Prijavi se z GoogleID

»

Bodo SSL-certifikati veljavni le leto dni?

vir: ZDNet
ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.

Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni,...

19 komentarjev

Kazahstan: bil je test, nadzora interneta ne bo

Slo-Tech - Potem ko je minuli mesec veliko prahu dvignila napoved kazahstanski oblasti, da bodo začeli prestrezati in analizirati ves internetni promet v državi, je retorika sedaj v spravljivejših tonih. Ukrep, ki so ga številni pravniki označevali kot nezakonitega, je sedaj odpravljen. Kazahstanski Komite za nacionalno varnost je v torek sporočil, da je bila namestitev certifikatov preizkus, zato jih lahko uporabniki sedaj mirno odstranijo. Kazahstanski predsednik Kasim-Žomart Tokajev je na Twitterju izjavil, da je šlo za preizkus, ki ga je odredil sam, a da ne bo več vznemirjal uporabnikov interneta.

Kazahstanske oblasti so namreč zahtevale, da ponudniki dostopa do interneta in mobilni...

9 komentarjev

Kazahstan začenja napad MITM na ravni celotne države

Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po...

25 komentarjev

Lenovo jo je za vsiljevanje reklam odnesel zelo dobro

Slo-Tech - Od septembra 2014 do januarja 2015 je Lenovo na svoje računalnike nameščal program VisualDiscovery podjetja Superfish, ki je uporabnikom med brskanjem po spletu prikazoval reklame. Kadar so uporabniki z miško lebdeli nad podobnim izdelkom, kot ga prodajajo partnerji oglaševalca, se jim je odprlo pojavno okence z reklamo. Da pa je VisualDiscovery na enak način lahko manipuliral tudi strani, obiskane prek šifrirane povezave HTTPS, je VisualDiscovery na računalnik namestil lasten korenski certifikat (root). Potem je brskalnik zamenjal legitimne certifikate spletnih strani s tem lastnim, da je lahko stregel reklame. Lenovo je tako dvojno pokvaril HTTPS - program ni preverjal,...

26 komentarjev

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!!

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

201 komentar

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

vir: Vice
Vice - Kazahstanska vlada si želi nadzor nad internetnimi komunikacijami svojih državljanov, pri čemer se ne želijo ubadati z zapletenimi ali celo prikritimi metodami za dosego tega cilja. Kitajci imajo veliki požarni zid, a to je drago početje. Zato so se v Kazahstanu odločili, da bodo uporabnikom interneta preprosto predpisali, da jim morajo to dovoliti. Od 1. januarja bodo morali uporabniki obvezno namestiti vladni certifikat, ki bo omogočal branje nešifriranih in šifriranih komunikacij. Sporočilo so v angleščini objavili na spletnih straneh državnega telekoma, a je po nekaj dneh skrivnostno izginilo.

Spomnimo, da je Lenovo na svoje računalnike nameščal certifikat s sumljivimi nameni, Dell pa je po neumnem uporabnike...

16 komentarjev

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Trustwavov javni ključ je vključen v skoraj vse brskalnike, zato ti zaupajo vsem certifikatov, ki jih izda Trustwave, njihov reseller ali posvečeno podjetje.

vir: The Register
The Register - Ameriški overitelj Trustwave se je zapletel v neprijeten indicident, ker so še neimenovanemu ameriškemu podjetju izdali začasni CA certifikat z možnostjo nadaljnje izdaje certifikatov za poljubne domene.

Tovrstni certifikati (subordinate root certificates) seveda niso na voljo v "prosti prodaji" in služijo zelo specifičnim namenom, predvsem nadzoru zaposlenih. Če podjetje sumi, da ti s pomočjo interneta ven pošiljajo poslovne skrivnosti, lahko začne preverjati vsebino njihove spletne komunikacije (prikrito prisluškovanje oz. sniffing), kar je mogoče, ker zaposlenemu zagotavljajo internetno povezavo in ves njegov promet gre čez njihove usmerjevalnike. Širšim rešitvam za omenjeni problem se pravi Data Loss Prevention sistemi oz. DLP sistemi.

Takšno...

26 komentarjev

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino...

13 komentarjev