Slo-Tech - Na ameriških vlakih je že od davnega leta 2012 varnostna ranljivost, ki vsakomur z dovolj močnim radijskim oddajnikom in nekaj znanja omogoča ustaviti katerikoli vlak. Ker dolga leta upravljavci železniškega prometa niso reagirali, je CISA (Cybersecurity & Infrastructure Security Agency) letos objavila podrobnosti o ranljivosti, ki so končno sprožile resno debato o varnostnem tveganju.

Paradoksalno ranljivost povzroča sistem, ki je bil zasnovan, da bi bili vlaki varnejši. Ameriški vlaki imajo v lokomotivi napravo Head-of-Train, na drugem koncu pa End-of-Train, ki komunicirata z brezžično povezavo. Prenos podatkov pa ni šifriran, zato ga lahko ponareja kdorkoli. Za izrabo ranljivosti je bilo treba zgolj ugotoviti, kako je kodiran (ne šifriran!) zapis. To je za protokol EOT/HOT znano že vsaj od leta 2012, a Association of American Railroads (AAR) ni reagirala. Tudi ko je bil leta 2016 objavljen podroben članek o tej luknji, se ni zgodilo nič.

Lahko pa bi se. Ranljivost omogoča...

Ars Technica - Raziskovalci varnostnega podjetja Eclypsium so že v začetku marca odkrili paket varnostnih lukenj na Dellovih računalnikih, prek katerih je mogoče z njihovo povezavo prevzeti nadzor nad napravo, njenim zagonom, s tem pa tudi nad varnostnimi funkcijami operacijskega sistema. Ranljivosti imajo na lestvici Common Vulnerability Scoring System (CVSS) skupno varnostno oceno 8,3, prek njih pa je ogroženih 128 različnih Dellovih tablic ter namiznih in prenosnih računalnikov, skupaj naj bi šlo kar za okoli 30 milijonov naprav.

Središče nevarnosti predstavlja orodje Dell SupportAssist, ki je večinoma že prednaloženo na naprave in njegova funkcionalnost BIOSConnect, ki naj bi uporabnikom olajšala nadgradnje in popravke firmwara ter pomagala pri ponovni vzpostavitvi operacijskega sistema po morebitni zrušitvi. Orodje se v ta namen samo poveže v Dellov oblak in od tam prenese potrebne podatke. Raziskovalci pa so v tem procesu odkrili četverico ranljivosti, ki bi napadalcu lahko omogočile...

The Hacker News - Natalie Silvanovich, raziskovalka pri Google Project Zero je konec septembra odkrila resno napako v aplikaciji za varno sporočanje Signal. Napaka je napadalcu omogočala oddaljen vklop mikrofona pri uporabniku Signala in posledično prisluškovanje pogovorom v prostoru, kjer se nahaja telefon.

Za izrabo je bila potrebna prilagojena različica Signala, s katero je napadalec poklical na ciljni telefon. Če se klicana oseba ni oglasila, je napadalec lahko sprožil samodejni odgovor oz. samodejno vzpostavitev zveze s klicočim.

Logična napaka pri obravnavi klicev je bila omejena na platformo Android (na iOS se klic zaradi nepričakovanega zaporedja stanj klica zveza ni samodejno vzpostavila) in sicer zaradi omejitev tehnologije WebRTC.

Natalie Silvanovich je ranljivost javila razvijalcem Signala prejšnji teden, razvijalci pa so se odzvali v zgolj nekaj urah in napako z različico v4.47.7 odpravili.

Svoje telefone redno posodabljate?

Slo-Tech - Maddie Stone iz Googlovega Project Zero je v Androidu odkrila resno ranljivost, ki hekerjem omogoča prevzem nadzora nad nekaterimi telefoni z Androidom. Ranljivost se tudi v praksi že izrablja, pri čemer Project Zero s prstom kaže na NSO Group. Gre za izraelsko podjetje, ki je specializirano za iskanje, zbiranje in preprodajo ranljivosti. NSO se brani, da omenjena ranljivost ni v nikakršni povezavi z njimi. Google je obstoj ranljivosti potrdil in obljubil, da oktobra izide popravek.

Trenutno kaže, da je prizadetih več telefonov številnih proizvajalcev. Med drugim je moč zlorabiti Pixel 1 in 2, Huawei P20, Redmi 5A in Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3 in Samsung S7, S8 in S9. Googlov popravek bo neposredno uporaben za Pixel, medtem ko bodo morali ostali proizvajalci poskrbeti za njegovo integracijo v sistemsko posodobitev. Ranljivost je del Linuxovega jedra, kjer so jo odpravili v verziji 4.14 (v začetku leta 2018). Popravljena je tudi v novejših jedrih Androida, ni pa...

Slo-Tech - Pred mesecem dni so Švicarji zagnali javni preizkus varnosti sistema za izvedbo e-volitev. Sistem, ki ga je postavila Švicarska pošta v sodelovanju s španskim tehnološkim partnerjem Scytl, je bil razgaljen vključno z izvorno kodo, hekerji pa so za odkritje in izrabo ranljivosti tudi nagrajeni. Čeprav preizkusno obdobje sploh še ni končano, je že jasno, da je imel sistem hudo ranljivost.

Več raziskovalnih skupin je, neodvisno druga od druge, odkrilo resno ranljivost v sistemu. Tako imenovana univerzalna preverljivost, ki je za e-volitve ključna in omogoča enoznačno ponovno štetje glasov, kakor je to mogoče tudi s papirnimi glasovnicami, je vsebovala to ranljivost. Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi...

Slo-Tech - Več kot 2,6 TB dokumentov o sumljivih poslih strank panamske odvetniške pisarne Mossack Fonseca, ki jih je nemškemu Süddeutsche Zeitungu posredoval neimenovani vir, naj bi po zatrjevanju odvetniške pisarne razgalil hekerski vdor in ne klasičen žvižgač. Ali to drži ali ne, je težko soditi, dejstvo pa je, da so imeli katastrofalno zavarovan informacijski sistem. Že bežen pogled razkriva, da je njihova programska oprema obstala v preteklosti.

Na njihovem strežniku teče verzija WordPressa izpred poldrugega leta (WordPress 4.1), če sodimo po verziji datoteke autosave.js. Za dostop do elektronske pošte so uporabljali Microsoftov Outlook Web Access iz leta 2009, portal za stranke pa poganja Drupal 7.23 iz leta 2013. To je tista...

Wired News - Drugi največji proizvajalec omrežne opreme na svetu Juniper je v svoji opremi odkril stranska vrata, ki jih je tja verjetno postavila kakšna država oziroma obveščevalna organizacija. Kot so sporočili, so prizadete naprave NetScreen, na katerih teče operacijski sistem ScreenOS. Prizadete so verzije od 6.2.0r15 od 6.2.0r18 in od 6.3.0r12 do 6.3.0r20, kar daje slutiti, da se je ranljivost v kodi skrivala vsaj od leta 2012, mogoče pa celo vse od leta 2008. Stranska vrata so v najnovejši verziji zakrpali, posodobitev pa je praktično obvezna.

Pri tovrstnih odkritjih so namreč najbolj ogroženi uporabniki ranljive opreme, ki posodobitve še niso namestili, in to takoj po izdaji popravkov. Ti namreč morebitnim nepridipravom, ki želijo ranljivosti izkoristiti, dajo zelo dobre smernice, kje najdejo luknjo. Zato Juniper poziva k nadgradnji. Hkrati to kaže na dodatni problem, ki ga...

Slo-Tech - Fraunhoferjev inštitut za varno informacijsko tehnologijo (Fraunhofer SIT) je objavil podrobno 77 strani dolgo poročilo pregleda kode programa za šifriranje podatkov TrueCrypt, ki so ga izvedli za nemški Zvezni urad za varnost v informacijski tehniki (BSI). V njem so potrdili rezultate predhodnih pregledov kode, da je TrueCrypt sorazmerno varen kos kode. Sicer vsebuje nekaj varnostnih ranljivosti, a ne v sami izvedbi šifrirnega algoritma, temveč v podporni kodi.

Spomnimo, da je Googlov Project Zero pred poldrugim mesecem v kodi TrueCrypta odkril dve resni varnostni ranljivosti, ki v teoriji omogočata pridobitev privilegiranega dostopa do računalnika, na katerem teče TrueCrypt. Poleg teh ranljivosti je Fraunhofer SIT v kodi našel še nekaj...

threatpost - TrueCrypt je še vedno precej priljubljen program za šifriranje podatkov, pa čeprav so maja lani razvijalci še vedno ne docela pojasnjeno in v precejšnji naglici prekinili razvoj programa. Temeljit varnostni pregled njegove izvorne kode (audit) se je kljub ustavitvi razvoja nadaljeval in ni odkril večjih pomanjkljivosti v kodi. Sedaj pa so odkrili dve ranljivosti, ki omogočata napad na sisteme, ki imajo nameščen TrueCrypt. Varnostni strokovnjaki zato vsem, ki morebiti še vedno vztrajajo na TrueCryptu, svetujejo, da se od njega resnično poslovijo.

Ranljivosti je našel James Forshaw iz Googlovega Project Zero in o njihovem obstoju svet najprej obvestil prek Twitterja. Ranljivosti sta bili...

Slo-Tech - Temeljit varnostni pregled kode (security audit) zadnje verzije TrueCrypta 7.1a je pokazal, da v kodi ni nobenih stranskih vrat, namernih ranljivosti ali oslabljenih šifrirnih algoritmov. V programu so našli štiri ranljivosti, ki pa so tam po nerodnosti in nimajo bistvenega vpliva na varnost.

Zgodba TrueCrypta se je vseeno končala precej nenavadno. Lani maja so avtorji sporočili, da projekta ne bodo več razvijali in uporabo odsvetujejo, ker da program vsebuje varnostne ranljivosti. Revizija kode, ki se je začela že pred tem, se je vseeno nadaljevala. Tako smo te dni dobili uradno poročilo o rezultatih...

Slo-Tech - Razvijalci so TrueCrypt nehali posodabljati in podpirati maja letos, kar je postavilo precej vprašanj. Na spletni strani so skopo zapisali, da uporabe programa ne priporočajo, ker bi lahko vseboval več varnostnih pomanjkljivosti, natančnejši pa niso bili. Ker identiteta avtorjev ni bila nikoli znana, je bila situacija še bolj nenavadna. Toda TrueCrypt ne bo umrl.

Prvi garant za to je kriptografski pregled kode, ki kljub ukinitvi razvoja teče dalje. Če se bo izkazalo - in preliminarni rezultati so vzpodbudni - da je TrueCrypt varen, ga še vedno lahko uporabljamo. V ta namen so postavili stran TrueCrypt.ch, kjer je moč najti vse relevantne informacije,...

Ars Technica - Čeprav se je razvoj TrueCrypta končal na sila čuden način, je program še daleč od mrtvega kosa kode. Medtem ko se je razvijalska ekipa iz neznanih razlogov odločila opustiti svoje delo, projekt temeljitega varnostnega pregleda kode (security audit) še vedno teče.

Projekt Open Crypto Audit, ki je že lani začel pregledovati njegovo kodo, se nadaljuje. Za financiranje tega početja so nameravali zbrati 25.000 dolarjev, pa so do danes nabrali že več kot 70.000 dolarjev, kar je več kot dovolj za pregled kode. Kenn White, ki vodi organizacijo pregleda, je povedal, da se pregled nadaljuje ne glede na razvoj dogodkov.

Spomnimo, da je prva faza pregleda že končana. Pri analizi kode so namreč ugotovili, da razen nekaj površnosti resnih napak,...

threatpost - Živimo v časih, ko sta prisluškovanje in prestrezanje informacija postali nekaj vsakdanjega, varnostne ranljivosti v programski opremi pa se kar množijo. Zaupati je postalo sila nevarno, zato že dlje časa poteka pregled kode popularnega programa za šifriranje TrueCrypt. Prva faza pregleda ni odkrila resnejših varnostnih lukenj ali stranskih vrat, a kar precej manjših nedoslednosti in ranljivosti.

Kot so pokazali nedavni primeri v GnuTLS in OpenSSL odprta koda ne pomeni nič varnejše programske opreme, če kode nihče temeljito ne pregleda. Pretekli mesec smo pisali o dokazu, da objavljena koda programa TrueCrypt ustreza prevedeni različici, a je bilo...

Slo-Tech - Joanna Rutkowska je pred nekaj dnevi na svojem blogu objavila opis novega napada na šifrirni program TrueCrypt, poimenovan Evil Maid napad (napad zlobne sobarice). Na možnost takega napada sicer opozarjajo že avtorji programa TrueCrypt, a Joanna nam je tokrat postregla s konkretno možnostjo izvedbe napada.

Stvar gre takole. Uporabnik v hotelski sobi pusti ugasnjen prenosni računalnik, na katerem so s TrueCryptom...