Slo-Tech - Raziskovalci s Tehniške univerze v Berlinu so pokazali, da je v AMD-jevi implementaciji fTPM (firmware Trusted Platform Module) ranljivost, ki omogoča uspešen napad v vsega nekaj urah. Če imamo lokalni dostop do računalnika, torej ga imamo fizično pod nadzorom, lahko v treh urah zlomimo fTPM in s tem dostopamo do podatkov, ki so šifrirani izključno z uporabo funkcij v fTPM - tak primer je na primer BitLocker, če ne vključimo dodatnega PIN-a.

Za napad je zadostovala oprema, ki stane približno 200 evrov. Ranljivosti so AMD-jevih procesorjih Zen 2 in Zen 3, in sicer v Platform Security Processor (PSP). Za zdaj ni jasno, ali je novi Zen 4 tudi ranljiv, saj tega v članku niso omenjali. Starejši procesorji uporabljajo drugačno implementacijo fTPM. Kako je napad možno izvesti, si lahko pogledamo z analizo delujoče kode, ki so jo raziskovalci objavili na Githubu.

AMD je v odzivu dejal, da so z ranljivostjo seznanjeni. Prvikrat je bila predstavljena že predlani na konferenci ACM CCS, ko...

RTV Slovenija - Elektronsko osebno izkaznico bi bili morali dobiti že 3. januarja letos, a so se začele izdajati šele 28. marca. Kljub obljubam pa še vedno niso uporabne na vse načine, kot so obljubljali pristojni. Kot poroča RTV Slovenija, so njeni imetniki te dni s klasično pošto dobili gesla, ki omogočajo aktivacijo izkaznice in nastavitev številke PIN. A to brez pametnih kartic čitalnika ni možno. Poslali so približno 300.000 gesel, kolikor ljudi je doslej naročilo novo osebno izkaznico.

Izkaznica se lahko uporablja tudi za prijavo v elektronske storitve, za katere potrebujemo digitalno identiteto (npr. eDavki). Za to potrebujemo elektronsko osebno izkaznico, kodo številko PIN in čitalnik kartic ali aplikacijo na pametnem telefonu, kateri podpira NFC. A aplikacije še vedno ni, na SI-TRUST pa je napovedana za jesen ali zimo 2022. To pomeni, da lahko izkaznico uporablja le, kdor ima čitalnik pametnih kartic, kar ni zelo pogosto, predvsem pa predstavlja dodaten strošek (od 30 evrov naprej)....

Slo-Tech - Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo...

Slo-Tech - Danes so številni uporabniki interneta v Sloveniji opazili, da je dostop do interneta moten. Nekatere spletne strani delujejo počasneje, druge se nalagajo v neskončnost ali sploh ne odpirajo. Med prizadetimi so bile tako tuje strani, denimo twitter.com, kakor tudi nekatere domače, zlasti kadar bi promet sicer tekel skozi tujino, če uporabljajo kakšno tujo storitev (Cloudflare). Stran 24ur.com je bil nekaj časa nedostopna.

Razlog ni bila nevihta, temveč težave na mednarodnih povezavah. Prizadeta ni bila samo Slovenija, temveč precejšen del Evrope in Amerike. Kot kaže, je imel težave ponudnik povezav CenturyLink, ki napake že odpravlja. Trenutno je huje prizadet večji del ZDA, v Evropi pa se situacija umirja.

Povezava Level3/CenturyLink je poskrbela za večje količine prometa IPv4, ki ni našel naslovnika, ugotavlja Giorgio Bonfiglio. CenturyLink oglašuje povezljivost, nato pa paketov ne dostavi do ciljnih omrežij. Povezave bodo ohromljene, dokler se težava ne odpravi oziroma dokler...

Microsoft - Virusi so v zadnjih letih postali bolj dodelani in se skrivajo že v firmware, od koder jih je izjemno težko odstraniti, saj vztrajajo celo po ponovni namestitvi sistema ali menjavi diska. Hkrati je firmware izjemno močan vektor, ker ima običajno zelo široke privilegije, še več kakor jedro operacijskega sistema. Da bi zajezil širjenje tovrstnih virusov, je Microsoft z nekaj proizvajalci predstavil koncept računalnika z zaščitenim jedrom (secured-core PC). To je na nek način nujno, saj medtem ko ima Apple že dlje časa polni nadzor nad strojno in programsko opremo, Windows teče na najrazličnejših komponentah.

Novi vezni nabori iz Intela, AMD-ja in Qualcomma bodo podpirali novo tehnologijo. Računalnike s podporo zanjo bodo sestavljali Dell, Dynabook, HP, Lenovo, Panasonic in Microsoft Surface. Nekaj modelov je že napovedanih, denimo HP Elite Dragonfly. Tehnologija je naslednji korak od Windows Secure Boot, ki že obstaja. Ta ob zagonu preveri kriptografske podpise programske opreme in...

Slo-Tech - Google je pred časom razkril, kako imajo v podjetju poskrbljeno za obrambo zaposlenih pred phishing napadi na njihove uporabniške račune. Zdaj je Titan Security Key prišel tudi v prosto prodajo, te dni ga je moč za 50 dolarjev naročiti v ZDA, kmalu pa naj bi bil na voljo globalno.

Gre za ključek, izdelan po odprtih FIDO standardih, sestavljen je iz dveh fizičnih delov - USB enote in Bluetooth enote, ki skupaj omogočata dvostopenjsko avtentikacijo. Taka metoda U2F (Universal 2nd Factor) velja za precej bolj zanesljivo, kot pa denimo tista s potrditvenim SMSom, ki ga je moč prestreči. Ima pa seveda tudi to slabo lastnost, da gre za fizično napravo, ki jo imetnik lahko izgubi.

Oba dela ključka se med sabo namesto s statično kodo, seznanjata s pomočjo...

Slo-Tech - Leta 1998 je Daniel Bleichenbacher v šifrirnem protokolu SSL (predhodniku TLS) odkril ranljivost, ki je omogočala prebiranje z RSA šifriranih sporočil celo brez zasebnega ključa. Iz sporočil o napakah, ki so jih vračali...

Slo-Tech - Infineonovi čipi TPM, ki jih uporabljajo številne matične plošče za tvorjenje in preverjanje šifrirnih ključev po algoritmu RSA, so ranljivi, sporočajo raziskovalci z Masarykove univerze na Češkem. Čipe nemškega proizvajalca Infineon najdemo v izdelkih najrazličnejših proizvajalcev od Asusa, Fujitsuja, HP-ja, Lenova, Samsung do Googlovih Chrombookov. Uporabljajo se za elektronsko dokazovanje istovetnosti in v pravnem prometu. Ranljivost so odkrili februarja in jo Infineonu sporočili, sedaj pa je potekel dogovorjen embargo, zato bo 2. novembra tudi javno razkrita javnosti na konferenci ACM CCS 2017 v Dallasu. Infineon je obvestilo izdal minuli teden, prav tako je že pripravil...

Washington Post - Raziskovalci pri INRIA, Microsoft Research in IMDEA so odkrili resno ranljivost v implementaciji TLS/SSL, ki prizadene odjemalce, ki uporabljajo OpenSSL (npr. naprave z Androidom) in Applove odjemalce (naprave z iOS in Mac OS X), piše Washington Post. Ranljivi so tudi...

Slo-Tech - Lanski hit med virusi je bil CryptoLocker, ki je ob okužbi zašifriral podatkovne datoteke in zahteval plačilo določene količine bitcoinov v zameno za ključ, ki bi odšifriral datoteke. CryptoLocker je uporabljal 2048-bitni ključ in vse do danes ga raziskovalcem ni uspelo zlomiti. Nekateri so zato dejansko plačali zahtevano odkupnino in nekateri med njimi so datoteke dobili nazaj, drugi pa bojda ne. ZDNet je raziskal dobičkonosnost tega...

Reuters - Koliko stane integriteta? Odvisno, koga vprašate. Slovenski zdravniki jo po zadnjih preiskavah glede podkupovanja očitno prodajo za nekaj tisočakov. Pri avtocestah se je merila v stotinah milijonov dolarjev. Kaj pa v ZDA? Podjetje RSA (sedaj podružnica EMC) je svojo verodostojnost in integriteto očitno prodalo za 10 milijonov dolarjev. Toliko denarja so prejeli od NSA, da so namenoma ošibili svoje algoritme.

Novi Snowdnovi dokumenti, ki jih je pridobil Reuters, kažejo, da je NSA sklenila 10 milijonov dolarjev vredno pogodbo z RSA, ki sodi med velikane računalniške varnosti, da je ta v svoje algoritme za tvorjenje naključnih števil vgradila ranljivosti, ki omogočajo lažje razbijanje. Da NSA kaj podobnega počne, ni presenečenje, saj smo že septembra pisali, da je NSA uspela izsiliti vgraditev ranljivosti v algoritem Dual EC-DRBG, s čimer je velik del verodostojnosti izgubil NIST...

Ars Technica - Kim Dotcom je natanko leto dni po svoji aretaciji in dolgem pravnem procesu, ki se sploh še ni zares začel, predstavil novo spletno stran za shranjevanje podatkov v oblaku. Imenuje se Mega in domuje na novozelandskih strežnikih. Spletna stran je po večmesečnem testiranju uradno zaživela danes zjutraj.

Podrobno so si jo ogledali na ArsTechnici. V brezplačni različici ponuja vsakemu uporabniku 50 GB prostora, kamor lahko shrani svoje datoteke. Da bi se zaščitili pred pregonom, si mora uporabnik takoj po registraciji ustvariti 2048-biten RSA-ključ, s katerim se ob nalaganju že pred prenosom podatkov po spletu v oblak ti šifrirajo. Tako Mega ne vidi in niti ne more videti, kaj imajo uporabniki shranjeno. Hkrati dobijo vsi uporabniki na začetku veliko opozorilo o kaznivosti...

Microsoft - Včeraj je bil drugi torek v mesecu in tradicionalno je to dan, ko Microsoft izda mesečni paket popravkov za svoje operacijske sisteme. Na internetu so se pojavili zvečer po slovenskem času, tako da so nas danes zjutraj računalniki prijazno obvestili, da so na voljo nove posodobitve oziroma da se morajo ponovno zagnati, če imate nastavljeno avtomatično nameščanje. Devet obližev je zakrpalo šestindvajset lukenj, s čimer se avgust uvršča med plodnejše mesece. Mnogo ranljivosti ima oznako kritično, zato je namestitev priporočljiva čim prej.

Najpomembnejši so popravki MS12-052 za Internet Explorer 6 in novejše, ki odstrani možnost izvajanja poljubne kode z obiskom zlonamerne strani, MS12-053 za Windows XP, ki zakrpa ranljivost v protokolu...