti na lepljivi listek ob...

VentureBeat - Uveljavljeni proizvajalec protivirusnih rešitev za mobilce Lookout security je nedavno predstavil svoje poročilu o trendih mobilnih napadov. Glavna ugotovitev je, da se zlikovci vse manj ukvarjajo z nameščanjem spyware-a, namesto tega pa jih bolj zanima takojšnje služenje denarja skozi zlorabo plačljivih SMS storitev (toll fraud). Trend je posebej značilen v državah s šibko regulacijo SMS marketinga.

Kot ugotavljajo iz njihovih internih statistik, se kar 62% vseh letošnjih napadov ukvarja s pošiljanjem premium SMS-ov (oz. kar 82% gledano samo za letošnji junij), medtem ko je bila še lani ta številka 29%. Posebej popularen naj bi bil paket "FakeInst", ki se maskira kot...

Computerworld - Dropbox je izpolnil obljubo, ki so jo dali po izgubi osebnih podatkov pretekli mesec, in uvedel dvostopenjsko avtentifikacijo. Doslej je bil dostop do računa mogoč izključno z uporabniškim imenom (elektronski naslov) in geslom, ki ju napadalci relativno lahko prestrežejo oziroma pridobijo s socialnim inženiringom ali zlonamernimi aplikacijami. Da bi to preprečili ali vsaj otežili, so uvedli preverjanje istovetnosti s SMS-kodo oziroma namenskimi programi.

Kdor bo želel uporabljati novo varnostno storitev, bo moral svojega odjemalca najprej posodobiti na verzijo vsaj 1.5.12. Potem bo na spletni strani Dropbox v svojem računu na zavihku...

Slo-Tech - Dva tedna nazaj smo pisali o potencialni kraji baze e-poštnih naslovov nekaterih, predvsem evropskih Dropbox uporabnikov, ki so potem na svoje račune nenadoma začeli dobivati spam. Incident bi najbrž šel mimo neopažen, če med prizadetimi uporabniki ne bi bilo številnih, ki so za Dropbox uporabljali specifični email naslov oz. alias, tako da takšen naslov v roke spammerjev ni mogel priti drugače kot z vpletanjem omenjenega ponudnika. No, Dropbox je obljubil, da bo raziskal, in zgleda so. Njihov odgovor ponuja zanimivo lekcijo iz varnosti gesel ter diskovja na spletu.

Kot pišejo na svojem blogu, se je vse skupaj začelo s krajo uporabniških podatkov na neki tretji strani (ne piše kateri), nakar so tamkajšnji...

SC Magazine - Domiselnost tatov kar noče poznati meja. Skupina avstralskih nepridipravov je potem, ko so s trojancem uspešno pridobili prijavne podatke za spletno banko lokalnega poslovneža, z malo socialnega inženiringa dobila njegovo mobilno številko in jo po krajšem telefonskem klicu na avstralski Vodafone prenesla na svoj telefonski aparat. Nato so si naklikali 45 tisoč avstralskih dolarjev preko nakupa v trgovini s pohištvom. Banka je transakcijo sicer zaznala kot sumljivo, vendar imetnika računa niso uspeli priklicati, ker je med kontaktnimi podatki navedel (ironija) svojo mobilno številko.

Napad se je zgodil letos junija, poslovnež pa je zanj zvedel šele...

ComputerWorld - Junija smo poročali o bizarni napaki v Dropboxu, ko se je bilo štiri ure mogoče prijaviti v poljuben račun samo s poznavanjem elektronskega naslova, ki služi kot uporabniško ime, brez poznavanja gesla. Dropbox, ki se uporablja za hranjenje podatkov v oblaku in avtomatično sinhronizacijo med različnimi računalniki ter je zaradi enostavnosti uporabe izjemno priljubljen, je takrat napako urno popravil, a žal to ni edina varnostna pomanjkljivost. Raziskovalci so na simpoziju USENIX Security predstavili kar tri, ki so bile pred javno razgrnitvijo sicer že odpravljeni.

Na Dropboxu je bilo namreč mogoče ponarediti zgoščeno kodo oziroma prstni odtis (hash), ki se izračuna iz vsake datoteke, ki jo naložimo v oblak. To omogoča,...

Slo-Tech -

Še ni minil mesec dni, odkar so mediji poročali o resni varnostni pomanjkljivosti v popularnem sistemu za oblačno hranjenje datotek Dropbox. Prijavni podatki so se v nešifrirani obliki hranili kar v konfiguracijski datoteki config.db, zato je bilo mogoče z njeno krajo pridobiti dostop do celotnega Dropbox imenika tretje osebe. Napadalec ni potreboval posebnega tehničnega znanja, le nekaj minut za računalnikom žrtve. V podjetju objave niso vzeli pretirano resno; CTO in soustanovitelj Arash Ferdowsi je na uradnem forumu komentiral, da so uporabniki sami dolžni zavarovati svoj sistem pred fizičnim vdorom, ter da je napaka po naravi stvari zadeva vse aplikacije, ki za prijavo uporabljajo piškotke. Dober teden dni kasneje so svojem blogu napovedali popravek in še...

Slo-Tech - Storitev Dropbox, ki je med nami že nekaj časa in je po dolgem beta stadiju konec lanskega leta prilezla do prve stabilne različice, omogoča avtomatično sinhronizacijo dokumentov na lokalnem računalniku v oblak v realnem času. Zavoljo brezplačnosti, preprostosti, prenosljivosti (podprte so vse pomembnejše platforme) in prostornosti (osnovni paket obsega dva gigabajta) je Dropbox najbolj priljubljena storitev svoje vrste. Derek Newton sedaj v svojem blogu poroča o odkriti ranljivosti v preverjanju pristnosti v računu za Dropbox, ki omogoča napadalcu pridobitev dostopa do računa.

Za povezavo računalnika z računom za Dropbox mora uporabnik nanj namestiti odjemalca, določiti lokalno mapo, ki se sinhronizira, in vpisati...