Често Задавани Въпроси

Прилично включване от Ориндж Каунти, както е известен напоследък Овча купел. Go Sofia !

Интересно демострационно видео, което описва възможностите и функционалността на “Dominator” – система за прехващане и записване на GSM разговори, като поддържа по-сигурният А5/1. Не е ясно дали системата работи като брутфорсва криптирането ( например с DSP-та ) или просто инструктира телефона да превключи на не-криптиран режим. Подобен род системи струват 100 000+ долара/евро/паунда и за да работят трябва да са относително близо до жертвата, защото системата трябва да се обяви като клетката с най-добра връзка на телефона, който трябва да е подслушан. Според видеото има опция, която поддържа до 2 км, но това би трябвало силно да зависи от конкретното местоположение на жертвата и дали се движи – напълно е възможно при движение, подслушваният телефон да се доближи до истинска клетка на оператора и да превключи към нея, като по този начин престава да може да бъде подслушван.

“In God we trust, all others must submit X.509 Certificate”

Стара шега из ИТ средите, която обаче напоследък може да изиграе лоша шега – повечето потребители смятат HTTPS за сигурен протокол, който защитава от подслушване. Все повече потребители се научават да гледат за зеленото катинарче, чавка или какъвто графичен елемент в браузера показва, че сертификатът на сайта е валиден и е подписан от валидно ауторити от верига, на която браузърът или операционната система се доверяват. Откъдето може да възникне проблем – EFF обявиха на DefCon18 своят нов проект – SSL Observatory, който цели да изследва всъщност на колко ауторитита вашият компютър се доверява по подразбиране и доколко всъщност можем да се доверим на тях. Защото ако злоумишлена организация може да генерира валидни сертификати, от верига, на която се доверявате, то те спокойно могат да подслушват комуникацията ви, била тя и през SSL.

Намереното от проекта до момента е изключително интересно:

• наблюдавани са над 1.3 милиона валидни сертификата
• Mozilla се доверява по подразбиране на 124 ауторитита ( събрани в около 60 организации )
• Microsoft се доверява само на 19 в Windows 7, но това може да бъде “ъпгрейдвано” тихомълком
• Голям брой сертификати подписани от единични leaf-ове – например един сертификат от GoDaddy е подписал 300 224 сертификата ,един от Equifax – 244 185
• много от организациите споделят ключове – открити са над 80 уникални ключа, които се използват в различни сертификати на ауторитита
• над 6000 сертификати за localhost, частни IP адреси и т.н.
• root CA сертификати, които не се използват ( но браузера ви им се доверява )
• Интересни организации, които притежават CA сертификат – например Department of Homeland Security, Etisalat,  Dell, Ford, Google, Marks and Spencer и т.н.

ето цялата презентацията от DefCon, препоръчително четиво, ако темата ви е интересна. Също така е достъпна карта на 650+ организации, които могат да издават сертификати.

В скоро време се очаква проекта да публикува цялата събрана информация ( включително събраните сертификати ), както и да направи няколко допълнителни анализа.

По принцип нямам нищо против малките коли, даже напротив… Ама с този цвят няма никакво оправдания.

И малко петъчна простотия с IT музикални интерпретации

С всички методи и трикове за подслушване на мобилни телефони, компанията Whisper systems е разработила приложения, които позволяват криптиране на разговорите ( RedPhone ) и текстовите съобщения ( TextSecure). RedPhone използва ZRTP и VoIP, но не използва SIP gateway, а изгражда директна връзка към другият телефон чрез безжична мрежа или 3G. Единственото участие на самата фирма в комуникацията е изпращането на съобщение до получателят на разговора, за да може да се инициализира връзката. Тъй като цялата комуникация е криптирана, връзката не може да бъде проследена.. TextSecure от своя страна използва OTR ( AES криптиране + DH обмяна на ключовете и SHA-1 хеш ). За момента и двете приложения са достъпни като beta версии за Android, но компанията ( чиито основател е Moxie Marlinspike ) планира да публикува и двата софтуера като отворен код. За съжаление до момента се поддържат само номера в САЩ, а поддръжката на международни номера е обещана.