Slo-Tech - Ker zaradi zahodnih sankcij ruske spletne strani ne morejo dobiti novih certifikatov oziroma obnavljati starih po izteku - nekateri izdajatelji so jim celo preklicali še veljavne certifikate -, je Rusija ustanovila centralnega overitelja (CA), ki bo stranem izdajal lastne certifikate. Ministrstvo za digitalni razvoj ponuja brezplačno domačo alternativo za potekle certifikate, ki jo lahko lastniki ruskih domen po zaprosilu dobijo v petih dneh, so zapisali na uradnem portalu.

To je sicer res, vendar pa to še vedno ni rešitev, dokler ti certifikati niso v verigi zaupanja, zato bodo brskalniki še vedno prikazovali opozorila. Rusija zato svoje državljane poziva, naj v brskalnike ročno dodajo novega overitelja, ali pa naj presedlajo na lokalna brskalnika Yandex ali Atom, ki jih podpirata že tovarniško. Ni pričakovati, da bi Chrome, Firefox in Edge te certifikate kaj kmalu dodali med zaupanja vredne. Nekatere spletne strani so nove certifikate že začele uporabljati, denimo Sberbank, VTB...

Slo-Tech - Prejšnji mesec smo opazili proaktivno transparentnost Zdravstvenega inšpektorata (ZIRS), ki je na oglasni deski eUprave objavljal svoje korona prekrškovne odločbe z vsemi pripadajočimi podatki o kršiteljih (imena, naslovi, EMŠO, rojstni datumi, opisi prekrška in tako dalje). Šlo je za zanimiv vpogled v nadzorno prakso glede korona odlokov. Inšpektorji Informacijskega pooblaščenca so kmalu zatem poskrbeli za njihovo hitro odstranitev. Na seznam za zdravje tveganih vedenj in ravnanj smo tako poleg uživanja rogljićkov v parku lahko dodali še kajenje na klopeh mariborske avtobusne postaje in polnjenje telefona.

Pisarna informacijske pooblaščenke je štajerske zdravstvene inšpektorje obtožila šlamparije. Objavljene so bile namreč tiste prekrškovne odločbe, ki jih inšpektorat iz takšnega ali drugačnega ni uspel vročiti kršiteljem, npr. zato, ker so se ti preselili, pa niso državi sporočili svojega novega naslova. Zakon namreč v teh primerih zahteva, da se izvede še tako imanovano...

ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.

Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni,...

Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po...

ZDNet - V začetku tedna je odjeknila novica, da naj bi hekerji vdrli v podatkovno bazo bolgarske finančne uprave in ukradli osebne podatke petih od sedmih milijonov bolgarskih državljanov. Kmalu zatem so prijeli varnostnega strokovnjaka iz Plovdiva, a se je izkazalo, da je očitno kriv drugega, nepovezanega vdora, zato je bil že izpuščen na prostost.

Upravljalci informacijskega sistema bolgarske finančne uprave so se v torek znašli v precejšnji zadregi, ko je več lokalnih medijev prejelo elektronsko pošto z dobrih deset gigabajtov veliko priponko, v kateri so bili mnogi osebni podatki množice Bolgarov, ki naj bi ušli s strežnikov finančne uprave. Med njimi naslovi prebivališč, številke osebnih dokumentov in denarni prejemki. Neznani heker se je v sporočilu pohvalil, da ima vsega skupaj 21 GB podatkov skupno petih milijonov...

Slo-Tech - Upravljavec podatkov mora z vsakim od pogodbenih obdelovalcev podatkov skleniti pogodbo o obdelavi, kjer točno določi pogoje, načine, namene in vse kar sodi zraven. To je ena izmed novosti, ki jih je vpeljal GDPR. Vendar, kot kaže primer iz prakse, ni vedno tako.

Teorija: Upravljavec in obdelovalec

Za lažje razumevanje začnimo z malo teorije: glede na GDPR je "upravljavec" oseba, ki ima nadzor nad podatki. Torej določa kateri podatki se zbirajo, kako se obdelujejo in kako se uporabljajo. "Obdelovalec" jih obdeluje – za upravljavca. Obdelovanje je po dosedanji praksi Informacijskega pooblaščenca “karkoli” nekdo naredi s podatki: hramba, pregledovanje, upravljanje zbirke, brisanje …

Takšno razumevanje je pomenilo, da so bili praktično vsi subjekti, ki so imeli karkoli s hrambo in obdelovanjem podatkov, vsaj obdelovalci. Ne samo trgovec, ki je zbiral in uporabljal podatke o uporabi kartice zvestobe, pač pa tudi družba, ki je zanj upravljala podatkovno bazo in izdelovala poročila,...

Slo-Tech - Aktualna prekinitev financiranja in s tem delovanja nenujnih delov ameriške vlade sega že v 23. dan, s čimer je postala najdaljša v zgodovini. To pot ima prvikrat vpliv tudi na internet, saj nekatere državne službe zaradi prekinitve niso obnovile certifikatov svojih spletnih strani. Doslej je poteklo že več kot 80 certifikatov TLS za domene .gov - nekatere so dostopne z opozorilom, druge pa zaradi poostrenih varnostnih ukrepov sploh niso.

Primer so na primer podstrani ministrstva za pravosodje (https://ows2.usdoj.gov/), ki jim je certifikat potekel 17. decembra, ali podstrani NASE (https://rockettest.nasa.gov/), ki imajo neveljaven certifikat od 5. januarja. Dokler se vladne službe ponovno ne zaženejo, certifikati ne bodo obnovljeni.

Večino teh...

Slo-Tech - Slovenska Finančna uprava (FURS) je te dni nekaterim ponudnikom dostopa do interneta poslala odredbo o pečatenju poslovnih prostorov kršitelja davčnih predpisov, ki je posloval preko strani na Facebooku. V praksi to pomeni, da je FURS z odredbo zahteval, da naslovljena podjetja vsem svojim uporabnikom zablokirajo dostop do spletne strani Facebook (preusmerijo DNS zapis na UNPIS spletno stran). FURS je odredbo argumentiral s sklicevanjem na 1. odstavek 37. čl. ZFU in 8. člen Pravilnika o načinu izvrševanja pooblastil uradnih oseb finančne uprave rep. sl. in označitvi službenih vozil finančne uprave rep. sl.

Odgovorne osebe pri FURS so sicer kasneje dognale, kaj so pravzaprav zahtevale in so danes preklicale odredbo. Tako viri iz telekomunikacijskih podjetij.

Blokada spletnih strani in socialnih omrežij s strani državnih uradnikov sicer ni nič novega. Rusi napadajo Telegram, Iranci so ga bolj ali manj uspešno že zaustavili, o tem, kaj delajo v Turčiji in na Kitajskem pa verjetno...

Slo-Tech - Finančna uprava RS je 31. marca zavezancem poslala prvi sveženj informativnih izračunov dohodnine za leto 2016. Na svoji spletni strani so zavezancem omogočili, da preverijo ali je bil njihov informativni izračun dohodnine že odpremljen. Preverjanje poteka tako, da zavezanci v okence vpišejo svojo davčno številko, ki se posreduje spletišču eDavki, ki nato sporoči ali je bil informativni izračun že odpremljen ali še ne.

A težava je v tem, da je spletišče FURS (fu.gov.si) dostopno samo preko nešifrirane, HTTP povezave. Ko na to povezavo vpišemo davčno številko, se - kot je razvidno iz izvorne kode spletne strani - posreduje na nešifrirano različico portala eDavki. Če je davčna številka 10000003, je HTTP klic na eDavke sledeč:...

Slo-Tech - Velik del zdravniške dokumentacije UKC Ljubljana, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov, je bil prosto dostopen na spletu.

To smo razkrili na Slo-tech pred slabima dvema tednoma. Problem je bil v nekriptiranem vmesniku za naročanje obiskov zdravstvenih ustanov na spletnih straneh UKC LJ http://napotnica.kclj.si/. Po dveh tednih čakanja pa je menda Univerzitetni klinični center v zadnjih dneh pomanjkljivost odpravil. Vsaj tako pravijo sami.


Teater Najboljši smo!

In kaj so pri največji zdravstveni ustanovi v državi storili, da podatki njihovih pacientov ne bi bili več prosto dostopni na spletu? So postavili nepremagljiv firewall ki bo branil zasebnost...

EFF - Leto 2016 lahko označimo kot prelomno leto, ko se je zavedanje o pomembnosti šifriranja internetne komunikacije, ki ga je že leta 2013 okrepil Snowden, prelilo v veliko rast šifriranega internetnega prometa. Upravljavci spletnih strani tega niso nenadoma ugotovili, temveč je k temu botrovalo součinkovanje več faktorjev.

Google strani, ki uporabljajo HTTPS, med iskalnimi zadetki uvršča više, Chrome pa se nad nešifriranimi pritoži. To ustvarja pozitivno motivacijo, da strani ponudijo HTTPS. Platforme, na katerih gostuje ogromno vsebine (Wordpress, Tumblr, Squarespace itd.) množično podpirajo HTTPS in ga privzeto uporabljajo. Uporabnikom torej ni bilo treba storiti ničesar, pa so njihove strani postale bolj varne. Stranem, ki želijo pridobiti certifikate, a...

CNET - Https je protokol za varno komunikacijo preko računalniškega omrežja, ki je za razliko od http protokola šifriran ter zaradi tega bolj varen (če je pravilno implementiran) za uporabnika pred spletnimi prevaranti. Http protokol, ki je nešifriran, ne zagotavlja kriptografsko varne potrditve identitete nasprotne stranke, medtem ko https protokol zahteva vsaj verifikacijo domene, če že ne celo potrditve identitete upravljalca domene (EV).

Zaradi spletnih prevarantov se je Chrome odločil pospešiti bitko proti nešifriranim spletnim stranem, s čimer nameravajo začeti januarja 2017, ko bo izšla nova različica spletnega brskalnika - Chrome 56. Parisa Tabriz, vodja Googlove ekipe inženirjev, ki se ukvarja z varnostjo na Chromu, je dejala da je njihov plan izpostaviti spletne strani, ki so nešifrirane in s tem morebiti nevarne obiskovalcem.

...

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

Vice - Kazahstanska vlada si želi nadzor nad internetnimi komunikacijami svojih državljanov, pri čemer se ne želijo ubadati z zapletenimi ali celo prikritimi metodami za dosego tega cilja. Kitajci imajo veliki požarni zid, a to je drago početje. Zato so se v Kazahstanu odločili, da bodo uporabnikom interneta preprosto predpisali, da jim morajo to dovoliti. Od 1. januarja bodo morali uporabniki obvezno namestiti vladni certifikat, ki bo omogočal branje nešifriranih in šifriranih komunikacij. Sporočilo so v angleščini objavili na spletnih straneh državnega telekoma, a je po nekaj dneh skrivnostno izginilo.

Spomnimo, da je Lenovo na svoje računalnike nameščal certifikat s sumljivimi nameni, Dell pa je po neumnem uporabnike...

Mozilla.org - Firefox bo sledil zgledu Microsofta v brskalniku Edge in Googlovega Chroma ter bo prenehal podpirati vtičnike (plug-in) NPAPI (Netscape Plugin Application Programming Interface), ki so bili včasih nujni za večpredstavnost in nekatere druge funkcije na spletu, danes pa te naloge opravljajo nativni API-ji. Mozilla bo podporo za NPAPI v Firefoxu ukinila do konca prihodnjega leta, s čimer bodo dokončali že dlje časa trajajoč proces upokojitve teh vtičnikov. V 64-bitnem Firefoxu jih sploh ne bo, saj ne bodo zagotavljali združljivosti za nazaj.

Edina izjema ostaja Flash, ki se zobu časa odlično zoperstavlja in še vedno teče na številnih straneh. Zaradi tega bo ostal izjema tudi v Firefoxu (tako kot je v Chromu, le da tam ni prek NPAPI) kot podprt...

Secure List - V Kaspersky Labu so razkrili nekaj več podrobnosti zadnjega napada, ki so ga neznanci izvedli z virusom Duqu 2.0. Ugotovili so, da se je virus v omrežje infiltriral podpisan z ukradenim Foxconnovim certifikatom, s čimer je pretental sistem.

Duqu 2.0 v nevolatilnem pomnilniku vzdržuje minimalno prisotnost, zaradi česar ga je teže odkriti. Na diskih praktično ni zapisan, temveč v celoti ostaja v RAM-u, kamor se po ponovnem zagonu vnovič prekopira kar z omrežja. Vseeno to ne pomeni, da bi sistem lahko očistili z enkratnim sočasnim ponovnim zagonom vseh...

Google Online Security Blog - Google je odkril lažne certifikate za svoje strežnike, ki jih je izdalo egiptovsko podjetje MCS Holdings. Ker je MCS Holdings vmesni certifikatni urad (intermediate CA), ki ga je kot zaupanja vrednega proglasil kitajski CNNIC, mu zaupajo vsi brskalniki. Firefox in Chrome sicer omenjenih certifikatov za dostop do Googlovih strani nista uporabljala, ker upoštevata public key pinning. Vseeno je početje podjetja MCS Holdingsa hud prekršek, zaradi česar so njihove certifikate proizvajalci brskalnikov takoj po odkritju uvrstili na listo neveljavnih.

CNNIC je potrdil, da so z MCS Holdings sklenili pogodbo, ki jim je dovoljevala le izdajo certifikatov za domene, ki jih imajo registrirane. Kot kaže, je MCS Holdings svoj zasebni...

BBC - Zgodba o zaupanja vrednih overiteljih digitalnih potrdil (CA), ki so to zaupanje zaradi vdorov in nezavednega izdajanja ponarejenih certifikatov izgubili, dobiva nove razsežnosti. Že več kot teden dni je na tapeti nizozemski registrar DigiNotar, ki so ga napadli neznani hekerji (najverjetneje Iranci) in ga izkoristili za izdajo lažnih certifikatov. Sprva je bil odkrit le Googlov, kasneje pa se je število povzpelo na vsaj 531. DigiNotar je seveda izgubil vso kredibilnost in mesto v seznamu...

Heise - Napad na nizozemskega overitelja digitalnih potrdil DigiNotar je obširnejši in resnejši, kot je kazalo na začetku. Sprva se je odkril le lažni certifikat za Googlove strežnike, kasneje je bilo potrjenih več deset, sedaj pa se je število odkritih lažnih certifikatov povzpelo na 532.

Nizozemska vlada je skrbnikom omrežja Tor (uporablja se za anonimni dostop do interneta) izročila seznam vseh lažnih certifikatov, ki so bili izdani in podpisani v DigiNotarjevem imenu (Excelova datoteka s...

PC World - Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.

DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj...

Slashdot - Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.

Na Mozillinih straneh so...