Slo-Tech - Pred mesecem dni so Švicarji zagnali javni preizkus varnosti sistema za izvedbo e-volitev. Sistem, ki ga je postavila Švicarska pošta v sodelovanju s španskim tehnološkim partnerjem Scytl, je bil razgaljen vključno z izvorno kodo, hekerji pa so za odkritje in izrabo ranljivosti tudi nagrajeni. Čeprav preizkusno obdobje sploh še ni končano, je že jasno, da je imel sistem hudo ranljivost.

Več raziskovalnih skupin je, neodvisno druga od druge, odkrilo resno ranljivost v sistemu. Tako imenovana univerzalna preverljivost, ki je za e-volitve ključna in omogoča enoznačno ponovno štetje glasov, kakor je to mogoče tudi s papirnimi glasovnicami, je vsebovala to ranljivost. Zaradi napake v kriptografskem modelu je bilo mogoče spreminjati glasove, ne da bi bilo to moč opaziti pri preveritvi...

Slo-Tech - Švicarske oblasti so se odločile preveriti varnost svojega sistema za elektronsko glasovanje tako, da so razpisale nagrade za morebitne hekerje (bug bounty). Medtem ko lokalne volitve v posameznih kantonih že od leta 2004 ponekod potekajo elektronsko, so na zveznih volitvah elektronsko glasovanje doslej le preizkušali. Od 25. februarja do 24. marca letos bo Švicarska pošta, ki nudi sistem za elektronsko glasovanje, nagrajevala najdene ranljivosti.

Skupaj je na voljo 150.000 švicarskih frankov (130.000 evrov), najvišje nagrade pa znašajo 50.000 frankov. Dobil jo bo, komur bo uspelo neopazno spremeniti kakšen glas. Nagrajujejo tudi druge manipulacije, denimo vidno spreminjanje glasov, razbitje zasebnosti glasovanja, uničenje glasov, vdor ali zgolj odkritje, da strežnik ne uporablja...

Slo-Tech - Napadi na pametne televizorje niso nič novega in so že znani, a so napadalci doslej potrebovali fizični dostop. Raziskovalci iz švicarskega podjetja Oneconsult pa so sedaj demonstrirali napad, kjer nadzor nad televizorjem dobimo z oddajanjem zlonamernega signala DVB-T, kar je bistveno nevarneje. Celo zloglasen Weeping Angel (glej Vault 7) napad na Samsungove pametne televizorje terja fizično namestitev programske opreme na televizor. Toda Švicarji so sedaj pokazali, da gre tudi po zraku.

Rafael Scheel je na varnostni konferenci European Broadcasting Union Media Cyber Security Seminar februarja pokazal, kako lahko zlonamerno kodo vstavi v signal DVB-T, s čimer je napad mogoče izvesti na bistveno večjem številu televizorjev istočasno. Če pripeljemo prenosni oddajnik...

Slo-Tech - Oddajanje letnih poročil Ajpesu je očitno pomembnejše kot varovanje podatkov podjetij in državljanov in državljank Slovenije. Da potencialne poslovne škode zasebnim podjetjem in možnosti kraje identitete državljanov sploh ne omenjamo. Vsaj tako razumemo odgovore vodje Ajpesove službe za informacijsko tehnologijo Marjana Babiča, ki jih je dal v intervjuju za RTV MMC.

»Pri analiziranju smo proučevali tudi nekatere bolj radikalne ukrepe, vendar smo ocenili, da jih trenutno brez občutnega vpliva na delovanje storitev Ajpesa ni smotrno izvesti. Posledice za uporabnike bi bile nesorazmerno velike, saj mora okrog 170.000 zavezancev v tem obdobju izpolnjevati zakonske obveznosti oddaje letnih poročil«

Tako Babič pojasnjuje novinarju, zakaj Ajpes ni storil ničesar, da...

threatpost - TrueCrypt je še vedno precej priljubljen program za šifriranje podatkov, pa čeprav so maja lani razvijalci še vedno ne docela pojasnjeno in v precejšnji naglici prekinili razvoj programa. Temeljit varnostni pregled njegove izvorne kode (audit) se je kljub ustavitvi razvoja nadaljeval in ni odkril večjih pomanjkljivosti v kodi. Sedaj pa so odkrili dve ranljivosti, ki omogočata napad na sisteme, ki imajo nameščen TrueCrypt. Varnostni strokovnjaki zato vsem, ki morebiti še vedno vztrajajo na TrueCryptu, svetujejo, da se od njega resnično poslovijo.

Ranljivosti je našel James Forshaw iz Googlovega Project Zero in o njihovem obstoju svet najprej obvestil prek Twitterja. Ranljivosti sta bili...

Yahoo News - Najdražji in najbolj nehvaležen del pisanja programske opreme je testiranje in iskanje ranljivosti. Neposredne dodane vrednosti to ne prinaša, zgolj stroške, a lahko prihrani velike stroške v prihodnosti. Podjetja poizkušajo to delo naprtiti zunanjim izvajalcem na različne načine, pri čemer je eden izmed najučinkovitejših načinov nagrajevanje ranljivosti. Nekaj stotakov ali tisočakov za odkrito ranljivost je malenkost v primerjavi s ceno, ki bo jo imel redno zaposleni strokovnjak ali bolje cela armada takih ljudi v podjetju. Zato ni presenetljivo, da imajo Facebook, Google, Mozilla, Microsoft in številna druga podjetja posebne programe (bug bounty), kako finančno nagradijo prijavljene ranljivosti.

Yahoo pa tega doslej ni imel. Kdor je Yahooju poslal podatke o...