Slo-Tech - Na strežnikih, ki jih poganja Windows Server, se lahko sistemski čas nepričakovano spremeni za več mesecev v preteklosti v prihodnost, kar ima često katastrofalne posledice. Napaka ni zelo pogosta, a se je zgodila že številnim administratorjem, ki so bolj ali manj uspešno lovili krivca. To je funkcija Secure Time Seeding (STS), ki jo je Microsoft z dobrimi nameni uvedel leta 2016, a ne deluje pravilno.

STS bi morala zagotavljati točen čas na sistemih, četudi so ugasnjeni in četudi bi se baterije izpraznile. V takih primerih seveda lahko sistem po ponovnem zagonu za uro vpraša dosegljive strežnike s časom, denimo prek protokola NTP. A Microsoft pojasnjuje, da naprava z nepravilnim časom ne more varno komunicirati po omrežju, da bi izvedela točen čas, ki bi ji omogočil varno komunikacijo. To bi se sicer dalo rešiti s kakšno izjemo, a Microsoft se je odločil, da bo problem rešil drugače. V zahtevkih pri šifrirani komunikaciji (SSL handshake) je tudi polje ServerUnixTime, v katerega...

Slo-Tech - Začenja se največja revizija odprte kode v zgodovini, v sklopu katere bodo pregledali 447.247 vrstic kode v 14 programskih jezikih, ki sestavljajo aktualno verzijo OpenSSL. Projekt, ki so ga napovedali že lani, se začenja skoraj leto dni po odkritju hude ranljivosti heartbleed. Zaradi lanskih dogodkov se je začel tudi razvoj razvejitve (fork) LibreSSL ter Googlovega BoringSSL. Številni analitiki sicer menijo, da je revizija kode OpenSSL nepotrebno zapravljanje časa in da bi bilo bolje vse skupaj napisati na novo - torej investirati v LibreSSL - a CII vztrajajo, da je revizija kode pomembna. Dodajajo, da počno še marsikaj drugega, vse v želji poskrbeti, da bo infrastrukturno pomembna odprta koda brez ranljivosti.

V Core...

Washington Post - Raziskovalci pri INRIA, Microsoft Research in IMDEA so odkrili resno ranljivost v implementaciji TLS/SSL, ki prizadene odjemalce, ki uporabljajo OpenSSL (npr. naprave z Androidom) in Applove odjemalce (naprave z iOS in Mac OS X), piše Washington Post. Ranljivi so tudi...

Slo-Tech - Fundacija Linux je napovedala, da bo financirala temeljit pregled kode OpenSSL in zaposlitev dveh razvijalcev s polnim delovnim časom, v kar jih je prepričal odkrit hrošč Heartbleed. Čeprav trenutno že teče projekt LibreSSL, v sklopu katerega pripravljajo vitkejše in preverjene knjižnice, je tudi razvoj OpenSSL prav tako pomemben, zlasti ker LibreSSL ne bo podpiral vseh funkcionalnosti.

Doslej je bil OpenSSL kadrovsko in predvsem finančno zelo podhranjen, kar se je odrazilo tudi na kakovosti kode. Zato je...

Ars Technica - Letos ni ravno najboljše leto za varno spletno komunikacijo, še posebej ne za dvojček SSL/TLS. Konec februarja smo lahko brali o nemarni kodi za preverjanje pristnosti strežniških certifikatov v Applovem iOS/OS X, še ne dva tedna zatem pa o kar 9 let stari podobni luknji v odprtokodni knjižnici GnuTLS. Malo poenostavljeno rečeno je kazalo, da prav nihče več ne zna pravilno preveriti pristnosti strežniške strani komunikacije.

Zdaj smo dobili še eno luknjo, tokrat na strežniški strani. Pomanjkljiva...

Dark Reading - Raziskovalci iz Univerze v Michiganu bodo na konferenci Black Hat ta teden predstavili zaključke svojega dela, v katerem so z nižanjem voltaže na čipu v strežnikih prišli do celotnega RSA zasebnega ključa. Njihovo delo je nadaljevanje dela raziskovalcev iz Frankfurta, ki so že pred časom odkrili, da je s kvarjenjem procesorja mogoče priti do dela zasebnega ključa, a so takrat predvidevali, da bo rezultate težko reproducirati, posebej pa v nenadzorovanem laboratoriju (torej, v produkciji).

Valeria Bertacco, profesorica na UM, pa je uspela ponoviti napako na strežnikih, ki so tekli na Linuxu in so za RSA enkripcijo uporabljali OpenSSL knjižico. Prva metoda, ki so jo uporabili, je bila da so znižali napetost tranzistorjev pod...