Slo-Tech - Spletna shramba Mega se ne ponaša le z nizko ceno, temveč uporabnikom zatrjuje, da so njihovi podatki šifrirani in da do njih ne more nihče, niti upravljavec (end-to-end encryption). V zadnjih letih je tako Mega zbrala več kot 250 milijonov uporabnikov, ki imajo shranjeni več kot 1000 PB podatkov. A zadnja razkritja raziskovalne skupine z ETH Zürich, ki jo sestavljajo Matilda Backendal, Miro Haller in Kenneth G. Paterson, kažejo, da trditve o neprebojnosti šifriranja ne držijo. Zaradi slabe implementacije je v resnici sorazmerno preprosto na silo obnoviti šifrirne ključe uporabnikov. Mega je obstoj ranljivosti priznala.

Raziskovalci ugotavljajo, da ima storitev Mega več ranljivosti, zaradi česar je občutljiva na pet različnih napadov, ki omogočajo nepooblaščen dostop do uporabniških datotek. Ključna sestavina varnosti je geslo, ki si ga izbere vsak uporabnik, in predstavlja osrednjo dostopno točko. Iz gesla lokalni odjemalec izračuna dva ključa: enega za preverjanje pristnosti...

Slo-Tech - Raziskovalci so ugotovili, da so Western Digitalovi zunanji diski iz družin My Passport in My Book, ki uporabljajo vgrajeno 256-bitno šifriranje AES, bistveno manj varni od pričakovanj. Diski imajo različne krmilnike in različno implementacijo šifriranja, vsem pa je skupno, da je napad nanje sorazmerno enostaven, s tem pa tudi prebiranje šifriranih podatkov. O izsledkih poročajo v 36-strani dolgem članku in predstavitvi.

Preverjali so zunanje diske, ki uporabljajo šest različnih USB-vmesnikov različnih proizvajalcev: JMicron, Symwave, Initio in PLX. Šifriranje poteka tako, da se uporabnikovo geslo z algoritmom SHA256 pretvori v ključni kriptografski ključ (KEK). Ta se potem uporabi za šifriranje ključa za šifriranje podatkov (DEK). V EEPROM-u oziroma na servisnem področju na...

Ars Technica - Raziskovalci s Cambridgea so ugotovili, da ponastavitev telefona z Androidom na tovarniške nastavitve ne izbriše nepovratno vseh podatkov, kot bi morala. To predstavlja varnostno tveganje, ker se tovrstna ponastavitev po navadi uporablja za uničenje podatkov pred odprodajo, oddajo ali zavrženjem telefona. Ogroženih naj bi bilo okrog pol milijarde pametnih telefonov. Napaka prizadene tako vgrajen prostor kakor tudi spominske kartice microSD.

Preizkusili so 21 različnih telefonov petih proizvajalcev z različnimi verzijami Androida od 2.3 do 4.3. Podatkov o novejših telefonih ni, sklepajo pa, da so potencialno ogroženi tudi telefoni z novejšo verzijo Androida. Ugotovili so, da prav na vsakem telefonu ostane vsaj drobec osebnih podatkov:...

Slo-Tech - V zadnjih letih se na področju informacijske varnosti čedalje več govori o problematiki zlonamerne strojne programske opreme (ang. firmware), pa tudi o sami zlonamerni strojni programski opremi oziroma trojanskih konjih skritih v fizični strojni opremi. O prvih smo že pisali (npr. o napadu na krmilnik trdega diska ali zlonamerni strojni programski opremi na mrežni kartici), tokrat pa se bomo spustili prav na nivo strojne opreme.

Trojanski konj oz. trojanec (ang. trojan horse, trojan) je zlonamerna programska koda ali zlonamerna strojna oprema, ki pa ima navidezno koristno funkcijo oziroma je vključena v legitimno in koristno programsko kodo ali strojno opremo.

Strojni trojanci so zlonamerna sprememba integriranega vezja, s pomočjo katere napadalec lahko pridobi dostop do sistema, ali pa mu omogoča izvedbo tim. napada preko stranskega kanala (ang. side channel attack) (prevsem časovnega napada (ang. timing attack) in napada z analizo porabe električne energije (ang. power...