Apple - Pri Applu so danes predstavili kopico novih varnostnih funkcij v svojem ekosistemu; med drugim so močno razširili kategorije, ki jih pokriva obojestransko šifriranje oblaka iCloud. Verjetno pa bo največ pozornosti požela odločitev, da se odrekajo kontroverzni zamisli o pregledovanju naprav v lovu za otroško pornografijo.

V Cupertinu so lansko poletje razburili z najavo orodja NeuralHash, s katerim so se želeli spoprijeti s problematiko hranjenja šifriranih vsebin s spolnimi zlorabami otrok na iphonih. Po tej zamisli bi se iz slik napravilo zgoščene vrednosti (hashe) in se nato te primerjalo z bazami podatkov poznanih vsebin CSAM (child sexual abuse material). Toda analitiki so hitro ugotovili, da je predstavljena Applova rešitev pomanjkljiva in proizvaja lažne alarme, pomenila pa je tudi splošno nevarnost za zasebnost uporabnikov, zato je bilo lansiranje prestavljeno na nedoločen kasnejši datum. Sedaj je jasno, da je podjetje upanje na izpopolnitev tega orodja opustilo. Namesto...

ZDNet - Konec prejšnjega leta so v IBMu strankam naposled lahko ponudili javen preizkus njihove metode polne homomorfne enkripcije - načina šifriranja, pri katerem je mogoče nad šifriranimi podatki izvajati operacije, ne da bi jih dešifrirali. Po desetletju razvoja tako prihajamo do stopnje, ko pristop postaja praktično uporaben.

Razmah storitev v oblaku je močno izpostavil eno temeljnih tegob ravnanja s šifriranimi podatki: pred uporabo jih je potrebno dešifrirati, kar seveda pomeni zelo ranljiv člen v procesu rokovanja s posameznikovo zasebnostjo, ko lahko njegova data odteče v neželene smeri. Že v sedemdesetih letih prejšnjega stoletja so se pričeli strokovnjaki ukvarjati z idejo, da bi bilo morda mogoče vsaj nekatere detajle iz podatkov izvleči, ne da bi jih dešifrirali, toda šele leta 2009 je kriptolog Craig Gentry dejansko pokazal, da je to sploh zares mogoče. Prijem imenujemo homomorfna enkripcija, kar izvira iz matematične ekvivalence med dvema algebraičnima operacijama nad dvema...

Slo-Tech - Konferenčna storitev Zoom je končno dočakala celostno oz. end-to-end šifriranje, ki omogoča zaupnost vsebine sporočil med pošiljateljem in prejemnikom. E2EE šifriranje je tako zdaj omogočeno v aplikacijah za Mac, PC, iOS in Android ter v Zoom Rooms, ni pa na voljo v spletnem odjemalcu, kot tudi drugih odjemalcih, ki temeljijo na njihovem SDK oz. programskem razvijalskem paketu.

Celostno šifriranje bo na voljo za vse, tako za plačljive kot za brezplačne uporabnike, čeprav so pri Zoomu še nedavno - v strahu, da bi storitev pograbili raznorazni nepridipravi - načrtovali drugače, a so se nato premislili. Bo pa potrebno identiteto brezplačnega računa potrditi z SMS sporočilom. Samo šifriranje poteka tako, da se ključi generirajo pri gostitelju posamezne konference, nato pa so posredovani sodelujočim. Zoomovi strežniki so na ta način postali samo posredniki podatkov, ki pa brez ključa same vsebine pogovora ne morejo dešifrirati.

Zoomov E2EE uporablja 256 bitno AES-GCM šifriranje,...

Slo-Tech - Zoom je sprva oglaševal, da so videokonferenčni klici šifrirani v celoti brez možnosti prisluškovanja (end-to-end), a je kmalu postalo jasno, da to ne drži. Zato so v začetku meseca sporočili, da bodo uvedli pravo šifriranje, ki pa bo spričo varnostnih pomislekov na voljo le uporabnikom plačljive različice. Sedaj so si premislili in ga bodo ponudili vsem.

Šifriranje end-to-end prihaja v Zoom z naslednjo beta verzijo, ki bo izšla julija letos. Še vedno se bo uporabljal algoritem AES 256 GCM. Na voljo bo vsem uporabnikom, tako plačljive kakor brezplačne verzije, bodo pa morali administratorji pogovorov to vključiti v pogovoru. Razlog je združljivost, saj šifriranje izključi možnost sodelovanja starejših odjemalcev ali klicev pred navadnih telefonskih linij. Izvršni direktor Eric Yuan je v začetku meseca pojasnjeval, da je lahko šifriranje na voljo le uporabnikom, ki izkažejo svojo identiteto, saj se tako izognejo zlorabam. To je bil tudi eden izmed razlogov, zakaj ga v brezplačni...

Slo-Tech - Nizozemski raziskovalec Björn Ruytenberg je razkril, kako z izvijačem in prirejeno Thunderbolt napravo v petih minutah vdreti v prenosnik in prevzeti nadzor nad podatki. Metoda Thunderspy se zanaša na varnostno luknjo strojne narave v vmesniku Thunderbolt. Ta deluje na vodilu PCI-e in ima zato neposreden dostop do podatkov v delovnem pomnilniku (DMA), kar nepridipravom omogoča popoln dostop do podatkov. Postopek si lahko ogledate tudi v videoposnetku.

Metoda je močno omejena s tem, da zahteva neposreden dostop do računalnika in to najmanj nekaj minut. V tem času je potrebno prenosnik odpreti, priključiti posebno zunanjo napravo in z njeno pomočjo naložiti nov firmware. A po drugi strani na ta način obidemo vse, še tako močne zaščite, kot je denimo Secure Boot, pa z geslom zaščitena BIOS in operacijski sistem ter celostno šifriranje diska. Thunderspy tudi ne zahteva nobenega sodelovanja uporabnika ter po končani operaciji ne pušča vidnih sledov, ki bi žrtvi dale vedeti, kaj se je...

Reuters - Kot so iz dveh virov izvedeli pri Reutersu, bosta republikanski senator Lindsey Graham in njegov demokratski kolega Richard Blumenthal čez nekaj tednov predstavila zakon, ki naj bi omejil širjenje otroške pornografije na spletu. Zakon cilja na spletne platforme kot sta Facebook in Google, katerih upravljavci po sedanji zakonodaji večinoma sploh niso odgovorni za vsebine, ki jih objavijo uporabniki.

Novi zakon bi to imuniteto izničil, razen, če se bodo podjetja držala nabora najboljših praks, ki ga bo sestavila 15-članska komisija pod vodstvom generalnega tožilca. Kot pravijo dobro obveščeni, se bo ena od zahtevanih praks nanašala tudi na opustitev celostnega oz. end-to-end šifriranja, ki omogoča zaupnost vsebine sporočil med pošiljateljem in prejemnikom. Ni znano, na kak način naj bi to dosegli, a prvi odzivi analitikov kažejo, da bo najverjetneje šlo za obvezno puščanje odprtih stranskih vrat. Gre za zasebnostno in varnostno precej invaziven ukrep, po skorajda složnem mnenju...

Slo-Tech - V švicarskem mestu Zug je med drugo svetovno vojno zraslo podjetje Crypto AG, specializirano za šifrirne in dešifrirne napreave. Ugled, ki si ga je pridobilo prek sodelovanja z zavezniki v času svetovnega spopada, je znalo po vojni odlično unovčiti. Do danes je s prodajo v več kot 120 držav sveta na leto zaslužilo milijone. Med njihovimi strankami za nakup naprav, ki so domnevno zagotavljale varno komunikacijo, so bile tudi vladne agencije Irana, Indije, Pakistana, Iraka, Nigerije, Sirije in celo Vatikana. Šlo je za praktično vse pomembnejše države, razen Rusije in Kitajske.

Mnoge od njih se verjetno ne bi odločile za nakup, če bi vedele majhno podrobnost, o kateri se je pisalo in ugibalo že leta, te dni pa so jo dokončno raziskali nemški, ameriški in švicarski novinarji: že od sedemdesetih let prejšnjega stoletja sta bili skriti lastnici Crypto AG obveščevalni družbi ZDA in tedanje Zahodne Nemčije, CIA in BND.

O tem, da gre za podjetje sumljivega porekla, je že leta 2006 v...

Reuters - Apple je, kot je znano, trenutno zapleten v zasebnostno vojno z ameriškimi organi pregona. Ti od podjetja zahtevajo odklep dveh iPhonov, ki ju je uporabljal saudski vojak, ki je na Floridi ubil tri ameriške vojake. Tudi sicer podjetje zadnje čase gradi imidž družbe, ki prav posebno skrb namenja zasebnosti svojih uporabnikov.

Vse kaže, da v zakulisju stvari niso povsem take. Reuters je na podlagi pogovora s štirimi anonimnimi uslužbenci FBI in dvema, prav tako anonimnima zaposlenima pri Applu, izvedel, da je podjetje pred dvema letoma načrtovalo vpeljavo end-to-end enkripcije pri nalaganju podatkov z uporabniških naprav v iCloud. Ta povezava je sicer že zdaj šifrirana, a je šifrirni ključ poleg uporabnika posedoval tudi Apple, zaradi česar je lahko na zahtevo organov pregona izročil potrebne podatke. Celostno šifriranje bi v praksi pomenilo, da bi Apple popolnoma izgubil možnost dostopa do podatkov v uporabni, torej berljivi obliki.

Državni organi sicer imajo dostop do podatkov na...

Slo-Tech - V ZDA se organi pregona spet pregovarjajo z Applom, ali bi jim odklenil iPhone domnevnega terorista. Zagata ni nova. Že pred leti sta FBI in sodišče želela, da bi Apple odklenil telefon strelca iz San Bernardina, česar Apple ni želel storiti. In na koncu mu ni bilo treba, ker je to delo opravilo izraelsko podjetje. A ti kot kaže niso usposobljeni za najnovejše telefone.

Tudi to pot svoje zahteve predstavljata pod paravanom nacionalne varnosti, saj gre za dva iphona savdijskega vojaka Mohammeda Saeeda Alshamranija, ki je decembra lani v bazi na Floridi v strelskem pohodu ubil tri ljudi in jih rani osem. Telefona, ki ju je za seboj pustil strelec, sta zaklenjena. Ob poizkušanja odklepa imamo le deset poizkusov, potem pa se telefon nepovratno pobriše.

Zakaj Apple nasprotuje uvedbi stranskih vrat (backdoor), je povsem jasno. To bi namreč na eni strani sesulo njihov poslovni model, ki temelji na varnosti, po drugi strani pa je to res zelo slaba popotnica za kakršnokoli varnost. To bi...

Slo-Tech - Rusija je že leta 2014 sprejela zakon, po katerem morajo ponudniki internetnih storitev podatke uporabnikov iz Rusije hraniti lokalno. Lani so primež še okrepili, saj morajo ponudniki mobilnih in internetnih storitev vsaj šest mesecev hraniti vsebino pogovorov ali njihove posnetke, na zahtevo organov pa jih dešifrirati in izročiti. Nekateri giganti so se dolgo časa poizkušali upirati shranjevanju podatkov v Rusiji, a se je tudi Apple sedaj uklonil.

To je na Kitajskem že storil, v Rusiji pa bo vsak hip. Apple je leta 2017 iz svojega App Stora na Kitajskem ukinil aplikacije za VPN, lani pa sporočil, da bo tudi podatke hranil na Kitajskem. Enako je tedaj ravnal tudi Google. Sedaj bo tako tudi v Rusiji. Ni še jasno, katere podatke bo Apple hranil v Rusiji, bodo pa...

The New York Times - Razkritje obsežnega arsenala škodljivega in vohunskega programovja CIA je pokazalo, da so tehnološka podjetja s kodiranjem podatkov oz. enkripcijo našla rešitev, s katero lahko velikemu državnemu bratu preprečijo oziroma zelo otežijo pustošenje po naših podatkih. Tako New York Times.

Razkritja dokumentov CIA s strani Wikileaksa so namreč pokazala, da morajo tajni agenti v večini primerov biti neverjetno kreativni pri vdiranju v posameznikovo življenje. In velikokrat je potrebna tudi fizična prisotnost agentov. Oziroma – prek digitalnih povezav danes očitno lahko izvemo le malo kaj. Če je seveda targetirana oseba pripravljanja na velikega brata (beri: Signal, HTTPS povezave, Tor …). Na kratko: Wikilaks je razkril, da mora CIA v današnjem času porabiti neverjetno veliko denarja, delovnih ur ljudi in kreativnosti, da lahko vdira v življenja svojih tarč.

Kako je Snowden ubil utopijo

Do razkritja obsežnih Orwelovskih operacij NSA s strani Edwarda Snowdna pred štirimi leti je...

Slo-Tech - FBI je po lastnih navedbah uspel odkleniti nesrečni iPhone, ki je pripadal napadalcu v San Bernardinu je bil jabolko spora med Applom in FBI-jem. Ker so bili podatki v iCloudu stari nekaj tednov, je FBI uspel doseči vročitev sodne odredbe Applu, po kateri bi moral ta storiti vse, kar je v njegovi moči, da FBI-ju omogoči dostop do podatkov. Čeprav podatkov zaradi šifriranja ni mogoče neposredno prebrati, je FBI od Appla pričakoval, da mu napiše orodje, ki bi odstranilo zaščito pred nepooblaščenim dostopom, ki po desetem neuspešnem vnosu gesla nepovratno pobriše vse podatke na iPhonu. Apple je seveda ugovarjal, da to pomeni, da morajo napisati novo verzijo iOS, kar ni ne poceni ne hitro izvedljivo, po drugi...

Apple - Ameriško tožilstvo, policija in obveščevalne službe niso nikoli skrivali, da jim je Applovo šifriranje podatkov na iPhonu (in ostalih napravah z iOS 8 in novejšim) trn v peti, saj jim učinkovito preprečuje dostop do njih. Zadnji dogodki pa kažejo, da dejansko ne razpolagajo z načinom za razbitje teh šifer oziroma z drugimi besedami da je Apple šifriranje izvedel pravilno in brez (znanih) stranskih vrat.

Pred dvema mesecema je v strelskem pohodu dveh napadalcev v mestu San Bernardinu 14 ljudi izgubilo življenje. Napadalca sta pobegnila, a ju je policija v vsega nekaj urah izsledila in v obračunu tudi ubila. Za njima pa je ostal kup elektronike in orožja, med čemer je tudi iPhone s šifrirano vsebino. Ameriški organi...