»

AJPES pozabil podaljšati certifikat

Slo-Tech - Če ste se danes napotili na spletne strani AJPES-a (Agencije Republike Slovenije za javnopravne evidence in storitve), ste obtičali pred opozorilom, da vas skuša nekdo pretentati. Chrome vas opozori, da morda napadalci skušajo ukrasti vaše podatke, Firefox pa, da gre za nevarno stran, ki se ji raje izognimo. V resnici je AJPES-u včeraj zvečer potekel certifikat SSL, ki je bil izdan 25. aprila lani. In AJPES ga ni pravočasno podaljšal.

Tovrstni spodrsljaji so se v preteklosti že dogajali, tudi večjim. Microsoft je na primer leta 2020 pozabil podaljšati certifikat za Teams, ki je bil potem nekaj ur nedosegljiv. V daljni prazgodovini, leta 2008, je to uspelo tudi Googlu. Leta 2015 je za nekaj ur padel Instagram. Tej druščini uglednih strani, ki so pozabile podaljšati certifikat, se je sedaj pridružil še AJPES.

41 komentarjev

Planet Labs kupil slovenski Sinergise

Slo-Tech - Ameriška družba Planet Labs je napovedala prevzem slovenskega podjetja Sinergise, ki razvija geografske informacijske sisteme. Planet Labs poznamo zlasti kot ponudnika dnevnih satelitskih posnetkov in geografskih rešitev, za kar Singergise razvija informacijske sisteme. Cene prevzema podjetji nista razkrili, znano pa je, da bo kupčija zaključena v drugem četrtletju fiskalnega leta (začelo se je februarja).

Izvršni direktor in ustanovitelj Planet Labs Will Marshall je ob tem dejal, da je tehnologija podjetja Sinergise izvrstna. S prevzemom želijo okrepiti svoje izdelke na področjih, kjer se uporabljajo podatke iz opazovanja Zemlje (Earth Observation), kamor sodijo kmetijstvo, javna uprava in zavarovalnice. Sinergise je s Planet Labs že vrsto let sodeloval, sedaj pa bodo skupaj gradili zmogljivo platformo za delo s podatki EO, je dejal ustanovitelj Grega Milčinski. V preteklosti je Sinergise izvajal projekte tudi za turško kmetijsko ministrstvo, Evropsko vesoljsko agencijo in...

18 komentarjev

Zaradi šlamparije javno objavljenih 250 milijonov zapisov o Microsoftovih strankah

vir: Pxhere

Comparitech - Pri Microsoftu so za javnost povzeli izsledke interne preiskave, ki je stekla potem, ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki, ki jih v podjetju uporabljajo za analizo podpore uporabnikom. Kljub temu so zamolčali za kolikšen obseg in vrsto objavljenih osebnih podatkov je šlo. Tu je z lastno objavo vskočilo podjetje Comparitech, ki je sicer razgaljene podatke odkrilo 29. decembra na strežnikih podjetja Elastics in o tem obvestilo Microsoft, kjer so podatke nemudoma zavarovali, kar je vseeno trajalo še dva dneva.

Objavljene so bile zabeležke pogovorov med njihovimi uslužbenci in strankami iz celega sveta za obdobje štirinajstih let, torej od leta 2005, osebni podatki pa so bili pri tem večinoma anonimizirani. A ne vsi. Tako je bilo objavljenih kar nekaj email naslovov strank in Microsoftovih uslužbencev, pa njihove IP številke, lokacije, opisi postopkov in interne zabeležke, označene kot zaupne. Skupaj je šlo 250 milijonov primerov, s...

24 komentarjev

Švicarski sistem e-volitev luknjičav kot švicarski sir

Slo-Tech - Pred mesecem dni so Švicarji zagnali javni preizkus varnosti sistema za izvedbo e-volitev. Sistem, ki ga je postavila Švicarska pošta v sodelovanju s španskim tehnološkim partnerjem Scytl, je bil razgaljen vključno z izvorno kodo, hekerji pa so za odkritje in izrabo ranljivosti tudi nagrajeni. Čeprav preizkusno obdobje sploh še ni končano, je že jasno, da je imel sistem hudo ranljivost.

Več raziskovalnih skupin je, neodvisno druga od druge, odkrilo resno ranljivost v sistemu. Tako imenovana univerzalna preverljivost, ki je za e-volitve ključna in omogoča enoznačno ponovno štetje glasov, kakor je to mogoče tudi s papirnimi glasovnicami, je vsebovala to ranljivost. Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi...

34 komentarjev

Facebook bo objavljal lokacijo upravljavcev velikih strani

vir: The Verge
The Verge - Upravljavci Facebook strani, za zdaj samo takih z množičnim občinstvom, bodo morali po novem nekoliko bolj razkriti svojo identiteto. V naslednjih dneh jih bo na njihovi strani pričakalo opozorilo, da morajo skozi poseben avtorizacijski proces, v katerem bodo morali vključiti dvostopenjsko preverjanje identitete in potrditi v kateri državi se stalno nahajajo. V nasprotnem primeru bodo izgubili pravice do urejanja. Lokacijo bodo za zdaj preverjali le s pomočjo lokacije naprave, bo pa ta javno objavljena ob spisku oseb, ki stran upravljajo.

Ukrep bo sprva vpeljan samo za strani z veliko ameriškimi sledilci, pozneje pa naj bi ga razširili na celotno omrežje. Novinarji The Verga so predstavnikom Facebooka že zastavili...

16 komentarjev

Hekerji vdirajo prek podnapisov na spletnih platformah za pretočne video vsebine

TrustedReviews - Ste morda med stotinami milijonov ljudi po vsem svetu, ki si ogleduje piratske video vsebine prek spletnih platform, kot so Popcorn-Time, VLC, Kodi in stream.io? Kot razkriva podjetje za kibernetsko varnost Check Point, so podnapisi na omenjenih platformah postali priljubljeno sredstvo za vdiranje v informacijske sisteme s strani hekerjev. Ti podnapise obogatijo s škodljivim programovjem, ki ga spletne platforme avtomatično – skupaj z video vsebino – pretočijo na vaš računalnik ali pametno napravo. Po ugotovitvah Check Pointa je trenutno po svetu okuženih vsaj 200 milijonov osebnih računalnikov in drugih naprav, hekerji pa lahko kadarkoli prevzamejo popoln nadzor nad okuženo napravo.

Koliko časa so na omenjenih platformah za pretočne video vsebine okuženi...

34 komentarjev

Odgovorno razkritje ali neodgovorno nerazkritje

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo...

139 komentarjev

Ajpes končno priznal: Ne vemo, kaj delamo

Slo-Tech - Oddajanje letnih poročil Ajpesu je očitno pomembnejše kot varovanje podatkov podjetij in državljanov in državljank Slovenije. Da potencialne poslovne škode zasebnim podjetjem in možnosti kraje identitete državljanov sploh ne omenjamo. Vsaj tako razumemo odgovore vodje Ajpesove službe za informacijsko tehnologijo Marjana Babiča, ki jih je dal v intervjuju za RTV MMC.

»Pri analiziranju smo proučevali tudi nekatere bolj radikalne ukrepe, vendar smo ocenili, da jih trenutno brez občutnega vpliva na delovanje storitev Ajpesa ni smotrno izvesti. Posledice za uporabnike bi bile nesorazmerno velike, saj mora okrog 170.000 zavezancev v tem obdobju izpolnjevati zakonske obveznosti oddaje letnih poročil«

Tako Babič pojasnjuje novinarju, zakaj Ajpes ni storil ničesar, da...

84 komentarjev

AJPES-ova alternativna dejstva

Slo-Tech - Potem ko smo na Slo-Techu v ponedeljek objavili obvestilo anonimnega prijavitelja v zvezi s popolnim neupoštevanjem kakršnihkoli varnostnih standardov na AJPESovi spletni strani, je danes predstavnik AJPESa za STA podal odziv. Sporočili so, da so na spletni strani vključili protokol HTTPS, ter da zato štejejo, da so vse izpostavljene težave s tem odpravljene.

Težko je reči, ali nas je tak odziv razočaral ali presenetil. A očitno je, da Agencija ni kos svojim nalogam in da to skriva tako, da probleme pometa pod preprogo, nadejajoč se, da v tej državi res ni nikogar, ki bi jo znal za to kaznovati.

Poglejmo si njihov odziv nekoliko podrobneje.

V Ajpesu so danes za STA pojasnili, da po zagotovilih avtorjev omenjene podpisne komponente v primeru uporabe...

76 komentarjev

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti

Slo-Tech - V nedeljo popoldan se je na nas (in na SI-CERT) preko omrežja Tor obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja AJPES. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo AJPES-u. Ker je bilo obvestil v zvezi s to spletno stranjo iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor, smo se odločili prejeto obvestilo objaviti nemudoma.

Varnostni raziskovalec je ugotovil, da zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (tim. MITM napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila...

201 komentar

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre

Slo-Tech - Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.

Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo. Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa epskih razsežnosti.

In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže,...

369 komentarjev