Slo-Tech

»

Nov mobilni standard RCS se po svetu uvaja luknjičasto

Slo-Tech - Več kot četrt stoletja stara tehnologija SMS ima precej lukenj, zaradi česar je njena uporaba za dvostopenjsko avtentikacijo in druge prijavne postopke vprašljiva. Naslednik že prihaja in se imenuje RCS, a postavljavci omrežij po svetu tudi tega uvajajo površno in tvegano, ugotavljajo raziskovalci.

Karsten Nohl iz podjetja Security Research Labs je pojasnil, da Vodafone in drugi veliki operaterji RCS že uvajajo, ne da bi bili uporabniki s tem seznanjeni. Ranljivosti, ki so v trenutni implementaciji prisotne, bosta Luca Melette in Sina Yazdanmehr predstavila na konferenci Black Hat Europe prihodnji mesec. V ZDA ga podpirajo že vsi največji operaterji (AT&T, T-Mobile, Sprint, Verizon), prav tako RCS tudi v Evropi podpira čedalje več operaterjev, skupno pa prek sto.

Ob tem velja poudariti, da v samem standardu RCS niso odkrili nobene ranljivosti. Problematična je tehnična uvedba, saj je standard napisan ohlapno. To operaterjem pušča proste roke, kar nekateri potem izkoristijo za...

10 komentarjev

Četrt stoletja SMS-ov

Slo-Tech - Kratka sporočila, ki jih pošiljamo po mobilnih telefonih, ali krajše smsi so stari 25 let. Za iznajdbo, ki je revolucionarno spremenila uporabo mobilnih telefonov (od preprostega dogovarjanja do dvorjenja), je odgovoren britanski inženir Neil Papworth. Leta 1992 je v podjetju Sema Group Telecoms za Vodafone UK razvijal SMSC (Short Message Service Centre). Prvo sporočilo je bilo kratko in praznično, saj je 3. decembra direktorju Vodafona napisal "merry Christmas". To je bilo prvi sms v zgodovini. Poslan je bil z računalnika, prispel pa je na telefon Orbitel TPU 900.

Čeprav so smsi kasneje postali izjemno priljubljeni in marsikod celo zasenčili izvirno funkcijo telefona, to je pogovarjanje, so bili začetki borni. Prvi telefoni so imeli...

51 komentarjev

Tudi slovenska policija razmišljala o nakupu Hacking Teamovega trojanca

Njegova obrazložitev.

Slo-Tech - Kot smo pisali minuli teden, je bil milanski dobavitelj policijskih trojanskih konjev Hacking Team tarča obsežnega hekerskega vdora, katerega posledica je javna objava 400 GB velikega paketa njihovih internih dokumentov, e-pošte in programske kode na torrentih. Tam notri je bil tudi seznam njihovih zdajšnjih in preteklih strank, na katerem pa Slovenije ni bilo.

Vendar pa podrobnejši pregled njihove e-pošte (Wikileaks) razkriva, da pogovori z našo policijo potekajo že kar nekaj časa.

V enem od njihovih notranjih sporočil, ki ga je 5. septembra lani svojim šefom poslal njihov tržnik Massimiliano Luppi, se tako nahaja trenutni seznam "potencialnih poslov" ("recap of open oportunities"). Med njimi je, prav pri vrhu, tudi Slovenija. Konkretni interesent je Ministrstvo za...

102 komentarja

Vdor v Hacking Team v divjino ponesel neznane ranljivosti

Slo-Tech - Nedeljski vdor v Hacking Team ni očrnil le podjetja in povzročil veliko zadrego državam, ki so do tedaj lahko zatrjevala, da ne poslujejo z njimi in da trojancev ne uporabljajo, temveč je sprožil nekaj resnih varnostnih težav. Hacking Team je kmalu po vdoru pozvala svoje stranke, naj prenehajo uporabljati njihovo programsko opremo RCS (Remote Control System) z imenom Galileo za oddaljen nadzor računalnikov.

Raziskovalci iz Trend Micra so analizirali objavljene podatke iz vdora - gre za 400 GB datotek - in v njih odkrili tri ranljivosti. Ena izmed njih je že zakrpana, dve pa ste bili predhodno neznani (zero-day). V internih dokumentih je Hacking Team eno izmed ranljivosti za Flash imenovala kar "najlepši hrošč v Flashu v zadnjih štirih letih". Druga ranljivost...

15 komentarjev

Amnesty International in partnerji izdali protiprisluškovalni program Detekt

Slo-Tech - Amnesty International je v sodelovanju z Electronic Frontier Foundation (EFF), Digitale Gesellschaft in Privacy International pripravil brezplačno in odprtokodno programsko opremo, ki je namenjena iskanju znanih programov za prisluškovanje in prestrezanje komunikacij. Program Detekt deluje le na sistemu Windows in je po besedah navedenih organizacij namenjen zlasti novinarjem, aktivistom in borcem za človekove pravice, ki so v številnih državah preganjani. Razvili so ga v Citizen Labu.

Pojavi se vprašanje, zakaj bi potrebovali posebno programsko opremo za iskanje prisluškovalnih programov. V resnici klasični protivirusni programi slednje mnogokrat ne zaznajo, kar je včasih celo namerno. Že pred izbruhom afere Snowden je McAfee prostodušno priznal, da bodo njihovi programi ignorirali vladne trojance....

20 komentarjev

Luknja v iOS omogoča pošiljanje lažnih SMS-ov

vir: ZDNet
threatpost - Raziskovalec z vzdevkom pod2g je odkril ranljivost v vseh verzijah iOS od prvih iphonov do zadnjih izdaj, ki omogoča prikaz lažne številke pošiljatelja kratkega sporočila (SMS). Z izkoriščanjem te ranljivosti lahko napadalec pošlje sporočilo, ki se zdi, kot da je prišlo z druge številke. Ker se žetoni in kode prek SMS-ov izkoriščajo za nekatere vrste identifikacije, tudi v nekaterih izvedbah...

15 komentarjev