»

Na internet pricurljali FBI-jevi lažni telefoni iz operacije Trojan Shield / Greenlight

vir: Vice
Vice - Pred mesecem dni smo poročali o uspešnem zaključku mednarodne preiskave, v kateri so aretirali 800 osumljencev za huda kazniva dejanja. Ključni način za zbiranje dokazov so bili pametni telefoni, ki jih je v letih 2019-2021 pod krinko prodajal FBI kot varne telefone z zaščito proti prisluškovanju, v resnici pa so bili okuženi. Na njih je bila platforma ANOM, ki naj bi bila omogoča varno šifrirano komunikacijo. Sedaj vemo več, saj so se ti telefoni znašli na trgu rabljenih naprav.

Vice je dobil en tak telefon
in ga podrobno analiziral. Dobili so ga od uporabnika, ki ga je kupil rabljenega kot poceni telefon, pri čemer sploh ni vedel, da bo dobil zloglasni telefon ANOM (ki je bil predhodno v lasti nekega kriminalca). Takih primerov je še več. Gre za telefon Google Pixel 4a (pojavljajo se tudi Google Pixel 3a, ki so predelani na enak način), ki na prvi (in drugi) pogled deluje povsem običajno. Tako se zdi, če vpišemo PIN, ki odpre značilno namizje, na katerem so ikone do popularnih...

1 komentar

Operacija Trojan Shield / Greenlight: če ne moremo zlomiti šifriranja, ponudimo svojo aplikacijo

Slo-Tech - Ameriški FBI, ameriška Agencija za droge (DEA), nizozemska policija in švedska policija so v sodelovanju z Europolom in še trinajstimi drugimi državami včeraj izvedle obsežne racije, v katerih so pridržali 800 osumljencev hudih kaznivih dejanj, zasegli osem ton kokaina, dve toni amfetaminov, 250 kosov orožja, 55 luksuznih avtomobilov in več kot 48 milijonov dolarjev gotovine in kriptovalut. V dve leti dolgi preiskavi so prisluškovali več kot 12.000 posameznikom iz 300 hudodelskih združb iz več kot 100 držav - ker so uporabljali aplikacijo za komuniciranje, ki jo je pripravil FBI.

Modernih aplikacij za šifrirano komuniciranje, kar podpira tudi WhatsApp, ob dobri implementaciji ni možno zlomiti. Če želimo prisluškovati pogovorom, je edini način zajeti vsebino na viru ali cilju, torej okužiti sprejemnike. Zaradi tega so v ZDA in Evropi že dlje časa žgoče razprave, ali bi države lahko imele pravico od proizvajalcev zahtevati, da v svoje izdelke vgrajujejo stranska vrata. Brez tega...

60 komentarjev

FBI: iPhone zmoremo odkleniti kar sami

The New York Times - Danes smo pričakovali zanimiv dan na kalifornijskem sodišču, kjer bi moralo potekati zaslišanje obeh strank v primeru Apple proti FBI. Gre za nesrečen iPhone, ki ga je FBI našel ob ubitih napadalcih v San Bernardinu in ki morebiti vsebuje pomembne informacije o tamkajšnjem terorističnem napadu, a ga zaradi šifriranje ne morejo prebrati. FBI je od Appla zahteval pomoč v obliki orodja, ki bi obšlo varnostni mehanizem samodejnega brisanja vsebine telefona po določenem številu nepravilnih vnosov kode, česar Apple noče storiti in se je pritožil, saj si ne nameravajo sami kopati lukenj v varnost lastnega operacijskega sistema. V zanimivem preobratu pa danes zaslišanja ni bilo, ker je tako prosil FBI. Kot trdijo, imajo namreč novo metodo za dostop do podatkov, zato...

47 komentarjev

Namesto PIN-a MasterCard želi selfi in prstni odtis

Financial Times - Precej časa je trajalo, da smo plačilne kartice z magnetnim zapisom nadgradili v takšne s čipom, kjer istovetnost dokazujemo z vnosom številke (PIN), pa še pri tem so onstran Atlantika v ogromnem zaostanku. Na tej strani Luže pa se MasterCard spogleduje z identifikacijo s prepoznavanjem obraza in branjem prstnih odtisov. V Veliki Britaniji in še nekaterih državah (med njimi Italija, Nemčija, ZDA) bodo že poleti poizkusno uvedli tovrstno identifikacijo, saj so pilotni preizkusi na Nizozemskem in v ZDA dali pozitivne rezultate.

Sistem se bo imenoval Selfie Pay in bo uporabnikom omogočal, da namesto vnosa PIN-a pogledajo v pametni telefon za prepoznavo obraza in oddajo prstni odtis, če bodo seveda namestili ustrezno aplikacijo. Najprej bodo morali na MasterCardove strežnike prenesti svojo sliko, ki se bo uporabljala kot...

41 komentarjev

Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Prototip iz leta 2010

Wired News - Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko...

27 komentarjev

PayPal se podaja tudi izven interneta

PayPal Blog - PayPal želi svoje storitve razširiti tudi na področje procesiranja plačil za klasične trgovine. Sedaj je PayPal nesporni vodilni pri ponujanju plačil za spletne transakcije, zdaj pa želijo to nadgraditi.

V ta namen bodo ponudili orodja, ki bodo trgovcem omogočila uporabo trenutnih kartičnih terminalov za poravnavo plačil prek PayPala. Kupci bodo lahko plačilo izvedli z vnosom telefonske številke in štirimestnega PIN-a, s približanjem telefona terminalu ali s posebnimi PayPalovimi karticami, končni cilj pa je omogočiti plačilo s katerokoli mobilno napravo, ne le s telefonom.

Prva testiranja se bodo pričela še pred koncem leta, v katerih bo sodelovalo 20 trgovcev. Sistem bomo v praksi prvikrat videli delovati 12. oktobra na X.commerce Innovate...

22 komentarjev