Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po...

Slo-Tech - Od septembra 2014 do januarja 2015 je Lenovo na svoje računalnike nameščal program VisualDiscovery podjetja Superfish, ki je uporabnikom med brskanjem po spletu prikazoval reklame. Kadar so uporabniki z miško lebdeli nad podobnim izdelkom, kot ga prodajajo partnerji oglaševalca, se jim je odprlo pojavno okence z reklamo. Da pa je VisualDiscovery na enak način lahko manipuliral tudi strani, obiskane prek šifrirane povezave HTTPS, je VisualDiscovery na računalnik namestil lasten korenski certifikat (root). Potem je brskalnik zamenjal legitimne certifikate spletnih strani s tem lastnim, da je lahko stregel reklame. Lenovo je tako dvojno pokvaril HTTPS - program ni preverjal,...

Slo-Tech - Kot kaže, ima tudi Dell podoben problem z nezaželeno programsko opremo na svojih prenosnikih, kot je bil fiasko s Superfishem, ki si ga je privoščil Lenovo. Ameriški programer Joe Nord je na svojem novem prenosniku Dell Inspiron 5000, ki ga je kupil oktobra letos, odkril vrhovni certifikat eDellRoot (root certificate), ki je označen kot zaupanja vreden overitelj (CA). Poteče šele konec leta 2039 in je označen kot certifikat, ki se lahko uporablja za vse namene, torej podpisovanje vsega; in to ni običajno. Najbolj zaskrbljujoče pa je, da je na računalniku nameščen tudi zasebni ključ, ki ustreza temu certifikatu. Sicer ga uradno ni mogoče izvoziti (označen je kot non-exportable), a to seveda ne pomeni, da do njega ni moč priti.

Uporabniki na redditu ugotavljajo, da imajo tudi...

Ars Technica - Lenovo se kar ne more otresti škandalov, v katere se zapleta zaradi sumljive in nepotrebne programske opreme, ki jo vključuje na svoje računalnike. Po aferi Superfish so najprej na forumih in kasneje tudi uradno odkrili nadležno programsko opremo na vseh računalnikih Lenovo, ki so izdelani med oktobrom 2014 in letošnjim aprilom.

Gre za LSE (Lenovo Service Engine) BIOS, ki ob vsakem zagonu računalnika poskrbi, da je programska oprema Lenovo naložena, četudi smo jo predhodno poizkušali (ali celo uspeli) odstraniti. Windows 8 in Windows 10 imata tako ali tako vgrajeno funkcionalnost, ki sestavljavcem računalnikov omogoča zapeči določene datoteke v firmware, potem pa jih računalnik pokliče pri vsakem zagonu prek wpbbin.exe. Na ta način je poskrbljeno, da jih uporabnik...

Slo-Tech - Hitro se je začela odvijati zgodba, ko so na računalnikih Lenovo odkrili Superfish. Medtem ko proizvajalec programa trdi, da ni nič narobe, je Lenovo že ponudil navodila za odstranitev, na internetu pa so ugotovili, da so sporni certifikati prisotni tudi v drugi programski opremi in da je ranljivost še bistveno resnejša.

Izvršni direktor podjetja, ki je razvilo program Superfish, Adi Pinhas, je v izjavi za javnost dejal, da program za uporabnike ne predstavlja nikakršnega tveganja. Poudaril je, da Superfish ne shranjuje nobenih informacij o uporabnikih in da so skupaj z Lenovom pred začetkom prodaje izvedli obširno testiranje, ki pa ni odkrilo omenjene varnostne...

Slo-Tech - Lenovo je med oktobrom in decembrom lani na računalnike, ki so jih prodajali, namestil programsko opremo za prikazovanje boljših, personaliziranih oglasov. Pri tem pa so zagrešili hudo varnostno malomarnost, ki lahko sedaj po odkritju uporabnike prevara, saj napadalcem omogoča izvedbo napadov MITM.

Gre za program Superfish, ki ga je Lenovo nameščal na računalnike. Ta pri brskanju po spletu "ugrabi" sejo, uporabnika preusmeri na svoje strežnike, da lahko v stran vstavi ciljane oglase, in šele nato prikaže stran. Da bi postopek deloval tudi pri uporabi varnih strani (HTTPS), ki še zdaleč niso omejene več le na e-bančništvo, saj jih imajo na primer tudi Google, Facebook in naša stran, je Lenovo na računalnike namestil...

Neowin - Prejšnji teden je Microsoft dokončal novo verzijo Windows 7 in jo poslal v stadij RTM (release to manufacturing). To pomeni, da bomo oktobra, ko bo nova verzija uradno izšla in bo dostopa širokim množicam, dobili prav to isto kodo. Kot je navada že od Windows XP, ima tudi Sedmica zaščito pred nepooblaščenim kopiranjem in uporabljanjem v obliki obvezne aktivacije, ki pa bo Microsoftu povzročila kar nekaj sivih las.

Kot poroča Neowin, naj bi kitajski hekerji dobili ISO-sliko DVD-ja z verzijo Ultimate, ki je bil namenjen podjetju Lenovo, in uspešno razbili aktivacijo. Na več kitajskih forumih se hvalijo, kako je postopek uspel. S pobeglega DVD-ja so dobili aktivacijski certifikat, ki ga je Microsoft...