Nemški strokovnjak za kriptografijo Karsten Nohl bo prikazal vdor na konferenci, kjer se zberejo eksperti za računalniško varnost (Black Hat, od 31. julija 2013 [1]. Njegova originalna objava je na [2].

Objavi dveh tujih medijev ([3] in [4]) opisujeta bistvo problema, članek Forbes je pri tem bolj podroben. Gre za starejše kartice SIM, ki uporabljajo za današnje razmere premalo varen kriptografski standard DES (Data Encryption Standard). Ker DES uporablja 56-bitne šifrirne ključe, je možno ugotoviti ključ DES določene kartice SIM zgolj z enim sporočilom, ki je podpisano s takšnim ključem. Prav to Nohlov napad izkorišča, saj naprava na slabo formiran paket vrne nazaj sporočilo napake, ki vsebuje kriptografski podpis.

V preteklosti je bilo najbolj znano razbitje šifre DES leta 1998, ko so člani skupine EFF (Electronic Frontier Foundation) s sestavljeno napravo imenovano Deep Crack odkrili ključ šifriranega sporočila v 56 urah [5]. Res so s tem prejeli razpisano nagrado družbe RSA v vrednosti 10.000 USD z napravo, katere strošek je bil 250.000 USD … Drugo znano odkritje je bil projekt COPACOBANA [6], ki uporablja le dostopna elektronska vezja in povprečno odkrije ključ DES v 7 dneh za ceno 10.000 USD (oz. manj v skladu s padcem cen vezij).

Ključ DES kartice SIM

Karsten Nohl trdi, da lahko odkrije ključ DES ranljive kartice SIM v dveh minutah s pomočjo t.im. “mavričnih tabel” (prevod v [7], najboljša razlaga pa v [8], Wikipedia ima za to geslo tudi za eksperte težko razumljiv sestavek). Čeprav so tudi te tabele obsežne, to danes ni več težava (npr. znana dobra tabela za DES obsega 566 GB).

Še večja odkrita ranljivost, ki je navedena v Nohlovi objavi, pa so aplikacije v programskem jeziku Java. Te so lahko ranljive na takšni kartici SIM (razlaga je prav tako v [2] in v navedenih virih spletnih medijev). Največja zloraba poleg možne kraje identitete (“napadalec” se predstavi z identiteto naprave za npr. dostop do določene spletne storitve) je sproženje plačila za določeno storitev oz. izdelek na npr. mobilni strani v dobro napadalca.

Omenjena plačilna identiteta je lahko vgrajena v kartico v sodelovanju s ponudniki kreditnih kartic (MasterCard, VISA, …), ki jim je to seveda interes. Nohlov vdor – če kombinacija mobilne naprave in kartice SIM ne omogoča direktnih plačil – omogoči tudi kopiranje (“kloniranje”) kartice in uporabo plačilnih možnosti v za to ustrezni napravi s klonirano kartico.

Mobilni operaterji v tujini naj bi že bili obveščeni in naj bi predstavili popravek (ang. “patch”, gre za popravek kode v kartici) v okviru mednarodne zveze GSMA [9].

Kako do varne kartice SIM?

Ker je ocenjeno število “nevarnih” kartic SIM okrog 1/8 vseh, kar naj bi znašalo 750,000.000 kartic (od cca. 6 milijard vseh kartic v svetu!) in ker vdor ter kopiranje kartice SIM po vsem napisanem ni nedolžno, bi bilo smiselno, da mobilni operaterji v Sloveniji čimprej pristopijo k analizi oz. ugotovitvi vseh “nevarnih” kartic v lastnih omrežjih ter za le-te začnejo pripravljati ustrezne popravke.

Popravke je možno prenesti “preko zraka” (s komunikacijskimi metodami OTA, ang. “Over The Air” [10]) enako kot se običajno nameščajo aplikacije za mobilne telefone. Prenos lahko sproži mobilni operater, toda mobilna naprava mora biti seveda vključena. In lepo bi bilo, da bi bil uporabnik (prej) obveščen, sploh če popravek ne uspe (in uporabniku naprava prikaže sporočilo o tem, kar lahko pri neveščih uporabnikih sproži različne reakcije).

Če popravka nevarne kartice SIM ni možno prenesti prek zraka, potem se mora uporabnik takšne kartice oglasiti v podružnici operaterja ali prenesti popravek npr. prek povezave USB z osebnega računalnika ipd.

Pomembno je, da bodo popravki za nevarne kartice SIM čimprej na voljo in da uporabniki takšne kartice čimprej namestite popravek nanjo. Karsten Nohl sicer trdi, da bo trajalo 6 mesecev, da bodo zlonamerni hekerji ponovili postopek, v tem času pa naj bi vsi igralci v brezžični industriji ponudili popravke. Zaradi hitrosti računalniških kriminalcev, dostopnosti dokumentacije ponudnikov mobilnih naprav ter nenazadnje objavljenega “recepta” se lahko vdori v kartice SIM začnejo dogajati pred januarjem 2014.

Počakajmo na uradna obvestila mobilnih operaterjev in predvsem jeseni 2013 rešimo težavo na VSEH mobilnih napravah oz. karticah SIM, ki so lahko ogrožene. K sreči so novejši kriptografski standardi (3DES in AES) dovolj varni, mobilne naprave pa vsako leto hitrejše, tako da je uporaba bolj varnih mehanizmov, ki jih nima smisla razbijati, že praktična (hitrost!) in smiselna. Povedano drugače, drugega podobnega popravka ne bo. Če bo prvi dober!

VIRI:

[1] http://www.blackhat.com/us-13/briefings.html#Nohl

[2] https://srlabs.de/rooting-sim-cards/

[3] http://www.forbes.com/sites/parmyolson/2013/07/21/sim-cards-have-finally-been-hacked-and-the-flaw-could-affect-millions-of-phones/

[4] http://www.zdnet.com/des-encryption-leaves-sim-cards-vulnerable-to-exploitation-7000018352/

[5] http://en.wikipedia.org/wiki/EFF_DES_cracker

[6] http://www.copacobana.org/

[7] http://www.islovar.org/izpisclanka.asp?id=10123

[8] http://www.monitor.si/clanek/gesla-in-napadi-nanje/122762/?xURL=301

[9] http://www.gsma.com/

[10] http://en.wikipedia.org/wiki/Over-the-air_programming

Piškotki od A do Ž

Piškotke je uvedel brskalnik Netscape Navigator (eden prvih spletnih brskalnikov, mlajše generacije tega ne sploh ne vedo več). Gre za kratke, največ 4.000 znakov dolge datoteke, ki se shranijo v lokalnem (vašem) računalniku oz. drugi napravi, s katero dostopate do spleta.

Spletni strežniki namreč samostojno pa tudi z drugimi spletnimi skriptami in aplikacijami lahko pošljejo odjemalcu do 255 znakov uporabnih informacij. Te lahko npr. spletni brskalnik shrani in vam s tem olajša ponovni obisk spletišča. Piškotek lahko vsebuje npr. vašo priljubljeno ozadje spletišča, ki ste ga nastavili, pa tudi npr. priljubljene izdelke v košarici, ki jih še niste kupili (to zadnje sicer manj uporabljano). Dokler so ti piškotki shranjeni pri vas, jih lahko spletna stran koristno uporabi za prilagoditev vaše uporabniške izkušnje.

Piškotke spletni brskalniki shranijo na (lokalni) disk, vsaj 300 vseh skupaj oz. do 20 za isto domeno (spletno stran). Lahko jih kadarkoli pobrišete prek menujev brskalnika, so pa v smislu poškodovanja računalnika ali okužbe z računalniškimi virusi popolnoma nenevarni.

In kaj ima EU s piškotki?

Svoboda v Evropski uniji je seveda visoko zastavljena vrednota. Zato dve direktivi EU opisujeta zasebnost, storitve in pravice uporabnikov elektronskih komunikacijskih omrežij in storitev (Direktiva 2002/58/ES in še posebej Direktiva 2009/136/ES – PDF). In ker so uradno omenjeni tudi piškotki, Slovenija kot članica EU pa mora uvesti evropsko zakonodajo tudi lokalno, je bil konec leta 2012 spremenjen Zakon o elektronskih komunikacijah (Zekom-1).

Za piškotke je zanimiv le 157. člen, ki pa ne predpisuje podrobno, kateri piškotki so dovoljeni s posrednim dovoljenjem obiskovalca spletnih strani (kot je to zmotno napisalo neko slovensko spletno podjetje). Razširjeno razlago tega člena je napisal informacijski pooblaščenec RS v smernicah “Kdaj lahko uporabljamo piškotke? (PDF)”. Na kratko o tem v nadaljevanju, Zekom-1 pa je določil obvezno uporabo v praksi (v spletnih straneh) v petih mesecih po začetku veljavnosti zakona 15. januarja 2013, torej 15. junija 2013.

Vrste piškotkov

Ne za peko, ampak za vaše brskanje. Vsaj vedeti morate, da ločimo začasne piškotke, ki so večinoma veljavni le v času vašega obiska določene spletne strani (in nato potečejo, tako kot poteče rok kolačkom, če jih ne pojeste prej :-)). Za vaše varovanje podatkov oz. zasebnost so bolj “nevarni” trajni piškotki. Ti lahko izvirajo iz samega spletišča, ki ga obiskujete, lahko pa tudi od neke tretje osebe (oglaševalske mreže, ki prikazuje oglase na spletni strani).

Kar je najbolj pomembno, je to, da lahko kot lastnik spletne strani še naprej uporabljate piškotke, ki so nujni za pravilno delovanje spletišča, omogočajo uporabnikom na njihovo lastno željo določene prilagoditve (npr. barve ozadja, pisavo besedil ipd) pa tudi deljenje vsebin v družabnih omrežjih z dodatki, ki jih ima nameščena spletna stran. Dovolj je, da uporabnikom to le poveste – opozorite, kot na tej strani spodaj – in jim to opišete v pogojih uporabe. Za boljšo informacijo priporočam, da tudi naštejete piškotke, ki jih vaša spletna stran uporablja, z razlogi za njihovo uporabo.

Vkolikor imate v spletnih straneh oglase raznih oglaševalskih mrež (npr. Google AdSense), lahko en sam klik nanje doda piškotek za določen interes ali določeno podjetje v vaš brskalnik. Še huje, če gre za t.im. ponovno ciljanje oz. sledenje, boste morda tako kot jaz kar naprej videvali oglas istega podjetja tudi na drugih spletnih straneh. Takšne piškotke povprečen uporabnik težko sam pobriše (razen če pobriše vse, kar ni vedno najbolje) in zato morate v tem primeru v spletno stran dodati skripto, ki NE omogoča shranjevanja takšnega piškotka, če se spletni uporabnik s tem ne strinja.

Kako lahko piškotki postanejo spet slastni?

Če ne uporabljate skript oz. dodatkov tretjih oseb, ki spadajo v kategorijo piškotkov, ki niso nujni za funkcionalnost spletišča, večjih težav ne bo. Dodajte skripto, ki bo le obvestila uporabnike, da spletna stran uporablja piškotke. Spletišče Prezentacija se izvaja na WordPressu in uporablja dodatek Cookie Law Info. Za vsa druga spletišča je več rešitev na voljo, meni je všeč odprtokodni (brezplačni) Cookie Consent.

Prilagoditev piškotnih skript za spletišče zahteva nekaj minut do nekaj ur. Vse piškotke lahko fino pokaže Googlov brskalnik Chrome (z nameščenimi razvojnimi orodji za spletne razvijalce), pri čemer morate paziti, da obiščete vse strani (tudi z oglasi), ki lahko zapišejo piškotke obiskovalcu strani.

Seveda se bodo in se že pojavljajo zaslužkarji, ki delajo s temi piškotki slona iz muhe. Ali pa vsaj vztrajajo, da morate dodati takšno informativno skripto, četudi vaše spletišče morda sploh ne uporablja piškotkov. DODATEK 03.06.2013: v praksi skoraj vsak spletni strežnik pošlje piškotek ne glede na vaše spletne strani.

No, če imate spletno stran in so piškotki pretrd oreh, pardon, pretrdo testo za vas po vsem zgornjem, vam lahko tudi pomagam. Ne za nekaj sto evrov kot lahko pričakujete ponudbo spletnih agencij, ampak čas seveda je denar. Zdaj pa njam, piškoti!

Kaj je to drugo življenje? Prevod izraza Second Life je lahko slovensko ime za družabno omrežje, ki je še leta 2007 polnilo časopise. V njem ste lahko navidezno (iz)živeli svoje fantazije. Ustvarili svoj virtualni nadomestek (ali avatar). Celo kupili hiše, pohištvo in obleke z navideznim denarjem (ki ga je bilo kasneje možno tudi zamenjati s pravim – nekateri posamezniki so celo obogateli).

Družabna komponenta Second Life je bila (no, je še) srečevanje ljudi, spoznavanje novih prijateljev in tudi zaljubljanje. Lahko ste postali tudi odvisni od tega drugega življenja in preživeli v navideznem svetu več ur dnevno. Tudi podjetja so odprla svoje virtualne pisarne, oblikovalci svoje salone in časopisne hiše svoje podružnice. In zakaj je vse skupaj – vsaj v medijih – zamrlo?

Tehnični problemi Second Life

Eden od vzrokov neuspeha Second Life so lahko tehnični problemi. Novi člani morajo namestiti posebno programsko opremo za igranje. To je privabilo hekerje in čeprav so avtorji aplikacije popravili varnostne luknje, veliko članov še zdaj uporablja starejše verzije in so s tem ogroženi.

Linden Labs (avtor Second Life) je javno kritiziral svoje člane. Podjetje je sovražilo senzacionalne zgodbe v časopisih in trdilo, da Second Life ni namenjen družabnemu mreženju (ta izjava je po mojem mnenju velika napaka). Seveda so želeli privabiti podjetja in izobraževalne ustanove. Tudi FBI je posredoval s preiskavo o nelegalnih igrah na srečo itd.

Kar je najtežje, je izdelava in upravljanje avatarja. Za oboje potrebuješ čas, pa še obiskovalci Second Life morajo ustvariti svoj lasten svet. Investirati denar. In v vse obleke, hiše in druge elemente igre, ki so seveda imeli svojo ceno.

Naslednja generacija je pokopala Second Life

Močna konkurenca družabnih omrežij kot so Facebook, Twitter in tudi Google Plus ni premaknila avtorjev Second Life. Ta novejša omrežja so seveda preprosta in – takojšnja. In enostavno prenosljiva na zadnjo modo danes – pametne mobilnike. Second Life ne more izkoristiti prednosti mobilnih tehnologij, torej …

To leto (2011) je Linden Labs zmanjšal število zaposlenih za 30 odstotkov. Članov omrežja imajo sicer še dovolj. Vsaj univerze in podjetja uporabljajo Second Life za svoje virtualne razstave in konference. Kaj pa vi menite o prihodnosti Second Life?

Slika iz mediaspin.com, licenca CC 2.0.

To vam odgovorim v spodnjem video posnetku. Ni nujno, da boste za Facebook HTTPS povezave potrebovali lasten certifikat. Če ne uporabljate posebnih zavihkov prek aplikacij za Facebook, potem bo vaša Facebook stran ostala enako dostopna – pač prek komunikacijskega protokola SSL (ang. Secure Sockets Layer).

Če pa imate posebne zavihke predvsem za pristajalno stran, potem je odvisno od aplikacije, ki ste jo uporabili. Ta mora že imeti podprto delovanje prek povezave HTTPS. To je sedaj obveza za vse aplikacije v Facebooku. Za svojo lastno aplikacijo torej vsebine, ki se prikažejo z vašega spletnega strežnika (gostovanja), pa potrebujete certifikat SSL.

Tukaj imate tri možnosti (če ne boste vsega naredili sami):

1. Storitev prepustite podjetju, ki vam bo vse uredilo.
2. Sami kupite certifikat SSL in naročite le pomoč pri njegovi namestitvi ter konfiguraciji vaše Facebook strani.
3. Gostujete (prestavite) vašo Facebook stran k podjetju, ki že ima nameščen certifikat SSL.

Podrobnosti za Facebook HTTPS vam razloži spodnji video:

Vaša Facebook HTTPS stran?

Poglejte video (še enkrat), preverite potrebo po vašem certifikatu SSL in se odločite za eno od možnosti. Saj nočete, da boste brez Facebook HTTPS varne strani nedostopni za vaše ciljne uporabnike? Pišite na https@spletin.net, obiščite pa tudi Facebook HTTPS gostovanje.

Ena glavnih težav Facebooka je zasebnost. Ne gre le za razne informacije, kako Facebook pač uporablja naše informacije (namig: pri vsaki skupini oz. strani, ki vam je všeč, se interesno področje všečkane vsebine doda v vaš profil, kar je potem odlično za oglaševalce – ko ti izberejo to področje za oglas, se bo prikazoval tudi vam ipd). Gre tudi za to, s kom delite informacije osebno, poslovno in še kako drugače.

In tu je Google Plus s konceptom krogov naredil ogromno. Ustvarite svoje kroge npr. za delo, prijatelje, hobi in druge ter vanje dodajate vaše kontakte. Želite poslati sporočilo samo določenemu krogu? Ni težav, samo izberete ga pri naslovnikih. Facebook? Samo pri skupinah deluje ta funkcija kolikor toliko dobro (pošljete le izbrani podskupini in prejemnikom), drugje – veliko sreče.

Naprej o zasebnosti Google Plus. Nastavljanje dostopa do osebnih informacij s strani spletišč in aplikacij je precej bolj enostavno kot pri Facebooku. Očitno so za Google Plus preučili strah uporabnikov in se zelo potrudili. Kljub temu, da vaše interese pridno beležijo (zakaj ste pa mislili, da je Google Mail brezplačen?). Lahko pa shranjene informacije hitro pobrišete (npr. spletna zgodovina), ker je Google zvito pač vse Google profile spremenil v Google Plus profile (no, ko se prvič prijavite).

Še je nekaj “ocvirkov”, ki jih pri Facebooku ni več. Npr. ko napišete status in prilepite hipertekstno povezavo. Facebook vam bo ponudil pripetje povezave in izbiro slike, ki se bo prikazala zraven opisa. Google Plus za zdaj doda le zadnjo sliko na tej strani. Ampak to bodo po moje hitro popravili. Je pa zato prikaz video posnetkov pri Google Plus boljši – in ga lahko tudi preprečite, če ljudje niso povšečkali zapisa z gumbom +1. Hmm, to bi znalo biti še bolj viralno kot pri Facebooku.

Malo pomoči za Google Plus?

Dvoje, da boste imeli še malo koristi od tega prispevka. Najprej bližnjice pri pisanju statusov Google Plus:

*beseda* – spremeni beseda v krepek tisk
(torej zvezdice okrog besede jo odebelijo)

_beseda_ – spremeni beseda v poševno lego
(torej podčrtaji okrog besede jo nagnejo)

-beseda- – spremeni beseda v prečrtano
(torej vezaji okrog besede jo prečrtajo)

In druga pomoč – seveda uporablja Google Plus isto taktiko za nove člane kot pri Google Mailu. V začetku, dokler se nova storitev ne uveljavi, niso odpravljene vse napake in še ni dovolj marketinškega zanimanja – naredijo možnost prijave le za povabljene. In ti lahko pošljejo vabila drugim itd. Mimogrede, podjetja se na Google Plus trenutno ne morejo prijaviti (gre za osebne profile), toda nekateri to že izkoriščajo.

Torej, če potrebujete povabilo (ang. invite) za Google Plus, vnesite komentar spodaj izberite to povezavo. Spremljam in čim dobim sporočilo, vam z omrežja V Google Plus pošljem povabilo se samo še prijavite. Bom sam uporabljal Google Plus? Bom, zaradi urejenih krogov, za glavno komunikacijo pa za zdaj še uporabljal druga družabna omrežja. Ampak po Google Buzz in Google Wave se zna tale Google Plus obdržati še dolgo.

Najprej spet graja računalniškim podjetjem (ja, tudi moje je), da uporabljajo izraze kot (ang.) newsletter, mailing list, e-mail lista itd (kar pa od mene ne boste slišali). Tako ne boste pridobili lokalna podjetja, ki jim ta pojem ni znan. Pišejo časopis ali, če želite, e-časopis, toda ko se bo e-poštni marketing popolnoma uveljavil in naše babice, mame in mi ne bomo več zavijali solate v časopis, bomo verjetno tudi e-časopisu rekli le – časopis.

Osnova za e-poštni marketing je seveda zbiranje podatkov obiskovalcev, vsaj e-naslov, v zameno za nekaj brezplačnega. Tudi v tem spletišču je tako. Ampak ime in priimek vaši spletni obiskovalci neradi vnesejo, zato bi bilo dobro, da to počasi opustite. Pa še več prijav boste tako imeli. In kako obveščati vaše prejemnike, kaj počnete, ter hkrati objavljati časopis. Poglejte spodnji video (klik na video za pavzo/nadaljevanje):

E-časopis za vaš e-poštni marketing

V videu ste videli preprost recept, kako obenem pišete e-časopis (kot blog – lahko je le dodatni del vašega spletišča), napišete nekaj dodatnih stavkov vašim prejemnikom in nato avtomatsko pošljete e-pošto po objavi vašega novega zapisa v e-časopis. Bolj preprost e-poštni marketing je že težko izvesti.

Res je, da preden boste karkoli prodali, boste morali poslati najmanj 7 sporočil (v zadnjem času tudi 12, odvisno od tržne niše), preden vam bodo vaši prejemniki dovolj zaupali. Toda takšen e-poštni marketing ni zapleten, ne? Saj pišete o tem, kar znate! Za pomoč pri vašem e-časopisu in e-poštnem marketingu me kontaktirajte in ne pozabite – razdajajte znanje! Zaradi zakona o privlačnosti se vam bo to povrnilo.

Seveda se morate odločiti, komu kaj ponujate. Ali drugače povedano, poiščite vašo tržno nišo, v kateri boste s svojim znanjem lahko dosegli poznavanje, naklonjenost in zaupanje. Če nimate lastnega znanja, uporabite odlične vire, lastno raziskovanje in/ali pomoč drugih ljudi.

Spodnji video prikazuje nekaj razmišljanja o PNZ-ju, e-listah in enem od načinov pridobivanja poznavanja (klik na video za pavzo/nadaljevanje):

Kako povečati poznavanje, naklonjenost in zaupanje?

Oglejte si video. No, uvrstitev vaše fotografije vsepovsod je le ena od možnosti. Poskrbite, da vas večkrat vidijo oz. berejo novosti z vaše strani – ampak le, ko imate kaj koristnega za povedati. Vsakdanje “bombardiranje” zgolj zato, da bi ohranjali npr. čimvečji doseg branosti na Facebooku, se lahko obrne tudi vam v škodo (in podobno – zaradi pripombe ene od bralk zapisov tega bloga sem začasno ustavil obveščanje prek e-pošte – čeprav ne gre za neželeno pošto!). Povečujte vaše poznavanje, naklonjenost in zaupanje z enim od samo treh namenov – prejemniku vašega sporočila skrajšati čas, prihraniti denar ali zaslužiti denar. Vse drugo je manj pomembno.

Dodatno znanje je v optimizaciji spletne strani. Kako lahko postavite spletne strani v manj kot 5 minutah, jih enostavno urejate in kadarkoli prenesete drugam, si oglejte v spodnjem videu (klik na video za pavzo/nadaljevanje):

[flashvideo file=http://www.prezentacija.si/video/spletne-strani-niso-le-cenik.f4v image=http://www.prezentacija.si/blog/wp-content/uploads/spletne-strani-niso-le-cenik.jpg width=512 height=288 /]

Spletne strani brez obveznosti – 17 let izkušenj

Pa vaše spletne strani? Verjamete ponudnikom, ki sami nimajo “optimiziranih” spletnih strani? Ne bi raje imeli gostovanje brez obveznosti, s samostojnim urejanjem in mirnim spanjem – ter več kupcev – za 97 EUR letno? Kontaktirajte me za več – in še video cenik spletnih strani.