»

Nova ranljivost v Intelovih procesorjih

Slo-Tech - V Intelovih procesorjih (Pentium, Celeron, Atom, Apollo Lake, Gemini Lake in Gemini Lake Refresh) so odkrili ranljivosti, ki napadalcu s fizičnim dostopom do računalnika omogočajo izmakniti šifrirne ključe iz procesorja. Vsak novi procesor ima edinstven ključ (fuse encryption key), iz katerega so potem izračunani drugi ključi, denimo za TPM ali šifriranje podatkov z Bitlockerjem. Dostop do univerzalnega ključa omogoča tudi prelisičiti Intel Management Engine, torej poganjanje neavtorizirane kode na najnižjem nivoju, kar omogoča vgradnjo stranskih vrat v procesor.

Za izrabo najnovejših ranljivosti je potreben fizični dostop do računalnika. Toda potem je moč zlomiti zaščito, ki je namenjena prav zaščiti računalnika, ki nam uide iz rok, denimo ukradenega prenosnika s šifriranimi podatki na disku. Z izrabo ranljivosti je moč napasti tudi vgradne procesorje, kot so v pametnih avtomobilih. Ranljivost izkorišča orodje za razhroščevanje, ki ima previsoke privilegije (debugging...

8 komentarjev

Ko zmanjka mobilnega omrežja, pametni avtomobili na izposojo postanejo nepremičnine

theguardian.com - Internet stvari in vedno povsod priključene naprave so zanimive, dokler nas zaradi svoje pametnosti ne pustijo na cedilu. Vozilo, ki med vožnjo ves čas potrebuje signal mobilnega omrežja, je v divjini hitro neuporabno. The Guardianova novinarka Kari Paul je to izkusila na lastni koži, ko je v Kaliforniji najela Toyoto Prius prek storitve GIG Car Share, kjer avtomobil odklenemo kar prek pametnega telefona. Za najem ni treba izpolnjevati nobenih papirjev, potrebujemo le račun v aplikaciji.

Toda ko je vozila proti severu države in pakirala ob cesti, je bilo zgodbe konec. Na makadamski cesti priusa ni bilo možno več zagnati, ker je izgubil mobilni signal. Avtomobil se ni več premaknil. Še bolj zabavno je bilo dejstvo, da je njen mobilni telefon še našel signal omrežja, tako da je svojo odisejado lahko v živo objavljala na spletu. Ko je klicala na pomoč uporabnikom pri GIG, so ji dejali, da je to pogosta napaka. Odpraviti pa jo je možno le tako, da avto odvlečejo na območje, kjer je...

11 komentarjev

Faks kot vstopna točka v omrežje za nepridiprave

vir: Check Point research

vir: bleepingcomputer.com
bleepingcomputer.com - Morda bi kazalo uvodoma pojasniti, da pod "faks" ni mišljena nobena fakulteta, pač pa tehnologija iz prejšnjega stoletja za prenos slik in teksta prek telefonskega omrežja. Ki pa jo številna podjetja in med drugim tudi slovenska sodišča, še vedno s pridom uporabljajo pri komunikaciji navzven. Raziskovalca podjetja Check Point sta na letošnji varnostni konferenci DEF CON prikazala, kako je tako napravo mogoče zlorabiti za vdor v poslovno omrežje.

Najhuje je, da za izvedbo takega napada ni potrebna neposredna spletna povezava do faks naprave, saj napad dejansko poteka prek telefonske linije, za uspešen vdor pa potrebujemo samo faks številko žrtve, ki je običajno objavljena med kontakti na spletni strani malone vsakega podjetja. T. i. faxploit izrablja ranljivost protokola ITU T.30, ki je bil...

18 komentarjev

General Motors spodbuja prijavo hroščev

Ars Technica - Avtomobili s svojo elektroniko postajajo čedalje pametnejši, pa četudi sploh še niso samovozeči. Zato je dobrodošla odločitev General Motorsa, da kot prvi klasični proizvajalec avtomobilov (Tesla ga je že prehitel) razpiše program za prijavo hroščev in ranljivosti, ki jih raziskovalci in hekerji odkrijejo v njihovih vozilih.

Tu ne gre za nedolžne luknje, kar sta poleti pokazala raziskovalca, ki sta uspela prevzeti popoln nadzor nad Jeepom Cherokeejem. To je bil le najbolj znan napad na ranljivost v vozilu, sicer pa imajo večje ali manjše luknje praktično vsi avtomobili. Doslej je bil odziv proizvajalcev napadalen, saj so grozili s tožbami, zato se večina raziskovalcev niti ni odločala za razkritje kakršnikoli najdenih ranljivosti.

Zato je razveseljujoča odločitev...

2 komentarja

Fiat Chrysler v hitrem odzivu vpoklical 1,4 milijona vozil

Bloomberg - Iz Fiat Chryslerja so le nekaj dni po objavi Wiredove reportaže, kako je mogoče oddaljeno vdreti v njihove avtomobile s pametnim razvedrilnim sistemom UConnect in praktično popolnoma prevzeti nadzor nad njimi, sporočili, da začenjajo vpoklic 1,4 milijona ranljivih vozil. Modeli MY Dodge Viper, Ram 1500, 2500, 3500, 4500 in 5500, Jeep Grand Cherokee, Dodge Durango, MY Chrysler 200, 3000 in Dodge Charger ter Dodge Challenger iz let 2013-2015, ki imajo 8,4-palčni na dotik občutljiv zaslon, bodo prejeli varnostne popravke. Točen seznam po številki šasije je na voljo pri proizvajalcu.

Nadgradnja je sestavljena iz dveh delov. Na nivoju omrežja so včeraj izvedli nadgradnjo, ki preprečuje oddaljen dostop do vozil. Vsi kupci pa...

32 komentarjev

Računalniški vdori v pametne avtomobile omogočajo prevzem nadzora

Wired News - Wired je z dvema hekerjema izvedel strašljiv eksperiment, ki dokazuje, kakor ranljivi so pametni avtomobili prihodnosti. Tarča je bil Jeep Cherokee, ki sta ga Charlie Miller in Chris Valasek ocenila kot najranljivejšo tarčo. Prek interneta, v eksperimentu iz 15 kilometrov oddaljene hiše, v principu pa lahko od koderkoli v ZDA, sta v avtomobilu spreminjala nastavitve klimatske naprave, prestavljala radijske postaje, močila vetrobransko steklo s tekočino za pranje, prekinila delovanja stopalke za plin in onesposobila zavore.

Točka dostopa je sistem UConnect, ki ga imajo številni novi Chryslerjevi avtomobili in tovornjaki. Gre za pametni sistem, ki načeloma omogoča navigacijo, sprejemanje telefonskih klicev, krmiljenje...

46 komentarjev

CES 2015: Pametni maserati

engadget - Pamet, ki so jo prvi dobili telefoni, kasneje pa tudi ure, pasovi, zapestnice in druge nekdaj neumne naprave, se letos vriva med avtomobile. Na CES-u pametni mercedes ni bil osamljeni primerek; Qualcomm je pokazal zelo pametno verzijo maseratija, ki ima namesto ogledal kamere.

Qualcomm Connected Car je v resnici zelo predelan Maserati Quattroporte, ki ima kopico procesorjev Snapdragon, zaslonov ter sposobnost povezljivosti prek Wi-Fi, Bluetootha in LTE. Vse skupaj poganja QNX-ov operacijski sistem Neutrino OS. Namesto stranskih in vzvratnega ogledala ima vgrajene zaslone, ki prikazujejo sliko s kamer. To ni tako neumna ideja, saj pri gibanju z avtomobilom potrebujemo različne poglede...

18 komentarjev

Googlov pametni avtomobil brez voznika

Google - Google je predstavil lastni samovozeči avtomobil brez voznika, ki je trenutno še v fazi prototipa, a naj bi okrog 200 delujočih primerkov izdelali že prihodnje leto. Google je na novinarski konferenci potrdil, da ne bodo predelovali modelov drugih proizvajalcev, ampak so pametni avtomobil razvijali sami od začetka. S tem je Google jasno potrdil, da so bili prvi poizkusi, ko so mehanizem za avtomatično vožnjo vgrajevali v avtomobile drugih proizvajalcev, zgolj to - poizkusi.

Vozilo nima pedalov za plin in zavoro niti volana, saj te funkcije opravlja sam. Prav tako nima ogledal, ker sistem za krmiljenje uporablja informacije, ki mu jih posreduje laserski sistem s 360-stopinjskim vidnim poljem. Avtomobil je videti podobno kot gondola na kolesih. Google pojasnjuje, da so želeli pripraviti dizajn, ki bo deloval čim manj agresivno in bo vzpodbudil lažji...

133 komentarjev

Odkrit način za vdor v Applove baterije

Slashdot - Charlie Miller, ki je poznan kot strokovnjak za računalniško varnost in se intenzivno ukvarja z Applovimi izdelki, je odkril način, kako z manipulacijo baterij zagosti uporabnikom Applovih prenosnih računalnikov. Baterije imajo namreč na sebi čipe, ki omogočajo pametno vedenje, komunikacijo z operacijskim sistemom ipd., a jih to hkrati napravi občutljive na napade.

Ugotovil je, da so baterije po končanem proizvodnem procesu v prenosnikih v tako imenovanem zapečatenem stanju. V tem stanju na njihove čipe ni mogoče kakorkoli vplivati. Z analizo popravkov, ki jih je Apple izdal za odpravo težav z baterijami, je Miller odkril štiribitno geslo, ki omogoča odklep baterije. V tem stanju je mogoče izvesti manjše spremembe na...

17 komentarjev

MacBook Air prvi padel

Slashdot - Na konferenci CanSecWest, ki trenutno poteka v Vancouvru, so priredili tekmovanje v vdiranju v sisteme, imenovano PWN 2 OWN. Tekmovalci se borijo proti trem prenosnikom (Vaio VGN-TZ37CN, Fujitsu U810 in MacBook Air), na katerih tečejo trije konkurenčni operacijski sistemi (Ubuntu 7.10, Vista Ultimate SP1 ter OS X 10.5.2).

V okviru prvega dne tekmovanja so lahko sisteme za nagrado 20.000 dolarjev napadali samo preko omrežja, kar ni prineslo večjih uspehov. Včeraj je bila nagrada razpolovljena, zato pa so dobili tekmovalci možnost, da se na računalniku odpre predpripravljena spletna stran ali elektronsko sporočilo. To je tekmovalcem prineslo dosti več možnosti, kar je dokazal Charlie Miller, ki je že v dveh minutah po začetku tekmovanja uspel prevzeti nadzor nad MacBookom Air.

Kako je to Millerju uspelo, zaenkrat ni znano, ker se morajo tekmovalci zavezati, da podatkov ne bodo izdali, dokler jih organizator ne pošlje avtorjem sistema in ti dobijo možnost za popravek. Glede na to,...

124 komentarjev