Slo-Tech - Nate Lawson je imel 5. avgusta letos na Google Tech Talk predavanje na temo varnosti kriptografije z naslovom Crypto Strikes Back!.

Številne kriptografske metode so danes dobro preizkušene in so postale kar nekako standardne, navadno pa se zaplete pri njihovi implementaciji. Lawson tako na predavanju predstavi nekaj glavnih težav pri implementaciji kriptografije, od tim. side-channel napadov, do napak pri implementaciji algoritmov za izračun kontrolnih vsot. Dotakne se tudi slavne Debian PRNG ranljivosti ter posledic za DSA digitalne podpise.

Ob hitri menjavi ključev se je namreč kar nekako spregledalo, da so ranljivi tudi vsi DSA ključi, ki so bili zgolj uporabljeni v sistemih z okvarjenim generatorjem naključnih števil.

Lawson namreč na svojem blogu ugotavlja, da je varnost DSA zelo odvisna od varnosti tim. naključnega izziva (ang. random challenge) k. Če je ta parameter znan, je namreč mogoče izračunati celoten zasebni ključ uporabnika. To pa pomeni, da napadalec lahko v...

Wired Blog - Kot poročajo na Wiredu in Coding Horror, je 18-letni napadalec, znan pod vzdevkom GMZ, pred kratkim vdrl v številne račune Twitter, med drugim tudi v račun Baracka Obame in Fox News.

Pri vsem skupaj pa je najbolj zanimiv način, na katerega je napadalec uspel izpeljati vdor.

Napadalec je namreč uporabil napad s slovarjem. Gre za ugibanje gesel s pomočjo slovarja (preverjanje vseh besed v slovarju), kar je bilo mogoče uporabiti zato, ker Twitter ni onemogočal večkratnih poskusov prijave.

Kot so izračunali na Coding Horror, bi preverjanje vseh angleških besed (vsako sekundo eno) trajalo slaba dva dni. Proti takšnim napadom se je seveda mogoče povsem enostavno zavarovati tako, da strežnik za vsakim neuspešnim poskusom prijave počaka dlje časa in šele nato dovoli nov poskus. Kar preseneča je, da očitno pri Twitterju tega ne vedo ali pa so to pravilo preprosto zanemarili.

Smola, še posebej, če uporabljate isto geslo za različne storitve ...

Schneier.com - Kot poroča Schneier, je ameriško okrožno sodišče v primeru United States v. Crist, 2008 WL 4682806 (M.D.Pa. October 22 2008) (Kane, C.J.) presodilo, da izračunavanje digitalnih prstnih odtisov datotek predstavlja preiskavo.

Gre za primer, ko je podjetje, ki je izselilo najemnika, ki ni plačeval najemnine, na njegovem računalniku našlo slike z otroško pornografijo. Obvestili so policijo, ki je nato brez sodne odredbe izdelala forenzično kopijo trdega diska osumljenca, policijski preiskovalec pa je tudi izračunal vse kontrolne vsote (ang. hashe) vseh datotek na trdem disku.

Izračunane kontrolne vsote so nato preverili v bazi znanih "slabih" datotek ter identificirali več filmov z otroško pornografijo. Samih datotek sicer niso gledali.

Osumljenec se je pritožil, policija je trdila, da ni šlo za preiskovanje (za kar bi bila potrebna odredba sodišča), saj niso pregledovali datotek, pač pa so le dostopili do računalnika.

Vendar pa je sodišče tako razlago zavrnilo z obrazložitvijo, da...

Powerlabs - Microsoft je včeraj predstavil svoj (dosedaj tajni) projekt Surface. Gre za popolnoma nov uporabniški vmesnik, ki bi naj po besedah odgovornih iz Redmonda povzročil revolucijo na tem področju. Osnova cele zadeve je velik, na dotik občutljiv zaslon, ki ima možnost zaznavanja na več različnih mestih (multitouch). Vgrajen naj bi bil v različne delovne površine (predvsem mize vseh vrst), omogoča pa zelo intuitivno dvoročno manipuliranje z datotekami.

Kot primer so Microsoftovci pokazali delo s fotografijami, ki jih je mogoče premetavati, obračati, povečevati in pomanjševati, zelo zanimiva je tudi povezava s prenosnimi napravami. Le-te je namreč mogoče enostavno odložiti na Površino ter s starim znancem povleci-in-spusti nanje in z njih prenašati datoteke.

Podobne koncepte smo v preteklosti sicer že videli, recimo iz podjetja PerceptivePixel, ki trenutno že trži svoje izdelke, a se Microsoftov bistveno razlikuje v tem, da ga nameravajo pripeljati v domove povprečnih uporabnikov. Sprva...

dheera.net - Včasih je na spletu objavljeno slikovno gradivo, ki ga avtorji delno zabrišejo z uporabo blur efekta. S tem naj bi bila vsebina zakritega dela slike neprepoznavna in zavarovana. Pa je res tako?

Kot ugotavljajo na dheera.net, temu ni tako. Na zabrisanih slikah je namreč mogoče uporabiti modificirani napd s slovarjem (dictionary attack) in zabrisane podatke rekonstruirati.

Ideja je v bistvu povsem preprosta. Najprej je potrebno generirati vse možne različice manjkajočega dela slike, jih zabrisati, nato pa primerjati z originalom, ujemanje pa pokaže na možno rešitev. Podobno kot poteka napad s slovarjem na kontrolne vsote gesel.

Zanimivo.

BigBruin - Na BigBruin so opravili zanimiv intervju z Andyjem Heidelbergom, enim vodilnih inženirjev v Crucialu. Crucial je, kot verjetno veste, pododdelek giganta Micro Technology, ki trenutno obvladuje svetovni pomnilniški trg. Beseda je tekla o njihovih izdelkih, njihovem mnenju o navijanju in prihodnosti pomnilniških tehnologij. Andy se je dotaknil še zabrisane meje med Crucialom in Micronom ter pojasnil, kakšno je v resnici sodelovanje teh podjetij. Intervju.

Slo-Tech -

Vidim, da se je naš e-mail za anketo močno razširil. Med vsemi predlogi, ki so v zadnjih dneh pripotovali v moj nabiralnik sem kar težko...

Geek Shelter - Dandanes so modifikacije zelo priljubljene. Seveda pa, ako nočete tega početi sami, lahko kaj podobnega tudi kupite. Pri modificiranju zelo radi vgrajujemo neonke in LED diode -- ravno zato so si na strani Geek Shelter ogledali zanimivo miško, ki je v bistvu povsem običajna, a se od drugih razlikuje le po tem, da ima vgrajeno modro diodo. Mišak je seveda optičen, na njem pa boste našli tri gumbe, kar zna biti za marsikoga premalo. Priklopite ga lahko na USB oziroma PS2 s priloženim pretvornikom. Če si jo boste morebiti zaželeli boste zanjo odšteli malo čez 20 zelencev.