»

Vdor v NSA razkril luknje v Ciscovi in drugi omrežni opremi

Slo-Tech - Še vedno odmeva vdor v NSA, ki je zdaj že potrjeno pristen. Neznani napadalci, ki so vdrli v Equation Group, ki je vrsto let sodelovala z NSA (če ni bila njen del) in je imela na svojih strežnikih njena delovna orodja, so na internet priobčili najdena orodja, ki izkoriščajo resnične ranljivosti v obstoječi programski in strojni opremi. To sta že priznala Cisco in Fortinet, po nepotrjenih navedbah pa naj bila ranljiva še vsaj Juniperjeva oprema.

Seznam vseh orodij, ki so v javno dostopnem arhivu, vsebuje ExtraBacon, ki izkorišča ranljivost v Ciscovem požarnem zidu Adaptive Security Appliance pri implementaciji SNMP. Cisco je ranljivost CVE-2016-6366 priznal in napovedal popravek. Trenutno pa so pripravili orodje, ki zazna konkretno programsko opremo iz NSA, in svetujejo...

26 komentarjev

Podrobnosti o Juniperjevih stranskih vratih

Slo-Tech - Znanih je več podrobnosti o stranskih vratih, ki jih je v svojih napravah odkril Juniper. V kodi je dvoje stranskih vrat, ki izkoriščajo različne ranljivosti in omogočajo zlorabo. Prva stranska vrata so v resnici v kodo vstavljeno geslo, ki ob prijavi s poljubnim uporabniškim imenom in geslom <<< %s(un='%s') = %u prek SSH ali telneta omogoči dostop z najvišjimi privilegiji. Znakovno geslo so napadalci bržkone izbrali zato, da se ga v kodi laže spregleda, saj je od daleč videti kot le eden izmed nizov za obdelavo vnosa. A v resnici omogoča dostop do naprave, kar lahko preizkusite tudi sami. Ranljive so vse naprave s firmwarom verzije 6.3.0r17, 6.3.0r18, 6.3.0r19 in 6.3.0r20, ostale verzije pa ne. Ranljivost se je v kodo prikradla leta 2013.

Bistveno zanimivejša pa so druga stranska vrata, za katere je vsaj...

12 komentarjev

Fraunhofer SIT: TrueCrypt sorazmerno varen za hranjenje podatkov

Slo-Tech - Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI). V njem so potrdili rezultate predhodnih pregledov kode, da je TrueCrypt sorazmerno varen kos kode. Sicer vsebuje nekaj varnostnih ranljivosti, a ne v sami izvedbi šifrirnega algoritma, temveč v podporni kodi.

Spomnimo, da je Googlov Project Zero pred poldrugim mesecem v kodi TrueCrypta odkril dve resni varnostni ranljivosti, ki v teoriji omogočata pridobitev privilegiranega dostopa do računalnika, na katerem teče TrueCrypt. Poleg teh ranljivosti je Fraunhofer SIT v kodi našel še nekaj...

4 komentarji

Odkriti kritični ranljivosti v TrueCryptu

threatpost - TrueCrypt je še vedno precej priljubljen program za šifriranje podatkov, pa čeprav so maja lani razvijalci še vedno ne docela pojasnjeno in v precejšnji naglici prekinili razvoj programa. Temeljit varnostni pregled njegove izvorne kode (audit) se je kljub ustavitvi razvoja nadaljeval in ni odkril večjih pomanjkljivosti v kodi. Sedaj pa so odkrili dve ranljivosti, ki omogočata napad na sisteme, ki imajo nameščen TrueCrypt. Varnostni strokovnjaki zato vsem, ki morebiti še vedno vztrajajo na TrueCryptu, svetujejo, da se od njega resnično poslovijo.

Ranljivosti je našel James Forshaw iz Googlovega Project Zero in o njihovem obstoju svet najprej obvestil prek Twitterja. Ranljivosti sta bili...

51 komentarjev

TrueCrypt je varen in mrtev

Slo-Tech - Temeljit varnostni pregled kode (security audit) zadnje verzije TrueCrypta 7.1a je pokazal, da v kodi ni nobenih stranskih vrat, namernih ranljivosti ali oslabljenih šifrirnih algoritmov. V programu so našli štiri ranljivosti, ki pa so tam po nerodnosti in nimajo bistvenega vpliva na varnost.

Zgodba TrueCrypta se je vseeno končala precej nenavadno. Lani maja so avtorji sporočili, da projekta ne bodo več razvijali in uporabo odsvetujejo, ker da program vsebuje varnostne ranljivosti. Revizija kode, ki se je začela že pred tem, se je vseeno nadaljevala. Tako smo te dni dobili uradno poročilo o rezultatih...

41 komentarjev

TrueCrypt v drugem življenju CipherShed

Slo-Tech - Razvijalci so TrueCrypt nehali posodabljati in podpirati maja letos, kar je postavilo precej vprašanj. Na spletni strani so skopo zapisali, da uporabe programa ne priporočajo, ker bi lahko vseboval več varnostnih pomanjkljivosti, natančnejši pa niso bili. Ker identiteta avtorjev ni bila nikoli znana, je bila situacija še bolj nenavadna. Toda TrueCrypt ne bo umrl.

Prvi garant za to je kriptografski pregled kode, ki kljub ukinitvi razvoja teče dalje. Če se bo izkazalo - in preliminarni rezultati so vzpodbudni - da je TrueCrypt varen, ga še vedno lahko uporabljamo. V ta namen so postavili stran TrueCrypt.ch, kjer je moč najti vse relevantne informacije,...

21 komentarjev

Revizija TrueCrypta gre dalje

Ars Technica - Čeprav se je razvoj TrueCrypta končal na sila čuden način, je program še daleč od mrtvega kosa kode. Medtem ko se je razvijalska ekipa iz neznanih razlogov odločila opustiti svoje delo, projekt temeljitega varnostnega pregleda kode (security audit) še vedno teče.

Projekt Open Crypto Audit, ki je že lani začel pregledovati njegovo kodo, se nadaljuje. Za financiranje tega početja so nameravali zbrati 25.000 dolarjev, pa so do danes nabrali že več kot 70.000 dolarjev, kar je več kot dovolj za pregled kode. Kenn White, ki vodi organizacijo pregleda, je povedal, da se pregled nadaljuje ne glede na razvoj dogodkov.

Spomnimo, da je prva faza pregleda že končana. Pri analizi kode so namreč ugotovili, da razen nekaj površnosti resnih napak,...

22 komentarjev

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat

threatpost - Živimo v časih, ko sta prisluškovanje in prestrezanje informacija postali nekaj vsakdanjega, varnostne ranljivosti v programski opremi pa se kar množijo. Zaupati je postalo sila nevarno, zato že dlje časa poteka pregled kode popularnega programa za šifriranje TrueCrypt. Prva faza pregleda ni odkrila resnejših varnostnih lukenj ali stranskih vrat, a kar precej manjših nedoslednosti in ranljivosti.

Kot so pokazali nedavni primeri v GnuTLS in OpenSSL odprta koda ne pomeni nič varnejše programske opreme, če kode nihče temeljito ne pregleda. Pretekli mesec smo pisali o dokazu, da objavljena koda programa TrueCrypt ustreza prevedeni različici, a je bilo...

53 komentarjev

Izšel TrueCrypt 7.0

Slo-Tech - Pred kratkim je izšel TrueCrypt 7.0, ki prinaša kar nekaj novosti. Prva je, da TrueCrypt sedaj omogoča strojno pospeševanje AES šifriranja, ki sicer deluje le na nekaterih procesorjih (ki vsebujejo podporo za AES), je pa na njih šifriranje 4 do 8-krat hitrejše.

Poleg tega TrueCrypt v okolju Windows omogoča tudi samodejen priklop šifriranih naprav (npr. USB diskov), omogoča pa tudi šifriranje celotnih particij z velikostmi sektorjev 4096, 2048 ali 1024 bajtov. TrueCrypt zna po novem v okolju Windows 7/Vista/2008/2008R2 tudi šifrirati hibernacijske datoteke.

TrueCrypt je na voljo za brezplačen prenos in sicer za okolje Linux (GUI in ukazna različica), Windows in Mac OS.

119 komentarjev

Evil Maid napad na TrueCrypt

Prava...

Slo-Tech - Joanna Rutkowska je pred nekaj dnevi na svojem blogu objavila opis novega napada na šifrirni program TrueCrypt, poimenovan Evil Maid napad (napad zlobne sobarice). Na možnost takega napada sicer opozarjajo že avtorji programa TrueCrypt, a Joanna nam je tokrat postregla s konkretno možnostjo izvedbe napada.

Stvar gre takole. Uporabnik v hotelski sobi pusti ugasnjen prenosni računalnik, na katerem so s TrueCryptom...

41 komentarjev