»

Microsoft: ne uporabljajte večstopenjske avtentikacije s SMS ali telefonskimi klici

Slo-Tech - Pravzaprav priporočilo za nobenega poznavalca mobilnih omrežij ne bi smelo biti presenečenje, a vseeno malokdo tako neposredno pove, kot je to storil Alex Weinert, ki je v Microsoftu vodja programa Identity Security. V svojem blogu je zapisal, da je sicer vsaka dvostopenjska avtentikacija (MFA) boljša kot nobena, a da je uporaba mobilnih omrežij, torej prejemanje kod prek smsov ali s telefonskimi klici, varnostno zelo šibka metoda.

MFA je učinkovita zaščita. Microsoft ocenjuje, da se z uporabo MFA prepreči 99,9 odstotka avtomatiziranih napadov, kar je Weinart ocenjeval v blogu že julija lani. Po drugi strani so izključno gesla v večini primerov slab način zaščite identitet. Kaj je torej narobe z MFA prek mobilnih telefonov?

Mobilna omrežja so bila zgrajena v nekem drugem času, zaradi zagotavljanja združljivosti in enostavnosti uporabe pa še danes v njih mrgoli ranljivosti. Napad na protokol SS7, FEMTOcelice in drugi načini prestrezanja pomenijo, da telefonska števila ni varen in...

46 komentarjev

Hrošč v Ubuntu omogoča ustvaritev administratorskega računa

Slo-Tech - V Linuxovi distribuciji Ubuntu je Kevin Backhouse odkril hrošča, ki navadnemu uporabniku omogočata eskalacijo privilegijev in ustvaritev računa z administratorskimi pravicami. Izraba ne zahteva nobenega posebnega računalniškega znanja, kaj šele programiranja. Ranljivost deluje le, če imamo dostop do lokalnega računa in grafičnega vmesnika, torej je ne moremo zlorabiti na strežnikih.

Prva ranljivost tiči v servisu accountsservice, ki upravlja z uporabniškimi računu v sistemu in ki komunicira z accounts-daemon. Ker accountsservice poišče datoteko .pam_environment, ga je možno zrušiti z vzpostavitvijo bližnjice, ki v to ime poveže neskončno dolgo datoteko ničel (/dev/zero). Če potem pošljemo accounts-daemonu pošljemo SIGSEGV, ga lahko tudi kot navadni uporabnik zrušimo (to ne bi smelo biti možno). Drugi hrošč tiči v GNOME Display Managerju (gdm3), ki med drugim ob sveži namestitvi ustvari prve račune - in prvi uporabniški računa mora biti administratorski. Ključ je v tem, da gdm3 to...

19 komentarjev

V ZDA se obeta obnovitev nevtralnosti interneta

Ajit Pai

Slo-Tech - Trenutni vodja Agencije za telekomunikacije v ZDA (FCC) Ajit Pai je eden največjih nasprotnikov nevtralnosti interneta, ki mu jo je uspelo ukiniti decembra 2017. Čeprav je javno posvetovanje pokazalo prevladujočo naklonjenost nevtralnosti interneta, študije pa njene pozitivne vplive, je FCC vztrajal in neutemeljeno trdil, da bo ukinitev nevtralnosti interneta okrepila inovacije, rast delovnih mest in investicije. To se ni zgodilo.

Sodne bitke je dobil FCC, a le na zvezni ravni, medtem ko lahko posamezne države predpišejo strožja pravila glede nevtralnosti interneta. Kasnejše preiskave pa so pokazale, da je bila javna razprava zmanipulirana, saj so bili najglasnejši nasprotniki nevtralnosti interneta troli brez identitete. Prihodnje leto pa se bodo stvari spremenile.

Običaj je, da ima stranka vladajoče administracije tudi v FCC večino. Ko bodo prihodnje leto krmilo prevzeli demokrati, saj bo Joe Biden kot predsednik ZDA prisegel 20. januarja, bodo demokrati dobili tudi večino v...

10 komentarjev