»

Hyundai za šifriranje uporabil kar javno objavljen primer javnega in zasebnega ključa

Slo-Tech - Novi Hyundaijevi avtomobili imajo razvedrilno-informacijski sistem (infotainment vehicle system, IVI), ki se lahko tudi posodablja. Čeprav je zaščiten s šifrirnimi ključi, ki naj bi načeloma preprečevali nepooblaščene posege in posodobitve, je Hyundai uporabil kar javno dostopne zasebne ključe, ki so v internetni literaturi o šifriranju navedeni med primeri.

Eden izmed lastnikov modela Hyundai Ioniq SEL (2021) je želel zamenjati IVI. Ugotovil je, kako se povezati z računalnikom. Sistem je nastavljen tako, da sprejema nadgradnje v obliki z geslom zaščitene datoteke ZIP. Opis in geslo je našel na spletni strani Mobis, kar mu je omogočilo izdelavo primerno zaščitene datotek ZIP, ki jo sistem prepozna in samodejno namesti. Toda odtis operacijskega sistema (firmware image) mora biti šifriran s simetričnim ključem AES CBC (Cipher-Block-Chaining). Ta sicer že dlje časa velja za nezadosten način zaščite, a to ni glavni problem. Še vedno namreč potrebujemo ključ, s katerim zašifriramo...

54 komentarjev

Kako so strežniki SKS postali piratske strani

Slo-Tech - Na strežnikih SKS naj bi se shranjevali javni ključi za šifriranje elektronske pošte PGP. Zamisel je preprosta, saj lahko vsakdo nanje naloži javni ključ za svoj zasebni ključ, ki pošiljateljem omogoča šifriranje sporočil, tako da jih bo le lastnik zasebnega ključa lahko prebral. Vnosi v SKS se avtomatično delijo po vseh sodelujočih strežnikih, ki jih gostijo različne organizacije, med njimi tudi slavni MIT in Surfnet. Zaradi svojega ustroja strežniki SKS ne omogočajo brisanja ali spreminjanja vnosov; naložimo lahko podatek o preklicu ključa, a pretekle vsebine ne moremo popravljati. Če vas skupaj spominja na blockchain (distribuirano skladiščenje, nespremenljivost), niste edini. Neznanci so sistem SKS...

8 komentarjev

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev

Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.

Ars Technica - Letos ni ravno najboljše leto za varno spletno komunikacijo, še posebej ne za dvojček SSL/TLS. Konec februarja smo lahko brali o nemarni kodi za preverjanje pristnosti strežniških certifikatov v Applovem iOS/OS X, še ne dva tedna zatem pa o kar 9 let stari podobni luknji v odprtokodni knjižnici GnuTLS. Malo poenostavljeno rečeno je kazalo, da prav nihče več ne zna pravilno preveriti pristnosti strežniške strani komunikacije.

Zdaj smo dobili še eno luknjo, tokrat na strežniški strani. Pomanjkljiva...

79 komentarjev

BitTorrent razvija nov način varnih pogovorov

Slo-Tech - Podjetje BitTorrent, ki ga poznamo predvsem po istoimenskem protokolu za decentralizirano deljenje datotek, se je lotil razvoja protokola za varno, decentralizirano in na prisluškovanje odporno hipno sporočanje (IM). BitTorrent Chat so napovedali že septembra, sedaj pa so pokazali več podrobnosti in omogočili registracijo v alfa verzijo projekta.

Tega so se lotili zaradi vesti o vseobsegajočem prisluškovanju NSA, ki sledi telefonskim pogovorom, elektronski pošti in drugim...

9 komentarjev

Heker pridobil zasebne ključe za Apple AirPlay

AirPort express (na sredini) v akciji. Vir: apple.com

Slo-Tech -

Programer James Laird je minuli teden na githubu objavil odprtokodno različico strežnika za Applov protokol AirPlay, ki omogoča streamanje glasbe iz iTunesov in iNapravic na domači hi-fi.

Dela se je lotil potem, ko se je njegova punca preselila v novo stanovanje in se njen AirPort Express (na sliki, na sredini) ni hotel priklopiti na tamkajšnje brezžično omrežje. Namesto preproste spremembe wi-fi kanala se je James, as hackers do, odločil, da bo napravo preprosto zamenjal s svojim Linux strežnikom.

Streamanje po protokolu AirPlay, nekoč znanem pod imenom AirTunes, poteka tako, da uporabnik v svojem iTunes programu oz. na iNapravici vklopi deljenje glasbene knjižnice z napravo AirPort Express. Na slednjo priklopi Hi-Fi komponento, nakar lahko...

8 komentarjev