»

Razširitve v Chromu - leglo zlobne kode

vir: Pixabay

vir: Awake Security
Awake Security - Raziskovalci varnostnega podjetja Awake Security so razkrili, kako je skupina 111 razširitev, ki si jih je s Chromove spletne tržnice doslej preneslo že 33 milijonov uporabnikov, pridno zbirala občutljive osebne podatke in jih pošiljala na določene spletne strani. Šlo je za posnetke zaslonov, vsebino odložišč, piškotke za vpisovanje v spletne strani in celo zaporedja tipk pri vpisovanju gesel v določena poslovna orodja. Večina omenjenih razširitev je delovala tako, da je po namestitvi lahko sama nameščala svoje lastne popravke prek izvršljivih datotek. Google je razširitve po opozorilu Awake Security že odstranil.

Razširitve so se pri svojem delovanju povezovale s približno 15.000 spletnimi domenami, ki so bile vse registrirane pri izraelskem podjetju GalComm. Vodstvo slednjega zanika vsako vpletenost, a strokovnjaki Awake Security trdijo, da so v družbi zagotovo morali vedeti, kaj se dogaja. Predstavniki ICANN (Internet Corp for Assigned Names and Numbers), ki so GalComm...

23 komentarjev

Web of Trust slabo anonimizirane podatke prodajal naprej

PC World - Web of Trust je priljubljena razširitev za brskalnike, ki uporabnikom z animiranim semaforjem prikazuje verodostojnost strani, s čimer jih varuje pred prevarami, zlonamerno kodo in drugo internetno nesnago. Svoje delovanje financirajo s prodajo podatkov o internetnih navadah, ki pa jih seveda poprej anonimizirajo. Toda izkazalo se je, da je anonimizacija pomanjkljiva, zato je še vedno mogoče identificirati posamezne uporabnike.

To so odkrili preiskovalni novinarji nemške hiše NDR. S podrobno analizo jim je uspelo identificirati več kot 50 ljudi, katerih podatke je Web of Trust domnevno anonimiziral in prodal naprej. Uporabnike je bilo mogoče identificirati iz elektronskih naslovov, prijavnih podatkov...

4 komentarji

Slabi časi za zasebnost v Androidu

Slo-Tech - ARM TrustZone je desetletje stara tehnologija, ki omogoča poganjanje aplikacij v tim. varnem okolju. Ko ARM procesor teče v tim. "varnem načinu", ima programska oprema, ki teče na procesorju dostop do dodatnih funkcij in naprav, ki jih zunaj tega varnega okolja ne vidi. Tako ima programska oprema s preklopom v TrustZone dostop do kriptografskih funkcij in kriptografskih poverilnic, do katerih aplikacije, ki tečejo izven TrustZone nimajo dostopa. Qualcommova implementacija ARM TrustZone (Qualcomm je eden največjih proizvajalcev procesorjev za mobilne telefone) omogoča običajnim aplikacijam, da v tim. varno okolje, ki ga imenujejo Qualcomm Secure Execution Environment naloži tim. zaupanja vredne aplikacije (imenujejo se trustlets).

Omenjena tehnologija se uporablja tudi pri šifriranju notranjega pomnilnika mobilnega telefona. V ta namen Android uporablja tim. KeyMaster - gre za modul, ki teče v varnem okolju (tim. Trusted Execution Environment) in je popolnoma ločen od Androida...

72 komentarjev

NSA ste sumljivi, že če berete o Toru

Tagesschau - Nemški časnik Tagesschau in NDR sta uspela pridobiti delce izvorne kode programa XKeyscore, ki ga ameriška agencija NSA uporablja za prestrezanje komunikacije po internetu. Medtem ko smo doslej črpali zgolj iz opisnih virov, je to prvi primer, ko je znana tudi izvorna koda. Ta kaže, da so za NSA sumljivi in s tem upravičene tarče prisluškovanja vsi, ki že zgolj berejo o anonimizacijskem omrežju Tor ali pa Linux Journal.

Kdo je priskrbel dokumente in izvorno kodo, ni znano, je pa verjetno, da to ni bil Edward Snowden. Koda kaže, da NSA ne prestreza le prometnih podatkov, kot so trdili, ampak izvajajo analizo vsebine komunikacij.

Eno izmed pravil v XKeyscoru v elektronskih sporočilih analizira pošiljateljev in prejemnikov naslov, če sta...

37 komentarjev

Googlove težave s Street Viewom v Švici

vir: Heise
Heise - Švicarsko zvezno sodišče v Bernu je pretekli mesec v tožbi zoper Google pritrdilo švicarskemu informacijskemu pooblaščencu, ki je zahteval strogo anonimizacijo posnetkov pred objavo na spletu. Tako mora Google pred objavo posnetkov zakriti obraze oseb, registrske tablice vozil in pred občutljivimi zgradbami, kot so zapori, bolnišnice, varne hiše, tudi oblačila in polt oseb. Google je pojasnil, da zmorejo največ 98- do 99-odstotno anonimizacijo, zato so vložili pritožbo. Če jim spodleti, grozijo z izklopom storitve Street View v Švici.

Googlov švicarski direktor Patrick Warnking pojasnjuje, da 100-odstotna anonimizacija iz tehničnih razlogov ni mogoča. Zato naredijo najbolj, kar morejo,...

63 komentarjev

Večino ljudi je možno identificirati iz anonimiziranih podatkov

Ars Technica - Anonimiziranje podatkov, ki ga zelo rada izvajajo podjetja v želji kasnejšega izvajanja tako komercialnih kot tudi akademskih raziskav, se izkazuje za vse manj zanesljivo in za vpletene osebe (katerih podatki so seveda dani prostovoljo) vse manj zasebno.

Že v sredini devetdesetih let je Latanyi Sweeney tako uspelo, da je po izdaji anonimiziranih zdravniških kartonov državnih uslužbencev, ki so vključevali vsak bolnišnični obisk le-teh, samo s pomočjo poštne številke, spola in datuma rojstva ugotoviti celotno zdravstveno zgodovino guvernerja zvezne države Massachusetts.

Ne samo to, uspelo ji je tudi dokazati, da je možno z poznavanjem poštne številke, dneva rojstva in spolom identificirati 87 odstotkov američanov, s krajem, dnevom rojstva in spolom približno polovico, z okrožjem, dnevom rojstva in spolom pa približno 18 odstotkov američanov.

Da anonimizacija v resnici ni anonimizacija, ko podatke združite z drugimi podatkovnimi bazami, se na žalost vse pogosteje izkazuje tudi v...

19 komentarjev

Načrti za razvoj anonimizacijskega omrežja Tor v prihodnjih treh letih

Slo-Tech - Eden glavnih razvijalcev anonimizacijskega omrežja Tor, Roger Dingledine, je te dni spisal dokument z naslovom Tor Development Roadmap, 2008-2011, v katerem razkriva podrobne načrte za razvoj anonimizacijskega omrežja v prhodnjih treh letih. Ob tem je potrebno dodati, da imajo razvijalci Tora že zbranih precej sponzorskih sredstev, ki jim bodo omogočila uresničitev zadanega, seveda pa so še vedno odprti za nova sponzorska sredstva.

V dokumentu najprej izpostavljajo izboljšanje izbire poti preko katere se uporabnik preko Tor omrežja povezuje v internet ter izboljšanje porazdelitve bremen med anonimizacijskimi točkami. V okviru tega dela razvoja nameravajo razviti tudi avtomatizirano infrastrukturo za merjenje pretoka in latence omrežja. Za odkrivanje okvarjenih in zlonamernih izhodnih točk pa so že razbili poseben skener SoaT, ki ga bodo še iboljšali in z njim omrežje redno analizirali.

Nasledja velika novost je načrt za povezavo z UDP protokolom. Kot je znano Tor trenutno...

12 komentarjev