»

Windows Server včasih skoči stoletje v prihodnost

Slo-Tech - Na strežnikih, ki jih poganja Windows Server, se lahko sistemski čas nepričakovano spremeni za več mesecev v preteklosti v prihodnost, kar ima često katastrofalne posledice. Napaka ni zelo pogosta, a se je zgodila že številnim administratorjem, ki so bolj ali manj uspešno lovili krivca. To je funkcija Secure Time Seeding (STS), ki jo je Microsoft z dobrimi nameni uvedel leta 2016, a ne deluje pravilno.

STS bi morala zagotavljati točen čas na sistemih, četudi so ugasnjeni in četudi bi se baterije izpraznile. V takih primerih seveda lahko sistem po ponovnem zagonu za uro vpraša dosegljive strežnike s časom, denimo prek protokola NTP. A Microsoft pojasnjuje, da naprava z nepravilnim časom ne more varno komunicirati po omrežju, da bi izvedela točen čas, ki bi ji omogočil varno komunikacijo. To bi se sicer dalo rešiti s kakšno izjemo, a Microsoft se je odločil, da bo problem rešil drugače. V zahtevkih pri šifrirani komunikaciji (SSL handshake) je tudi polje ServerUnixTime, v katerega...

13 komentarjev

Facebook napovedal novo kriptovaluto libra

Financial Times - Kot smo napovedovali, je Facebook danes napovedal svojo kriptovaluto libra. Kriptovaluto, ki bo skupaj z ustrezno verigo blokov (blockchain) zaživela prihodnje leto, podpira več deset velikih podjetij, med njimi tudi Visa in MasterCard.

Čeprav o libri pogosto govorijo kot o veliki konkurenci bitcoinu, Facebook poudarja, da ne bo šlo za špekulativno valuto, temveč ohranjevalec vrednosti oziroma pravi digitalni denar. Libra bo podprta z realnimi valutami. Najprej bo libra namenjena prenosu denarja med uporabniki v državah v razvoju, ki pogosto nimajo dostopa do klasičnih bank. Kasneje naj...

79 komentarjev

Amazon bo z denarnimi nagradami spodbujal zunanje razvijalce za razvoj aplikacij za Alexo

Business Insider - Spletni trgovski velikan Amazon bo odslej zunanje razvijalce finančno nagrajeval za razvoj aplikacij in dodatnih funkcionalnosti za virtualno asistentko Alexo. „Iščemo različne načine, kako nagraditi razvijalce,“ je v sporočilu za javnost zapisal Amazon. Podjetje bo razvijalce nagrajevalo glede na pogostost uporabe njihove rešitve s strani uporabnikov Alexe. Kakšne vsote lahko razvijalce pričakujejo s tega naslova, Amazon ni razkril. Je pa podjetje poudarilo, da gre le za prvi korak in da lahko razvijalci v prihodnjih mesecih pričakujejo še druge piškotke.

Amazon se je za tak pristop odločil zaradi vse močnejše konkurence, predvsem zaradi Googlovega Asistenta in Microsoftove Cortane. Obe podjetji...

0 komentarjev

Začenja se revizija kode OpenSSL

Slo-Tech - Začenja se največja revizija odprte kode v zgodovini, v sklopu katere bodo pregledali 447.247 vrstic kode v 14 programskih jezikih, ki sestavljajo aktualno verzijo OpenSSL. Projekt, ki so ga napovedali že lani, se začenja skoraj leto dni po odkritju hude ranljivosti heartbleed. Zaradi lanskih dogodkov se je začel tudi razvoj razvejitve (fork) LibreSSL ter Googlovega BoringSSL. Številni analitiki sicer menijo, da je revizija kode OpenSSL nepotrebno zapravljanje časa in da bi bilo bolje vse skupaj napisati na novo - torej investirati v LibreSSL - a CII vztrajajo, da je revizija kode pomembna. Dodajajo, da počno še marsikaj drugega, vse v želji poskrbeti, da bo infrastrukturno pomembna odprta koda brez ranljivosti.

V Core...

33 komentarjev

LibreSSL za zdaj še nevaren

Ars Technica - LibreSSL, ki je nastal iz OpenSSL s čiščenjem kode in odstranjevanjem nepotrebnih funkcionalnosti, je prilezel do verzije 2.0.0, ki pa je imenu navkljub še vedno nedokončana. Toda pokazalo se je, da je odstranjevanje funkcionalnosti OpenSSL dvorezen meč, saj je LibreSSL v trenutni verziji v nekaterih pogledih nevarnejši od predhodnika.

Težave tičijo v generatorju psevdonaključnih števil (PRNG), ki je pri šifriranju izjemno pomemben. Algoritem Dual EC DRBG za tvorjenje psevdonaključnih števil je na primer imel ranljivost, ki jo je NSA izkoriščala za prisluškovanje. Pregled kode LibreSSL je pokazal, da ima ta pomanjkljiv PRNG.

Zgodi se namreč lahko, da začne PRNG vračati ista naključna števila. To se lahko primeri, kadar ima več inačic procesa v Linuxu isto številko PID. Linux...

17 komentarjev

Iz OpenSSL tudi BoringSSL

Slo-Tech - Dva meseca po najavi paketa LibreSSL, ki nadomešča OpenSSL oziroma predstavlja razvejitev (fork), bomo dobili še tretjo varianto. Google je najavil BoringSSL, ki predstavlja Googlovo lastno inačico.

Spomnimo, da je plaz vprašanj o zanesljivosti OpenSSL-a in njegove alternative verzije sprožila ranljivost Heartbleed, ki je od marca leta 2012 do letošnjega leta omogočala pridobitev neposrednega dostopa do pomnilnika v strežniku in razkritje podatkov v njem, vključno s šifrirnimi ključi. To je poleg žolčnih debat sprožilo nastanek LibreSSL in zaposlitev večjega števila razvijalcev in vzdrževalcev "starega" OpenSSL. Sedaj pa prihaja še Googlov BoringSSL.

Google pravi, da BoringSSL ne bo povzročal težav v trenutnem razmerju moči. Še vedno bodo finančno podpirali Core Infrastructure...

15 komentarjev

Dodatni razvijalci in pregled kode OpenSSL-a

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

Slo-Tech - Fundacija Linux je napovedala, da bo financirala temeljit pregled kode OpenSSL in zaposlitev dveh razvijalcev s polnim delovnim časom, v kar jih je prepričal odkrit hrošč Heartbleed. Čeprav trenutno že teče projekt LibreSSL, v sklopu katerega pripravljajo vitkejše in preverjene knjižnice, je tudi razvoj OpenSSL prav tako pomemben, zlasti ker LibreSSL ne bo podpiral vseh funkcionalnosti.

Doslej je bil OpenSSL kadrovsko in predvsem finančno zelo podhranjen, kar se je odrazilo tudi na kakovosti kode. Zato je...

30 komentarjev

Del OpenSSL bo postal LibreSSL

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

ZDNet - Ekipa, ki razvija operacijski sistem OpenBSD, je začel ločen razvoj razvejitve iz OpenSSL (fork), ki se bo imenoval LibreSSL. Že dlje časa je znano, da je OpenSSL dokaj okoren in da vsebuje precej kode, ki so jo razvijalci že dlje časa nameravali odstraniti, pa tega niso storili. Ranljivost heartbleed, ki so jo nedavno odkrili v OpenSSL, pa je pospešila načrte o temeljiti prenovi. To so razlogi, da dobivamo LibreSSL.

LibreSSL bo tako očiščen, popravljen in bolj vitek OpenSSL, pojasnjuje Theo de Raadt, vodja...

16 komentarjev

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat

threatpost - Živimo v časih, ko sta prisluškovanje in prestrezanje informacija postali nekaj vsakdanjega, varnostne ranljivosti v programski opremi pa se kar množijo. Zaupati je postalo sila nevarno, zato že dlje časa poteka pregled kode popularnega programa za šifriranje TrueCrypt. Prva faza pregleda ni odkrila resnejših varnostnih lukenj ali stranskih vrat, a kar precej manjših nedoslednosti in ranljivosti.

Kot so pokazali nedavni primeri v GnuTLS in OpenSSL odprta koda ne pomeni nič varnejše programske opreme, če kode nihče temeljito ne pregleda. Pretekli mesec smo pisali o dokazu, da objavljena koda programa TrueCrypt ustreza prevedeni različici, a je bilo...

53 komentarjev

Ali je NSA izkoriščala Heartbleed?

Bloomberg - Ta teden je bila glavna varnostna novica odkritje ranljivosti Heartbleed v OpenSSL 1.0.1, ki je skorajda dve leti neopazno ždela v kodi in omogočala pridobitev vsebine strežnikovega pomnilnika. Ni znano, ali je ranljivost kdo izkoriščal, a Bloomberg trdi, da jo je vsaj ameriška NSA.

NSA naj bi za ranljivost vedela od samega nastanka in jo tudi aktivno izkoriščala, so zapisali, sklicujoč se na podatke dveh neodvisnih virov blizu NSA. Da bi jo lahko karseda dolgo izkoriščali, o njenem obstoju niso obvestili nikogar. Z uporabo NSA so pridobivali gesla, certifikate in drugo občutljivo...

8 komentarjev

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

Ars Technica - Letos ni ravno najboljše leto za varno spletno komunikacijo, še posebej ne za dvojček SSL/TLS. Konec februarja smo lahko brali o nemarni kodi za preverjanje pristnosti strežniških certifikatov v Applovem iOS/OS X, še ne dva tedna zatem pa o kar 9 let stari podobni luknji v odprtokodni knjižnici GnuTLS. Malo poenostavljeno rečeno je kazalo, da prav nihče več ne zna pravilno preveriti pristnosti strežniške strani komunikacije.

Zdaj smo dobili še eno luknjo, tokrat na strežniški strani. Pomanjkljiva...

79 komentarjev

DARPA prenehala sponzorirati odprt projekt

Linux Today - Ameriška vojaška raziskovačna agencija DARPA se je odločila, da v prihodnje ne bo več investirala v razvoj varnega, prostega operacijskega sistema OpenBSD. Razlog za nenadno odločitev je prispevek enega ključnih razvijalcev, Thea de Raadta, v The Globe and Mail of Toronto, kjer naj bi omenjeni programer izrazil svoje nasprotovanje vojni.

Sredstva v višini 2,3 milijona USD so bila namenjena varnostnim izboljšavam sistema OpenBSD. Po besedah de Raadta je bilo od leta 2001 porabljenih 85 odstotkov denarja, od tega približno 1 milijon za plače razvijalcev OpenBSD in pol milijona za splavitev projekta OpenSSL, ki se uporablja pri šifriranju podatkov. DARPA je sicer znana predvsem po razvoju prvega omrežja za vojaške namene (ARPANet), ki se je nato prelevil v internet. Klik!

3 komentarji