Slo-Tech
Prijavi se z GoogleID

»

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

41 komentarjev

Povej mi, s kom se družiš na Facebooku, in povem ti, kdo si

First Monday - Povej mi, s kom se družiš, in povem ti, kdo si velja tudi pri uporabi socialnih omrežij. Moderni način življenja namreč omogoča enostavno zbiranje in sledenje človeških interakcij. Nekje obstajajo zapisi o vseh poslanih in prejetih elektronskih sporočilih, telefonskih klicih in SMS-ih. Na tem mestu ni pomembno, ali jih kdo dejansko bere - dovolj je, da obstaja možnost, da bi jih kdo. In ker gliha vkup štriha, se da na podlagi analize socialnih kontaktov zelo dobro profilirati posameznika s skrbnim pregledom njegovih prijateljev, ne da bi karkoli vedeli o njem.

Pojav Facebooka in podobnih strani pa to omogoča sleherniku, saj so podatki o interakcijah tu dostopni vsem in ne le posvečenim (npr. telefonskemu operaterju)....

14 komentarjev

Znani Nobelovi nagrajenci za medicino in fiziko

Kromosomi s telomerami v belem

Nobelov sklad - Švedska kraljeva akademija znanosti ta teden objavlja letošnje dobitnike Nobelovih nagrad. V ponedeljek so razkrili dobitnike nagrade za medicino, ki gre v roke treh ameriških znanstvenikov, katerih delo je pripomoglo k razumevanju, kako telomere in encim telomeraza ščitijo kromose. V torek pa je sledila za naše strokovno področje pomembnejša razglasitev, saj smo izvedeli, kdo prejme Nobelove nagrado za fiziko. To prejmejo Willard S. Boyle in George E. Smith (vsak četrtino) za iznajdbo CCD-senzorja in Charles K. Kao (polovico) za pomembna odkritja na področju prenosa svetlobe v optičnih vlaknih.

Telomere so deli DNK na koncu kromosomov, ki jih ščitijo pred škodljivimi...

6 komentarjev

Odtujena tudi gesla za Yahoo, Gmail in AOL

CNet - Včeraj smo poročali, da se je na spletu znašlo deset tisoč parov uporabniških imen in gesel uporabnikov Microsoftove storitve Live, ki pokriva tudi elektronski predal Hotmail. Microsoft se je hitro odzval na dogodek in uporabnikom na dolgo in široko razložil, kako so se nepridipravi dokopali do njihovih osebnih podatkov. Zelo enostavno, pravzaprav, sami so jim jih dali, ko so se ujeli na limanice tehnike ribarjenja.

Sedaj pa so po medmrežju zakrožili še osebni podatki uporabnikov Gmaila, Yahooja in AOL-a. Skupno naj bi šlo za več kot 30.000 javno objavljenih podatkov, medtem ko je številka dejansko pridobljenih verjetno še mnogo višja. Google se je odzval z besedami, da so pozorni na industrijo ribarjenja in da se trudijo zavarovati uporabnike, a najbolj se lahko ti zavarujejo sami. Doslej so sicer morali ponastaviti le približno 500 gesel prizadetih računov. Tudi Yahoo poziva uporabnike, naj skrbijo za higieno svojega računalnika, k čemur sodi tudi redno spreminjanje gesel in...

30 komentarjev