Е-паспорта позволяют следить за человеком

Исследователи из Университета Бирмингема обнаружили очередную уязвимость в электронных паспортах. Недостатки существующей технологии позволяют сконструировать устройство, которое будет сигнализировать о появлении в его близи владельца того или иного е-паспорта.

Предлагаемая схема эксплуатации данной уязвимости кажется несколько надуманной, однако в некоторых случаях может оказаться действенной.

Для начала злоумышленникам придётся подслушать “разговор” между электронным паспортом жертвы и авторизованным RFID-сканером (например, при пересечении объектом границы). Обмен данными шифруется, однако здесь речь идёт не о расшифровке, а всего лишь о перехвате сообщения, в котором сканер передаёт паспорту ключ конкретной сессии.

Данное сообщение тоже кодируется, но смысл в том, что оно, как и всякое последующее сообщение между сканером и паспортом, подписано уникальным для паспорта аутентификационным MAC-кодом (который паспорт предварительно сообщает сканеру).

“Наше изучение настоящих паспортов показало, что существует отличие между сообщением, которое было отклонено из-за некорректного ключа сессии, и сообщением, которое было отклонено из-за ошибки при проверке аутентификационного кода”, — поясняют (PDF) исследователи Том Чотиа (Tom Chothia) и Виталий Смирнов.

Для большинства электронных паспортов это отличие заключается во времени, после которого паспорт возвращает ошибку (потому что в одном из случаев ему приходится тратить время на расшифровку сообщения). Длительность этого интервала зависит преимущественно от того, какая страна выдала паспорт. Для французских паспортов не нужно и этого: в описанных случаях они просто возвращают два разных кода ошибок.

Имея это в виду, следует создать собственный псевдо-сканер, который будет периодически транслировать в эфир перехваченное сообщение. Если этот сканер разместить, например, в подъезде, где проживает владелец паспорта, то с его помощью можно будет в режиме реального времени определять, когда он покидает дом или возвращается обратно. При том условии, конечно, что паспорт он будет носить с собой.

Исследователи проверили свою теорию на практике, взяв у добровольцев (сотрудников лаборатории и членов их семей) их электронные паспорта. Всего было 3 британских паспорта, 2 немецких и по одному российскому, французскому, ирландскому и греческому. Для реализации описанной схемы им понадобилось доступное в продаже, весьма дешёвое оборудование.

Учёные приводят рекомендации по защите от данного способа атаки, однако они заключаются лишь в совершенствовании существующих протоколов, использующихся электронными паспортами. С уже выпущенными е-паспортами ничего поделать нельзя.

Источник: http://webplanet.ru/news/security/2010/01/27/e-pass_traceability.html

Пач для Internet Explorer 6

Корпорация Microsoft выпустила экстренный патч, устраняющий ряд критических уязвимостей в различных версиях браузера Internet Explorer. Патч устраняет восемь уязвимостей, в том числе брешь, которая использовалась в ходе недавней кибератаки на сервисы Google и ряда других компаний.

Напомним, что на прошлой неделе хакеры атаковали почтовый сервис компании Google. По данным компании, атака была “продуманной и целевой” и была произведена из Китая, где были взломаны электронные почтовые ящики ряда местных правозащитников.

В ходе расследования было установлено, что хакеры осуществили нападение через брешь в системе безопасности устаревшей версии интернет-браузера IE6.

“В связи с продолжающимися целенаправленными хакерскими атаками исключительно на Internet Explorer 6, Microsoft рекомендует своим пользователям установить это обновление для системы безопасности как можно скорее для того, что защитить себя от подобных атак”, – заявил представитель отделения Microsoft по разработке систем безопасности Джери Брайант.

Кумулятивный патч, выпущенный Microsoft, затрагивает версии Internet Explorer с пятой по восьмую. И хотя, по заявлениям корпорации, наибольшую опасность уязвимости представляют для пользователей IE 6, сторонние эксперты считают, что компьютеры с более поздними модификациями браузера также находятся под угрозой.

Взлом анонимайзера

Известная сеть для анонимизации трафика Tor, программное обеспечение для которой распространяется в исходных текстах под свободной лицензией, подверглась взлому. В инфраструктуре проекта злоумышленники получили контроль над двумя из семи серверов директорий и над сервером накопления статистики metrics.torproject.org. После обнаружения факта вторжения, администраторы проекта вывели пораженные машины из сети и выполнили полную переустановку программного обеспечения, вместе с обновлением идентификационных ключей.

На одном из взломанных хостов находились GIT и SVN репозитории проекта. Предварительный анализ активности злоумышленников показал, что они успели только настроить вход по SSH ключам и использовали захваченные серверы, имеющие высокоскоростное соединение с сетью, для организации атаки на другие хосты. Никаких следов подстановки данных в репозитории исходных текстов Tor не зафиксировано.

Утверждается, что атакующие не получили доступ к ключам шифрования сети Tor, но на всякий случай данные ключи были перегенерированы. Пользователям и администраторам узлов рекомендуется срочно обновить программное обеспечения Tor до версии Tor 0.2.1.22 или 0.2.2.7-alpha, в которых устранена приводящая к утечке информации уязвимость и обновлены v3-ключи идентификации.

Ранее в сети Tor были зафиксированы случаи получения злоумышленниками контроля за пограничными узлами (точками выхода) через которые осуществляется непосредственное обращение к запрошенным пользователями ресурсам. Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.

Высокие мобильные технологии

Если читать википедию, то:

Сотовый телефoн — вид мобильного телефона (за исключением стационарного сотового телефона, см. секцию основные форм-факторы сотовых телефонов) предназначенный для работы в сетях сотовой связи; использует радиоприёмопередатчик и традиционную телефонную коммутацию для осуществления телефонной связи на территории зоны покрытия сотовой сети.

В настоящее время сотовая связь — самая распространённая из всех видов мобильной связи, поэтому обычно мобильным телефоном называют сотовый телефон, хотя мобильными телефонами помимо сотовых являются также спутниковые телефоны, радиотелефоны и аппараты магистральной связи.

Трубка — сложное высокотехнологичное (технология 13 мкм) электронное устройство, включающее в себя: приемопередатчик 2-4 ультракоротковолновых (УКВ) диапазонов, специализированный контроллер, дисплей, устройства интерфейса, аккумулятор. Большинство трубок имеет свой уникальный номер IMEI (en:International Mobile Equipment Identify — международный идентификатор мобильного устройства). IMEI присваивается при производстве сотового телефона и состоит из 15 цифр. Номер расположен на телефоне под аккумулятором и на коробке от телефона под штрих-кодом. В большинстве телефонов его также можно узнать, набрав на клавиатуре код *#06#

Некоторые стандарты мобильной связи используют для идентификации абонента SIM-карту. Она представляет собой флэш-чип (смарт-карту, по-русски — микросхему-компьютер) с программным управлением, содержит уникальный идентификационный номер IMSI (en:International Mobile Subscriber Identification — международный идентификационный номер подвижного абонента) и индивидуальный цифровой пароль. Напряжение питания SIM-карты: 3,3 В (постоянный ток).

Германия: Обладатели дефектных карт получат компенсацию

Финансовые институты Германии пытаются минимизировать имиджевые потери от массового сбоя при использовании банковских карт, возникшие по вине французской фирмы. Неисправные чипы перепрограммируют через банкоматы.

Обладателям примерно 30 миллионов банковских и кредитных карточек, столкнувшимся после наступления 2010 года с проблемами при получении денег в банкоматах, возместят дополнительные расходы, связанные с вынужденным использованием других платежных средств или с получением наличных денег в банковских филиалах. Об этом спустя неделю после возникновения сбоев и в ответ на недвусмысленные предупреждения со стороны министра защиты прав потребителей объявили в пятницу, 8 января, немецкие банки и сберкассы.

“Хотя ответственность за ошибку несет сторонняя фирма, занимающаяся программированием, клиенты сберкасс и земельных банков вправе ожидать от нас бесперебойного сервиса”, – заявил в интервью самой массовой немецкой газеты Bild президент головного объединения немецких общественно-правовых сберкасс (Deutscher Sparkassen und Giroverband) Хайнрих Хаасис (Heinrich Haasis). Вслед за ним о компенсации клиентам возникших у них дополнительных расходов объявил Федеральный союз немецких банков (Bundesverband deutscher Banken), объединяющий частные кредитно-финансовые институты.

Таким образом, клиентам банков и сберкасс, которым из-за дефектных чипов на банковских картах пришлось, например, снимать наличные деньги с помощью кредитных карт и платить за это полагающиеся комиссионные, при предъявлении соответствующих квитанций расходы будут возмещены. Суммы тут относительно небольшие, а потому удивляет, почему немецкое банковское сообщество медлило с объявлением о компенсации целую неделю, хотя в стране нарастала критика в его адрес.

Впрочем, нерешительность банков и сберкасс в этом вопросе может быть связана с тем, что они опасаются целой волны требований о возмещении упущенной выгоды со стороны предприятий торговли. Ведь пластиковые карты с дефектными чипами давали сбой и при попытках клиентов оплатить покупки в магазинах. Причем такая ситуация продолжалась с 1 по 8 января, пока в середине пятницы головное объединение немецкой розничной торговли HDE не объявило в Берлине о том, что на территории всей Германии проблема с карточками решена.

Каковы, в конечном счете, окажутся материальные потери немецких финансовых институтов от истории с неправильно запрограммированными чипами, которые “растерялись” при появлении даты 2010, будет зависеть от того, удастся ли избежать повальной замены затронутых пластиковых карт. Если учесть, что замена одной такой карты обходится в Германии в 5-10 евро, то нетрудно подсчитать, что речь может идти о расходах в две-три сотни миллионов евро. Правда, пока большинство банкиров надеется на то, что неисправные чипы удастся перепрограммировать через банкоматы во время очередного снятия денег клиентом. Однако берлинский Sparda-Bank, по данным газеты Bild, якобы уже принял решение карты все-таки обменять.

Исследователи взломали 768-битный ключ RSA

Группе инженеров из Японии, Швейцарии, Нидерландов и США удалось успешно вычислить данные, зашифрованные при помощи криптографического ключа стандарта RSA длиной 768 бит.

Исследователи взломали систему шифрования еще в начале декабря. Накануне был представлен научный доклад на эту тему. Авторы метода говорят, что их работы могут быть считаться незаконными в некоторых странах, так как алгоритм RSA часто используется для государственных и военных нужд. Однако исследователи утверждают, что их работа вызвана чисто академическим интересом и ни одного реального ключа, находящегося в использовании ученые не взломали. Хотя сделать это было бы возможно.

Вычисление значений ключа инженеры проводили методом факторизации модульных чисел. Метод основан на сравнительно простых арифметических действиях, правда объединенных в довольно сложные формулы.

По словам исследователей, для своих расчетов они применяли самое обычное оборудование, доступное в продаже. Первым шагом во взломе системы стало вычисление подходящих простых множителей. Если бы это процесс проводился базовым методом перебора, то на процессоре AMD Opteron 2.2 ГГц он бы занял около 1500 лет и около 5 терабайт данных. Однако исследователи приняли решение использовать многомерные математические матрицы.

Составление кластера матриц заняло всего около 12 часов. На базе матриц размерностью 2200 на 2200 ученые определили множители, дальнейшие процессы вычисления шли значительно быстрее и уже на базе современных многоядерных процессоров. В итоге группе удалось вычислить 232-цифровой ключ, открывающий доступ к зашифрованным данным.

По словам исследователей, после их работы в качестве надежной системы шифрования можно рассматривать только RSA-ключи длиной 1024 бита и более. Все, что имеет длину ключа менее 768 бит уже можно взломать, хотя к этому придется приложить определенные усилия.

Итальянская Ассоциация потребителей поможет пользователям отказаться от Windows

Итальянская ассоциация потребителей подает коллективный иск с требованием компенсации для потребителей, приобретающих новые компьютеры с предустановленным программным обеспечением Microsoft. В Ассоциации говорят, что многие пользователи не желают использовать ни программное обеспечение, ни операционную систему Microsoft, однако зачастую она изначально входит в комплект поставки.

Винчензо Донвито, президент Ассоциации заявил, что иск будет подан в суд города Флоренция. В иске звучит требование о возмещении затрат на “нежелательное программное обеспечение Microsoft” как от самого производителя софта, так и от производителей компьютеров. Донвито говорит, что под текстом иска подписались более 2200 пользователей, большая часть которых желает получать компьютеры вообще без софта, либо исключительно с открытым софтом.

Донвито пояснил, что ранее возможность возврата денег за операционную систему и программное обеспечение Microsoft также существовала, однако для ее реализации необходимо было отправлять уже купленный компьютер на основное производство компании-сборщика ПК и там деинсталлировать софт, выплачивая пользователю компенсацию. На практике за продукты стоимостью 150-250 евро можно было получить компенсацию в размере 30-40 евро, поэтому данным вариантом на практике практически не пользовались.

Новые требования предусматривают возможность отказа прямо в магазине с полным вычетом стоимости софта Microsoft. “Раньше от продуктов Microsoft некоторые пользователи отказывались из принципа, но не по экономическим соображениям, мы хотим сделать эту систему более ориентированной на практику”, – говорят в Ассоциации.

В Ассоциации считают, что благодаря новым правилам подачи коллективных исков, вступивших в Италии в силу с 1 января 2010 года, вероятность положительного для заявителя исхода дела достаточно велика.

Источник: securitylab.ru

Microsoft представила свои новинки на CES 2010

Исполнительный директор корпорации Microsoft Стив Баллмер в рамках выставки CES 2010 продемонстрировал новый сенсорный планшетный компьютер, разработанный совместными усилиями самой Microsoft и Hewlett-Packard. В HP дополняют, что сегодняшняя новинка – это лишь первое в серии решение, другие модели будут показаны в конце января. Баллмер говорит, что в совместном продукте не будет клавиатуры, все управление только через сенсорные функции, но будут очень широкие мультимедийные и сетевые возможности.

Помимо этого, глава Microsoft отметил, что похожие планшетные ПК сейчас создаются азиатскими Archos и Pegatron. Эти разработки также проходят при поддержке Microsoft. Все представленные планшетники работают под управлением Windows 7 и предлагают практически полный набор функционала, востребованного современным пользователем.

Стоит отметить, что сама концепция планшетного компьютера с сенсорным экраном в общем-то не нова, однако на фоне того, что Apple в конце января собирается представить свой планшетный компьютер под управлением Mac OS, конкуренты, судя по всему, боятся повторения успеха iPod и предпочитают еще до выхода девайса Apple буквально заполонить рынок устройствами-клонами. Сама Apple, придерживаясь своей крайне секретной продуктовой стратегии, хранит полное молчание в отношении планируемой разработки.

Сразу после Стива Баллмера глава развлекательного подразделения Microsoft Робби Бах представил законченную версию консольной технологии Natal, позволяющей геймерам контролировать игровой процесс при помощи движений своего тела. Физически разработка представляет собой набор из микрофонов, оптической и инфракрасной камер. Данные устройства следят за перемещением играющего и отображают его пространственные изменения применительно к контексту игры.

В сердце новой системы находится инфракрасный сенсор, устанавливающий наличие в зоне видимости человека, фиксирующего его движения и расстояние до сенсора. Устройство само способно калиброваться под комнатную температуру и отыскивать теплые тела в комнате. После того, как геймер был “увиден” системой, сканер проводит исследование фигуры человека, пытается сопоставить полученные данные с информацией, хранящейся в памяти консоли. Если система считает человека новым геймером, то предлагается создать для него новый профиль.

Аппаратные решения Natal, поставляемые в качестве аксессуаров для Xbox 360, появятся в продаже во второй половине 2010 года.

По словам Баха, в ближайшее время Microsoft сконцентрирует свои разработки на устройствах и интерфейсах, управляемых при помощи рук, жестов, голоса и прочих “естественных интерфейсов”, тогда как от традиционных клавиатуры и мышки будут постепенно отказываться. Также глава Microsoft Entertainment Division сообщил, что в 2010 году владельцы Xbox 360 смогут купить для своих консолей продолжение ряда популярных игр, таких как Halo.

Говоря о решениях для профессионалов, Microsoft показала технологию Mediaroom 2.0, позволяющую доставить через интернет телевизионную картинку и осуществлять интернет-вещание для разнообразных платформ и устройств. Новая версия Mediaroom позволит реализовать платформы с подписными сервисами и создавать решения для организации видео по запросу. Кроме того, Mediaroom 2.0 получила поддержку Xbox 360.

Наконец, в корпорации анонсировали поисковое соглашение с HP, по условиям которого последняя будет устанавливать в качестве стандартных решений для поиска порталы Microsoft, такие как Bing.com и MSN.com.

Источник: cybersecurity.ru

Ибо, воистену!

Началось всё с того, что родители в начале каникул накупили Аркашке книг: про хоббитов, про Гарри Поттера. Ну, про очкарика этого меченого более-менее живенько написано. А вот про хоббитов с кожаными пятками… Все эти Митрандиры-Горгоробы-Азанулбизары… Хотя – дело вкуса.
Аркашка сначала прочитал всю Дж. К. и Дж. Р. Р. Потом ему купили фильмы по этим романам. Аркашка их посмотрел. И на некоторое время затих. Три дня даже давал себя расчёсывать и не рычал. А потом зашёл как-то на кухню к маме с папой и сказал: Продовжити читання

Компьютерный сбой оставил немцев без кредитных карт

В самый разгар рождественских распродаж в Германии треть населения страны в результате компьютерного сбоя осталась без кредитных карт. Система не смогла распознать новый, 2010 год, и около 30 миллионов дебетовых и кредитных карт оказались недействительными, сообщает Вести.ru.

В результате сбоя владельцы карт не могут ни заплатить за покупки, ни обналичить деньги через банкоматы.

В ответ на все претензии менеджеры банков советуют клиентам снимать деньги непосредственно в филиалах. По их мнению, устранить сбой полностью удастся лишь к началу следующей недели.