You are currently browsing the archives for July, 2010.
Bez komentara
29/07/2010 // Posted in Ostalo | No Comments
WPA2 protokol probijen
27/07/2010 // Posted in ICT sigurnost | No Comments
Ovih dana u javnosti pojavila se informacija da je WPA2 protokol probijen, odnosno da ima inherentnu pogreÅ¡ku (“flaw”) koja omogućuje onima koji se inicijalno mogu opravdano autenticirati izvoÄ‘enje Man In The Middle napada. To znaÄi da su ovom ranjivošću pogoÄ‘eni prvenstveno korporativni klijenti – s druge strane, upravo oni su u najvećoj opasnosti jer je poznato da najviÅ¡e napada na raÄunalne sustave dolazi upravo “iznutra”.
Tekst o tome prenesen s prenosi se u cijelosti s Darkneta.
WPA2 Vulnerability Discovered – “Hole 196″ – A Flaw In GTK (Group Temporal Key)
Well as it tends to be, when something is scrutinized for long enough and with enough depth flaws will be uncovered. This time the victim is WPA2 – the strongest protection for your Wi-fi network which is standardized.
WEP fell long ago and there’s a myriad of WEP Cracking tools available. In 2008 it was reported flaws had been found in WPA and it was partially cracked.
These factors of course shifted a lot of people to WPA2, which has now been found to have certain flaws.
Perhaps it was only a matter of time. But wireless security researchers say they have uncovered a vulnerability in the WPA2 security protocol, which is the strongest form of Wi-Fi encryption and authentication currently standardized and available.
Malicious insiders can exploit the vulnerability, named “Hole 196″ by the researcher who discovered it at wireless security company AirTight Networks. The moniker refers to the page of the IEEE 802.11 Standard (Revision, 2007) on which the vulnerability is buried. Hole 196 lends itself to man-in-the-middle-style exploits, whereby an internal, authorized Wi-Fi user can decrypt, over the air, the private data of others, inject malicious traffic into the network and compromise other authorized devices using open source software, according to AirTight.
The researcher who discovered Hole 196, Md Sohail Ahmad, AirTight technology manager, intends to demonstrate it at two conferences taking place in Las Vegas next week: Black Hat Arsenal and DEF CON 18.
It’s a pretty interesting attack and leverages a man-in-the-middle style exploit to decrypt data from the wire and inject malicious packets onto the network.
The researched Md Sohail Ahmad is going to demo the exploit at 2 upcoming conferences (Black Hat and DEF CON 18) so I’ll be looking out for the slides and videos on that. We’ll have to wait and see if this is another ‘mostly theoretical‘ attack – or something that can actually be implemented in the wild.
The Advanced Encryption Standard (AES) derivative on which WPA2 is based has not been cracked and no brute force is required to exploit the vulnerability, Ahmad says. Rather, a stipulation in the standard that allows all clients to receive broadcast traffic from an access point (AP) using a common shared key creates the vulnerability when an authorized user uses the common key in reverse and sends spoofed packets encrypted using the shared group key.
Ahmad explains it this way:
WPA2 uses two types of keys: 1) Pairwise Transient Key (PTK), which is unique to each client, for protecting unicast traffic; and 2) Group Temporal Key (GTK) to protect broadcast data sent to multiple clients in a network. PTKs can detect address spoofing and data forgery. “GTKs do not have this property,†according to page 196 of the IEEE 802.11 standard.
These six words comprise the loophole, Ahmad says.
The upside is that the attack is limited to people who can genuinely authenticate to the network first, the downside that means large organizations using WPA2 in trouble – as generally most damage comes from the inside.
It’s also something to think about when connecting to ISP/public Wi-fi hotspots using WPA2 encryption.
I’m sure there will be more news about this soon.
Apple – novi svjetski lider u nesigurnosti softvera!
22/07/2010 // Posted in ICT sigurnost | No Comments
Apple the new world leader in software insecurity
By Peter Bright |
Apple has displaced Oracle as the company with the most security vulnerabilities in its software, according to security company Secunia. Over the first half of 2010, Apple had more reported flaws than any other vendor. Microsoft retains its third-place spot. Secunia has tracked security vulnerabilities and issues advisories since 2002, producing periodic reports on the state of software. Together, the top ten vendors account for some 38% of all flaws reported.
Though this does not necessarily mean that Apple’s software is the most insecure in practice—the report takes no consideration of the severity of the flaws—it points at a growing trend in the world of security flaws: the role of third-party software. Many of Apple’s flaws are not in its operating system, Mac OS X, but rather in software like Safari, QuickTime, and iTunes. Vendors like Adobe (with Flash and Adobe Reader) and Oracle (with Java) are similarly responsible for many of the flaws being reported.
To illustrate this point, the report includes cumulative figures for the number of vulnerabilities found on a Windows PC with the 50 most widely-used programs. Five years ago, there were more first-party flaws (in Windows and Microsoft’s other software) than third-party. Since about 2007, the balance shifted towards third-party programs. This year, third-party flaws are predicted to outnumber first-party flaws by two-to-one.
Secunia also makes a case that effectively updating this third-party software is much harder to do; whereas Microsoft’s Windows Update and Microsoft Update systems will provide protection for around 35% of reported vulnerabilities, patching the remainder requires the use of 13 or more updating systems. Some vendors—Apple, Mozilla, and Google, for example—do have decent automatic update systems, but others require manual intervention by the user.
(preuzeto u cijelosti s Internet portala, 22.07.2010.)
e-fijasko: pompozno najavljivani projekt zasad na klimavim nogama
17/07/2010 // Posted in ICT tehnologije | No Comments
Datum objave: 17.7.2010 u 08:11h
e-fijasko: pompozno najavljivani projekt zasad na klimavim nogama
Zbog pada servera lijeÄnici recepte opet piÅ¡u rukom
Pacijenti su nam sve nervozniji, a mi možemo jedino sjesti i plakati jer sustav ne radi, požalila nam se obiteljska lijeÄnica Željka Perić
Bit ću e-doktor, ali viÅ¡e ne vidim Äovjeka. Pretvorili smo se u Å¡ifre, pinove i lozinke, istiÄe dr. Željka Perić.
ZAGREB – Pompozno najavljeni projekt e-zdravstva, koji bi od Nove godine papirnate recepte i uputnice trebao trajno izbrisati s lica zemlje, zapoÄeo je na klimavim nogama. U ordinacijama se Äeka dulje no inaÄe, jer centralni server informacijskog zdravstvenog sustava Cezih oÄito ne može istodobno opslužiti toliki broj korisnika, pa su veze s centralom neprestano u prekidu.
– Već tri dana »krepavamo« od muke jer Cezih ne radi, a pacijenti su nam sve nervozniji. JuÄer sam izaÅ¡la u hodnik i rekla im da možemo jedino sjesti i plakati jer sustav ne radi – požalila nam se obiteljska lijeÄnica Željka Perić, jedna od mnogih u primarnoj zdravstvenoj zaÅ¡titi koji ovih dana imaju ozbiljnih problema zbog uvoÄ‘enja e-recepata i e-uputnica. Zbog pada servera, recepte i uputnice, umjesto elektroniÄkim putem, ponovno je poÄela ispisivati – rukom.
Projekt e-recepata u njenoj je ordinaciji krenuo 1. srpnja, i u poÄetku je sve funkcioniralo dobro, ali kad su u sustav uvedene i e-uputnice za laboratorij u okviru doma zdravlja, poÄeo je »cirkus«.
– Žalili smo se HZZO-u, i rekli su nam da »rade na rjeÅ¡avanju«, ali do danas nisu rijeÅ¡ili baÅ¡ niÅ¡ta – veli dr. Perić, te dodaje kako je otežavajuća okolnost Å¡to se u e-recepte krenulo baÅ¡ u vrijeme godiÅ¡njih odmora, kad jedan lijeÄnik ionako skrbi o dvostruko viÅ¡e pacijenata.
Prema planu resornog ministarstva, do Nove godine trajat će prijelazna faza, u kojoj se recepti i uputnice daju pacijentima u ruke kao i dosad, a istodobno se Cezihom Å¡alju – u ljekarnu ili drugu ordinaciju. Zasad se e-uputnice ograniÄavaju samo na matiÄni dom zdravlja, no kad doÄ‘u na red uputnice za specijalistiÄke usluge i naruÄivanje pacijenata iz ordinacije obiteljske medicine, moglo bi biti problema.
– Bit ću e-doktor, ali viÅ¡e ne vidim Äovjeka. Pretvorili smo se u Å¡ifre, pinove i lozinke, a nemamo pogled, rijeÄ i sućut za Äovjeka – žali se naÅ¡a sugovornica.
U HZZO-u i Ministarstvu zdravstva nismo dobili objaÅ¡njenje uzroka problema sa srediÅ¡njim informacijskim sustavom, koji je proÅ¡le godine nadograÄ‘en raÄunalnom opremom i softverom koji su trebali osigurati nesmetano uvoÄ‘enje e-zdravstva. Ugovor Å¡to ga je prije godinu dana ministar Darko Milinović sklopio s kompanijom Ericsson Nikola Tesla, vrijedan najmanje 55 milijuna kuna, po ministrovim je rijeÄima trebao osigurati »trenutaÄni i kontinuirani pristup kvalitetnim informacijama, te povećavanje organizacijske uÄinkovitosti zdravstvenog sustava«.
– Vrlo sam ponosan Äinjenicom da će Hrvatska uskoro imati ovako sofisticirani sustav e-zdravstva koji će unaprijediti život i poslovanje svim njegovim korisnicima, poruÄivao je tada Milinović, ne raÄunajući da bi e-zdravstvo moglo zapoÄeti ovakvim e-fijaskom.
Ljerka BRATONJA MARTINOVIĆ
(Älanak je u potpunosti prenesen sa Web stranica Novog lista)
Jednostavno rješenje za Appleove iPhone probleme
16/07/2010 // Posted in ICT tehnologije | No Comments
7 stvari koje ne bismo trebali raditi na Facebooku
14/07/2010 // Posted in ICT sigurnost | No Comments
ÄŒlanak je u cijelosti preuzet s Metro Portal.HR
UPOZORENJE
7 stvari koje ne bismo trebali raditi na Facebooku
Uložite nekoliko minuta i posložite profil koji će jamÄiti maksimalnu sigurnost vas i vaÅ¡e djece
ÄŒasopis “Consumer Reports Magazine” izdao je svojevrsno upozorenje svim korisnicima Facebooka s popisom stvari koje nikako ne bismo smjeli raditi na toj druÅ¡tvenoj mreži:
1. Koristiti lošu lozinku
Izbjegavajte jednostavna imena i pojmove, Äak i ako na kraju lozinke koristite brojeve. Umjesto toga, stvorite kombinaciju velikih i malih slova, brojeva i simbola. Dobra lozinka ima najmanje osam znakova. PreporuÄljivo je koristiti brojeve i simbole u sredini rijeÄi, kao na primjer hO27usEs
2. Ostaviti puni datum rođenja
Datum roÄ‘enja može biti važna informacija lopovima da vam isprazne bankovni raÄun ili prikupe informacije o mogućim PIN-ovima ili lozinkama poÅ¡to većina ljudi u njih ukljuÄuje brojeve iz vlastitog datuma roÄ‘enja. Možete postaviti da vam se prikazuju samo dan i mjesec roÄ‘enja ili pak potpuno izostaviti navedenu informaciju s profila.
3. Zanemarivati postavke privatnosti
Za gotovo sve informacije na Facebooku možete kontrolirati što želite dijeliti, a što zadržati za sebe. Uložite nekoliko minuta i podesite postavke privatnosti onako kako vam najbolje odgovaraju.
4. Objaviti imena djece
Ne koristite imena vlastite djece prilikom tegiranja slika te u profilima. Djeca imaju pravo na privatnost i pravo da jednog dana samostalno odluÄe u kojoj mjeri se žele eksponirati na internetu..
5. Spominjati da niste kod kuće
Status da odlazite na putovanje lopovu je jednak statusu: “Nema me doma, opljaÄkaj me!”. Doživljaje s putovanja radije podijelite s prijateljima kad ponovno stignete kući.
6. Dopustiti da vas tražilice pronađu
SprijeÄite nepoznate osobe da pronaÄ‘u vaÅ¡ profil. MeÄ‘u postavkama privatnosti odaberite “Only friends” u odgovarajućoj kućici koja se odnosi na tražilice.
7. Dopustiti djeci da bez nadzora koriste Facebook
Iako Facebook ne smiju koristiti djeca mlaÄ‘a od 13 godina, Äinjenica je da postoje i mlaÄ‘i korisnici. Postanite njihovi prijatelji te diskretno nadgledajte njihove aktivnosti. Ono Å¡to se djeci Äini bezazlenim, može se pretvoriti u potencijalno opasne podatke poput statusa: “Mama se uskoro vraća kući, moram oprati suÄ‘e.”
Big Brother opet napada
08/07/2010 // Posted in Legislativa | No Comments
(preneseno u cijelosti s Index.HR, 08.07.2010.)
Privatnost ili sigurnost: Amerikanci će Europljanima gledati bankovne podatke
EUROPSKI parlamentarci su odobrili novi dogovor sa SAD-om koji će ameriÄkim antiteroristiÄkim istražiteljima omogućiti gledanje podataka sa bankovnih raÄuna Europljana.
Prije konaÄnog glasovanja provedeni su žustri pregovori, a Europski parlament je sliÄan prijedlog blokirao u veljaÄi ove godine. Europski pregovaraÄi su tvrdili kako novi sporazum daje pravo europskim vlastima da promatraju Å¡to Äine ameriÄki istražitelji.
Pristup financijskim podacima 8 tisuća institucija i banaka
Od 1. kolovoza SAD će imati pristup financijskim podacima u 8 tisuća institucija i banaka, kojima upravlja tvrtka Swift sa sjedištem u Bruxellesu. Iz Washingtona kažu kako je pristup podacima koje ima Swift najvažnije za borbu protiv terorizma. Za dogovor je glasovalo 484 europskih parlamentaraca, dok ih je 109 bilo protiv.
U veljaÄi je dogovor odbijen zato Å¡to su parlamentarci tvrdili da nije dovoljno zaÅ¡tićena privatnost osoba kojima bi se gledali podaci. I bez ovog dogovora, SAD je ranije tajno krao podatke iz banke podataka Swifta. Za to se saznalo tek 2006. godine. Po ovom novom dogovoru, SAD će morati poslati zahtjev za davanje podataka, a nakon toga će europska policijska agencija Europol odluÄiti hoće li im ih ustupiti ili neće.
Ispit na doktorskom studiju – Kvantitativne metode
03/07/2010 // Posted in ÄŒlanci/konferencije/predavanja | No Comments
Danas je na Ekonomskom fakultetu u Rijeci održan ispitni rok s prezentacijom studije sluÄaja svih doktoranada na smjerovima Ekonomija i Poslovna ekonomija, iz kolegija Kvantitativne metode.
Sadržaj kolegija je sljedeći:
- Analiza vremenskih nizova (i statistika)
- Ekonometrijske metode
- Neuronske mreže (ANN)
- Analiza omeđivanja podataka
Dio izlaganja zagrebaÄke kolegice mr. sc. Nade Dremel, koja je izlagala istraživanu problematiku trend-analize broja zaposlenika u raÄunovodstvenim i pravnim službama u Republici Hrvatskoj prikazuje priloženi video isjeÄak.