»

Pobegnili zasebni ključi za evropska covidna potrdila

Slo-Tech - Po poročanju italijanske tiskovne agencije ANSA so neznani hekerji odtujili zasebne ključe, ki se uporabljajo za podpisovanje evropskih covidnih potrdil. Ni znano, od kod so ključe ukradli, ANSA pa poroča, da ne iz Italije. Ponarejena potrdila naj bi trenutno krožila po Franciji in Poljski.

Ker je internet pač internet, se je seveda takoj na njem znašlo veljavno covidno potrdilo na ime Adolf Hitler, rojen leta 1900. Na darknetu so se začela prodajati tudi druga digitalna potrdila. Po neuradnih podatkih na nivoju EU že potekajo sestanki, kjer ugotavljajo obseg škode in podrobnosti. Trenutnoni znano, kdaj so ključe dejansko ukradli. Za zdaj so se odločili, da prekličejo ukradene ključe, kar bo razveljavilo vsa z njimi izdana potrdila. To pomeni, da bodo morali legitimnim imetnikom potrdil izdati nova.

118 komentarjev

Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!

Slo-Tech - Britanski posrednik certifikatov HTTPS Trustico je te dni zakuhal pravi škandal, saj je objavil zasebne ključe 23.000 certifikatov svojih strank, s čimer je povzročil množičen preklic. Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani, zaradi česar bodo letos brskalniki nehali zaupati njegovim certifikatom. Ko se bo to zgodilo, bodo zaupanja nevredni tudi Trusticovi certifikati, zato je podjetje preventivno reagiralo in šlo na nož.

Trustico je od DigiCerta zahteval, da prekliče izdane certifikate, s čimer bi svoje stranke prisilil, da bi jih zamenjale za Comodove certifikate. DigiCert tega ni...

11 komentarjev

Napad na Kaspersky Lab prek Foxconnovih ukradenih certifikatov

Secure List - V Kaspersky Labu so razkrili nekaj več podrobnosti zadnjega napada, ki so ga neznanci izvedli z virusom Duqu 2.0. Ugotovili so, da se je virus v omrežje infiltriral podpisan z ukradenim Foxconnovim certifikatom, s čimer je pretental sistem.

Duqu 2.0 v nevolatilnem pomnilniku vzdržuje minimalno prisotnost, zaradi česar ga je teže odkriti. Na diskih praktično ni zapisan, temveč v celoti ostaja v RAM-u, kamor se po ponovnem zagonu vnovič prekopira kar z omrežja. Vseeno to ne pomeni, da bi sistem lahko očistili z enkratnim sočasnim ponovnim zagonom vseh...

11 komentarjev

Nadaljevanje zgodbe Superfish-Lenovo kaže na resnejšo ranljivost

Slo-Tech - Hitro se je začela odvijati zgodba, ko so na računalnikih Lenovo odkrili Superfish. Medtem ko proizvajalec programa trdi, da ni nič narobe, je Lenovo že ponudil navodila za odstranitev, na internetu pa so ugotovili, da so sporni certifikati prisotni tudi v drugi programski opremi in da je ranljivost še bistveno resnejša.

Izvršni direktor podjetja, ki je razvilo program Superfish, Adi Pinhas, je v izjavi za javnost dejal, da program za uporabnike ne predstavlja nikakršnega tveganja. Poudaril je, da Superfish ne shranjuje nobenih informacij o uporabnikih in da so skupaj z Lenovom pred začetkom prodaje izvedli obširno testiranje, ki pa ni odkrilo omenjene varnostne...

26 komentarjev

Napad na Sony Pictures povzročil umik filma

Slo-Tech - Ameriški obveščevalci so za The New York Times neuradno potrdili, da je bila Severna Koreja "bistveno udeležena" v napad na Sony Pictures, za katerega je odgovornost prevzela neznana skupina z imenom Guardians of Peace (GOP). V Beli hiši naj bi resno razpravljali o vprašanju, ali Severno Korejo javno obtožiti vdora ali ne. Od lani tovrstno žuganje Američanom ni tuje, saj so na primer Kitajsko že javno obtožili vdorov in njihove vojake postavili pred sodišče (kamor seveda ne bodo nikoli šli).

V Beli hiši se želijo izogniti neposrednem soočenju s Severno Korejo, ki bi državi lahko dalo povod za resnično sovražnost do ZDA in povračilne ukrepe. Spet pa se kot glavni problem izpostavlja prihajajoči film The Interview, v katerem se...

38 komentarjev

Vdor v Sony odnesel tudi certifikate, nesnaga že tu

Slo-Tech - Vdor v Sony skupine GOP (Guardians of Peace), katere motivi še vedno niso znani, je poskrbel tudi za zlonamerno programsko opremo, ki izkorišča Sonyjeve certifikate. Na internetu se je pojavila nova inačica programa Destover, ki nosi veljaven digitalni podpis Sony Pictures, zaradi česar se laže prihuli mimo varnostnih pregrad.

Destover je že znan kos škodljive programske opreme, novost je le izraba Sonyjevih certifikatov za podpis. Tako je verzija, ki je datirana na 5. december in vsebuje Sonyjevdigitalni podpis, sicer...

8 komentarjev

Vdor v Sony resnejši od pričakovanj

Slo-Tech - Hekerski vdor v Sony Pictures se je izkazal za mnogo resnejšega, kot je sprva kazalo. Napadalci niso odnesli le več popolnoma svežih filmov, temveč več gigabajtov datotek, ki vsebujejo osebne podatke, kot so podatki o izplačanih plačah, zdravstvenem stanju in bivališču zaposlenih. V Sonyju še vlada izredno stanje, napadalce pa lovijo tako najeti privatni varnostni strokovnjaki kakor organi pregona.

Na Fusion.net so dobili vpogled v datoteke, ki so jih hekerji odnesli. Na odlagališču podatkov Pastebin se je ta teden pojavil dokument s povezavami do 26 datotek torrent za prenos ukradenih...

21 komentarjev

Spet hekerski vdor v Sony Pictures

Bloomberg - Neznani storilci so vdrli v računalniški sistem Sony Pictures, zaradi česar v podjetju v ponedeljek ni deloval računalniški sistem. Napadalci so pridobili dostop do vseh računalnikov in na vseh namizjih izrisali sporočilo, da jih je napadla skupina #GOP (Guardians of Peace). Sprva se je vest razširila po Redditu, kjer jo je objavil eden izmed zaposlenih v Sony Pictures, kasneje pa so jo povzeli svetovni mediji. Sony je vdor potrdil.

Po besedah pristojnih v Sony Pictures so hekerji pridobili dostop do enega strežnika in ga uporabili kot izhodišče za napad. Hekerji namigujejo, da so imeli tudi pomoč od znotraj. Zaposleni so dobili navodila, naj se na računalniški sistem sploh ne...

7 komentarjev

Napadalci izmaknili Operin certifikat

Opera software - Iz Opere so danes sporočili, da so za zdaj neznani napadalci napadli njihove strežnike in pridobili dostop do vsaj enega certifikata, ki ga Opera uporablja za podpisovanje datotek. Niso pa bili odtujeni nobeni osebni podatki, zagotavljajo v Operi. Kraja certifikatov pomeni, da so lahko z njim podpisali zlonamerno programsko opremo, da je bila videti kakor legitimna posodobitev za brskalnik Opera.

Napad so hitro odkrili in sanirali, a vseeno je bilo potencialno prizadetih več tisoč uporabnikov. Kdor je 19. junija med 3.00 in 3.36 uro po slovenskem času uporabljal Opero, je lahko žrtev, saj je...

1 komentar

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

41 komentarjev

Izvedba popolnega MITM napada

Prikaz MITM napada, (CC) Open Web Application Security Project

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...

116 komentarjev