Koniec bezpečnosti Vašich platobných kariet? Hackeri objavili brutálnu chybu v bezdrôtovom protokole platobných terminálov!

Koniec bezpečnosti Vašich platobných kariet? Hackeri objavili brutálnu chybu v bezdrôtovom protokole platobných terminálov!

Chcel by som upozorniť všetkých na veľmi závažnú bezpečnostnú chybu bezdrôtových platobných terminálov, ktoré sú hojne využívané v celej Európe, v reštauráciách, v hoteloch, na pobočkách mobilných operátorov a všade možne. Tím bezpečnostných analytikov z Berlína odhalil brutálnu chybu typu „fault-by-design“ v komunikačnom bezdrôtovom protokole platobných terminálov bánk a platobných inštitúcií, s ktorými sa stretnete prakticky všade. Ochrana proti tomuto útoku spočíva jedine tak, že platobný terminál pripojí predajca alebo obchodník k svojej sieti klasickým sieťovým káblom a zakáže bezdrôtovú komunikáciu terminálu s platobným serverom, ale zariadenia sú podľa všetkého zraniteľné aj po internete, bez ohľadu na spôsob pripojenia terminálov k sieti, takže čo teraz? Platiť v hotovosti?

Video s českými titulkami ukazuje model útoku pre bežných užívateľov. Ako varovanie je to myslím dostatočný príklad. Samotná chyba a jej využitie útočníkom je vo videu zámerne urýchlená, aby televízia RT nemohla byť z niečoho obvinená. Hoci v minulosti existovalo mnoho typov útokov na platobné terminály, táto nová metóda je iná. Využíva chybu v komunikačnom dizajne samotného protokolu.

Exploit spočíva v podstrčení kryptografického kľúča pri zadávaní pinu do terminálu cez bezdrôtovú sieť, ktorou je terminál pripojený k platobnému serveru predajcu. Útočník čaká na okamih, keď obeť odošle PIN z klávesnice. PIN sa zakóduje kryptografickým kľúčom (protipodpisom) útočníka, namiesto podpisu legitímneho servera. Terminál si totiž nijako na úrovni protokolu neoveruje autoritu kľúča, pretože ani nemá ako. Po odoslaní PINu obete platba zlyhá, pravý server ju odmietne, lebo kryptografický kľúč nesúhlasí. Avšak útočník získa PIN a všetky údaje o karte v poriadku, pretože obeť zakryptovala informácie z terminálu práve kľúčom útočníka.

Táto brutálna chyba je typu „fault-by-design“, teda je priamo súčasťou samotného návrhu protokolu platobných terminálov a jej náprava bude znamenať prepísanie celého protokolu a systému overovania podpisových autorít. Banky sa do zmeny protokolu nehrnú, pretože to nie je len tak. Každý nový protokol musí prejsť mnohými auditmi a skúškami a jeho zavedenie musí byť schválené na mnohých úrovniach.

Postihnuté sú menovite terminály ZVT a Poseidon, ale tiež Verifone, ktoré sú v Európe prakticky všade. Výskumníci zistili, že všetky terminály používajú jeden rovnaký master key, čo je niečo úplne neuveriteľného, ​​ako niečo také mohlo prejsť bezpečnostnými bankovými auditmi pred viac ako 15 rokmi. Každý terminál sa tak môže správať ako iný terminál. To je jednoducho neslýchané.

Odporúčam sa vyhnúť všetkým platobným terminálom, ktoré nie sú pripojené k pokladni drôtom. Ak Vám predajca dá do ruky platobný terminál a nevedie z neho žiadny kábel, ide o bezdrôtový terminál, ktorý je zraniteľný instantne, to znamená okamžite, a to niekým v okolí. Použite k platbe zásadne hotovosť v takomto prípade.

zdroj: aeronet.cz

Hackeri diaľkovo nabúrali auto s vodičom. Vzniká obrovský problém

Hackeri diaľkovo nabúrali auto s vodičom. Vzniká obrovský problém

Na diaľku a odkiaľkoľvek. Hackeri ukázali bezpečnostnú hrozbu áut.

Už v minulosti sa objavili prípady, ako sa hackeri dostali na diaľku do auta. Dokážu otvoriť dvere či naštartovať auto. Teraz sa však problém s bezpečnosťou posunul na novú úroveň. Redaktor magazínu Wired predviedol s dvojicou hackerov, kde siaha problém súčasných áut.

Charlie Miller a Chris Valase objavili doteraz neznámu chybu v softvéri áut. Redaktora pri pokuse posadili do nového Jeepu Cherokee. „Nech sa deje čokoľvek, nepanikár,“ znel pokyn od hackerov. Ten mu mimochodom prehrali do reproduktorov v aute.

Redaktor Andy Greenberg tak nasadol a šoféroval. Podľa jeho slov sa ani nemusel ničoho dotknúť a auto zrazu nastavilo klimatizáciu na minimum, zaplo rádio či stierače. A bolo úplne jedno, že Andy chcel vypnúť auto kľúčom.

Počas toho, ako šoféroval auto na rýchlostnej ceste, mu hackeri na diaľku znížili výkon. Predbiehali ho kamióny, trúbili naň a podľa slov Andyho po tom, čo hackeri začali zasahovať do riadenia auta, experiment prestal byť zábavou.


[clear]

Totálna kontrola

V tejto situácii sa neocitol po prvýkrát. Andy s dvojicou hackerov testoval podobné správanie auta už pred dvomi rokmi. Vtedy však museli sedieť v rovnakom aute a byť pripojení priamo cez kábel do systému auta. Boli to ešte „upokojujúce obmedzenia“. Dvojicu chlapov na zadnom sedadle by ste si všimli, no teraz, o dva roky neskôr je úplne jedno, kde na svete bude hacker sedieť.

Andy pri šoférovaní už chcel pri tom, čo mu hackeri zatiaľ len znížili výkon auta, zavolať, aby experiment ukončili, no neurobil to. Dvojica útočníkov však mala v zálohe omnoho viac. To však už predvádzali na prázdnej ploche bez áut.

V nižších rýchlostiach dokázali vypnúť motor, znížiť výkon bŕzd či ich úplne deaktivovať alebo jednoducho len sledovať auto cez GPS. Pri jednom z pokusov však hackeri znížili výkon bŕzd natoľko, že Andy auto nedokázal zbrzdiť a skončil v priekope. Nič sa mu, našťastie, nestalo a odniesla si to len predná maska.

Hackeri však dokonale demonštrovali svoju moc. Za pomoci neobjavených chýb sa dokážu úplne zmocniť auta. Aktuálne majú pracovať na tom, aby dokázali točiť s volantom aj počas jazdy. Moderné autá totiž majú napríklad parkovacieho asistenta, ktorý vie autonómne točiť s volantom. No len ak auto cúva. A práve len vtedy dokážu hackeri volant ovládať. To chcú zmeniť.

Jeep po útoku v priekope. Snímka: Wired.com

Jeep po útoku v priekope. Snímka: Wired.com


[clear]

Diaľkovo ovládané autá

Hororový scenár, keď útočník rozbehne auto na 200 kilometrov za hodinu a potom ho strhne do priekopy, nemusí byť už dnes veľké sci-fi.

Kľúčom k celému systému je pripojenie na internet. V testovanom aute stačilo, aby bol telefón spojený so systémom v Jeepe. Konkrétne cez Uconnect. Jediné, čo potrebovali, je poznať IP adresu. „Z pohľadu útočníka je to krásna zraniteľnosť systému,“ povedal Miller.

Prezentovať možnosti útokov a to, ako im zabrániť chce Charlie Miller a Chris Valase na konferencii Black Hat v Las Vegas, ktorá bude približne o mesiac. Hackeri však nie sú úplní blázni a ešte pred deviatimi mesiacmi upozornili koncern Fiat Chrysler na chybu v ich systéme. A od 16. júla by mala byť vydaná nová aktualizácia systému.​

Možnosti sú podľa hackerov pri zanedbaní bezpečnosti obrovské. Dokáže prepísať softvér auta a úplne zmeniť jeho vlastnosti. Pri konferencii, kde odtaja viaceré detaily pri svojom útoku na autá, zverenia aj časť kódu. Cez neho by malo byť možné auto sledovať či ovplyvňovať niektoré jeho systémy.


[clear]
Jeep však nie je jedinou automobilkou, ktorá má problémy. Elektronika mení autá na pojazdné počítače, a tie dokážu chybovať. Volkswagen musel napríklad pred dvomi rokmi súdne zakázať zverejniť chybu v ich systémoch, aby nebolo možné otvárať ich autá. Toyota musí aktuálne zvolať cez pol milóna áut, pretože ich je možné za jazdy vypnúť. Problémy sa nevyhýbajú ani luxusným automobilkám.

BMW tento rok odstránilo niekoľkoročnú chybu, kde bolo možné ich autá otvárať cez internet na diaľku, či aktuálny problém Range Roveru v USA, v ktorom sa môžu kedykoľvek počas jazdy otvoriť dvere.

zdroj: style.hnonline.sk

POZOR na nebezpečnú podvodnú správu – Hackeri Vám môžu vybieliť účet

POZOR na nebezpečnú podvodnú správu – Hackeri Vám môžu vybieliť účet

Internetom sa šíria podvodné správy, ak im uveríte, môžete prísť o svoje peniaze na účte. Ako?

[clear]

Podvodná správa znie takto:

Vážený zákazník

Dňa 15.06.2015 naše bezpečnostné internetové zabezpečení zjistil pokus o prihlásenie do vášho účtu, ktorý mátě vedený v našej Tatrabanke a to z nám neznámej IP. adresy v Ruskej federácii.

Prosím pre potvrdenie vašej informácie kliknete tu.

buděte neodkladně kontaktovaný naším bezpečnostným pracovníkom, ktorý s vami provede nězbyzné kroky k vylepšení zabezpečení Vášho účtu. Zároveň vás chceme ubezpečit, že naše bezpečnostné oddělení detekovalo hrozbu včas, a preto sa nemusítě obávať straty či zneužití vašich finančných prostriedkov.

Ďakujeme za pochopenie a těšíme sa na vašu buduců spolupráciu.

Michal Liday
Vaša Tatrabanka
[divider]

Ako postupovať?

V žiadnom prípade nevypĺňajte takýto formulár.

Ide o takzvaný phishing, na tieto e-maily neodpovedajte. Banky nikdy od klientov nežiadajú overenie ich citlivých údajov takýmto spôsobom.

To sa týka tak e-mailovej, ako aj telefonickej komunikácie. Na takýto e-mail nikdy neodpovedajte, ani neklikajte na jeho prílohy alebo linky.
Ak ste reagovali na výzvu na vyplnenie vašich citlivých údajov, ktorá vám bola doručená e-mailom, v záujme vašej bezpečnosti je potrebné ihneď kontaktovať Vašu banku.

Upozornite svojich známych, zdieľajte a prepošlite tim túto správu.

USA začali rozmiestňovanie svojich vojsk na Ukrajine, ruskí hackeri získali zoznam vojenských inštruktorov, medzi nimi sú aj dvaja Slováci.

USA začali rozmiestňovanie svojich vojsk na Ukrajine, ruskí hackeri získali zoznam vojenských inštruktorov, medzi nimi sú aj dvaja Slováci.

České odvody sa urýchli! Dzeržinského ohlasovacej zákon o trvalom pobyte bude platiť aj v ČR!

Spojené štáty začali prípravnú fázu na rozpútanie vojnového konfliktu s Ruskou federáciou. Pred dvoma dňami začali americké transportné lietadlá privážať na letisko vo Ľvove amerických výsadkárov na Ukrajinu, napriek tvrdeniu slovenských a všeobecne západných médií, že do krajiny prídu len inštruktori. Video nasnímané skrytou kamerou zachytilo deployment výsadkovej jednotky americkej armády, podľa ruskej televízie boli identifikovaní ako príslušníci 101. výsadkovej brigády americkej armády (podľa zdroja UNIAN 137. brigády). Ich úloha nie je jasná, teda okrem oficiálneho oznámenia Kyjeva, že prišli na cvičenie, však podľa ruských médií bude ich úlohou na Donbase pozemná činnosť a podobné úlohy, ktoré plnili v Iraku v bojoch o Basre, teda pozemné zameriavanie objektov pomocou laseru pre navádzanie riadených striel .

Rusko de facto odhalilo, že vyslanie poradcov a inštruktorov na Ukrajinu, ktorí majú pomôcť vycvičiť ukrajinskú armádu, je len zastierací manéver, ktorý má zakryť vojenské pohyby lietadiel a materiálu z Európy na Ukrajinu. Ruskí hackeri získali zoznamy poradcov a inštruktorov, ktorí majú prísť na Ukrajinu, aby cvičili vojakov UA. Na ňom sú aj dvaja Slováci, Ivan Bela a Martin Joskak. Zoznam je veľmi skromný (58 mien), ak vezmeme do úvahy, že Ukrajina má hneď po Rusku najväčšiu armádu v Európe, tak zoznam sotva šesťdesiatich inštruktorov to asi nevytrhne. O to viac je jasné, že ide len o zastierací manéver, ktorý má odviesť pozornosť médií od prípravnej fázy na otvorenie južného frontu pre vpád do Ruska pod nejakou zámienkou. Úplne rovnaké divadlo teraz prebieha v Pobaltí, kde Američania chystajú zázemie pre vytvorenie severného frontu.

Američania vyslali na Ukrajinu jednotku 101. výsadkovej brigády, príprava na vojnu s Ruskom začala.

Už koncom marca priniesli talianske médiá informáciu, že z amerických základní v Európe je odvážených 50 obrnených bojových vozidiel Bradley vlakom na Ukrajinu, a to na príkaz prezidenta Obamu. Len ťažko sa dá predpokladať, že to majú byť „služobné autá“ pre tých inštruktorov. Rakúsko silne protestovalo kvôli prejazdu vlaku a vzápätí informovalo ruskú ambasádu vo Viedni, že s transportom nevydalo súhlas. Rakúsko má totiž s Ruskom dohodu o neutralite, ktorá podmieňuje, že Rakúsko nedovolí využiť svoje územie pre presuny cudzích vojsk. Podobne sa americká armáda chová k českej vláde. Aj cez české územie sa presúvajú americké zbrane sem a tam a generálny štáb vie sotva o polovici tohto premiestňovania.

V tejto súvislosti je zaujímavá informácia o chystanom zákone v ČR na zriadenie povinnosti mať trvalé bydlisko. Doteraz totiž zo zákona táto povinnosť pre občanov ČR nevyplýva z podstaty samej, totiž trvalé bydlisko bolo potrebné, len keď ste od štátu niečo fakticky potrebovali. Nový zákon o evidencii obyvateľov by mal však toto zmeniť a uzákoniť. Možno vás to prekvapí, ale povinnosť mať trvalé bydlisko pochádza z roku 1923 zo Sovietskeho zväzu, kde sa tomu hovorilo „Ohlasovacia povinnosť“. Tá zahŕňala okrem povinnosti hlásiť adresu zamestnania aj povinnosť hlásiť trvalé bydlisko, prechodné bydlisko a dokonca aj táborový pobyt alebo pobyt na dovolenke. Nový predpis v ČR tento Dzeržinského zákon doslova kopíruje. A pýtate sa prečo?

Dôvodom je chystaná novela branného zákona. Úrady majú strach, že by sa povolanci mohli odvodom vyhýbať veľmi vyhýbavým spôsobom, totiž nahlásením trvalého pobytu na obecný alebo mestský úrad. Povolanci by boli potom nedohľadateľní. Oficiálne je to vraj kvôli exekútorom, ale to je nezmysel, každý vie moc dobre, ako exekútori pracujú a dlžníka vypátrajú najčastejšie cez príbuzných, najspoľahlivejšie udavačov, stačí pohroziť a exekútor sa dozvie aj adresu hrobu prababičky dlžníka. Snaha získať dostatočne veľkú inváznu armádu pre vojnu s Ruskom naberá tak podstatné obrátkach.

Novinári zachytili transport americkej techniky v rakúskom Linzi na ceste na Ukrajinu

transport-americkej-techniky-na-ukrajinu

Od našich čitateľov z ČR a zo Slovenska dostávame informácie o cestných i železničných transportoch americkej a nemeckej obrnenej techniky, ktorá je premiestňovaná cez Slovensko ďalej na východ, teda na Ukrajinu. Nás predovšetkým zaujímajú počty a typy techniky, aj keď chápeme, že väčšina z čitateľov nie sú vojenskí odborníci. Transporty navyše prebiehajú hlavne v noci na otvorených železničných koridoroch, takže je to ťažké získavať nejaké fotografie. Ak sa vám to podarí, pošlite nám ich do redakcie.

Súčasná politická garnitúra v ČR smeruje našu krajinu do vojnového konfliktu. V tejto chvíli koná minister financií Babiš v USA s americkými predstaviteľmi o pripravenosti krajiny na prípadný konflikt v Európe a pochopiteľne je v hlavnom záujme otázka, koľko mužov bude Česko schopné dodať. Tu je potrebné zdôrazniť, že chystaná novela branného zákona bude potrebná skôr ako až od januára 2017. Vzhľadom k eskalácii situácie na Ukrajine a aktivácii ruských raketových vojsk a neustálym provokáciám ohľadom nových a nových cvičení NATO na bezprostrednej hranici s Ruskou federáciou, sa dá predpokladať, že USA sa budú snažiť zinscenovať incident, ktorý by doprial NATO dôvod rozpútať vojnovú operáciu na území Ukrajiny v smere na východ.

Zvodky s menami inštruktorov NATO pre ukrajinskú armádu

Ukrajinský predseda vlády Jaceňuk pred 2 dňami de facto pochoval Minský protokol, keď zrejme na príkaz Johna Kerryho, po nočnom telefonickom rozhovore, dal rozkaz ukrajinskej armáde, aby začala mohutnú delostreleckú paľbu na Doneck. Porošenko doslova zúril. V Berlíne totiž paradoxne v tej chvíli prebiehalo rokovanie Západu, Ruska a Ukrajiny (zastúpené práve Porošenkovým​​tajomníkom) o ďalšom sťahovaní ťažkých zbraní z Donbasu. Je tak evidentné, že Jaceňuk je plne pod kontrolou americkej administratívy, ktorá chce vojnu s Ruskom za každú cenu a Jaceňuk má za úlohu útočiť na Donbas a paneláky s civilistami, aby to vyprovokovalo Rusko k invázii na Ukrajinu. Ukrajinská vláda a prezident sú tak v rozkole. Junta nie je jednotná.

Je neuveriteľné, že naša krajina (Česká republika), ktorá zažila Lidice a Ležáky, sa politicky a čoskoro už aj vojensky má zúčastniť genocídy na Donbase. Že má podporovať Kyjevskú juntu, ktorá máva prápory s podobizňou Stepana BANDERU, toho BANDERU, ktorý terorizoval Československo po II. sv. vojne. Nezostáva tak nič iné, než nahlásiť českým úradom trvalý pobyt v KĽDR alebo v Iráne, kam vás nikto kvôli odvodu na vojnu hľadať nepôjde, alebo tí odvážnejší z vás sa môžu vzdať štátneho občianstva ČR a prijať občianstvo v inej krajine, na výber ich je celkom dosť. Ak nie je vláda už vládou, ktorá by si zaslúžila rešpekt, musí občan vziať svoj život do svojich rúk a musí vedieť povedať nie. Pretože nie je to slovo, ktoré mnohí z nás vo vzťahu k štátu sa boja vysloviť. Sloboda niečo stojí, nie je zadarmo. Je vystavaná na odvahe robiť a hovoriť, čo je správne a bojovať za vlasť proti nepriateľom, aj keby to bol vnútorný nepriateľ, a že ich táto krajina má od novembra 89 naozaj požehnane, kolaborantov a pokrytcov, ktorým sa hrnie z úst demokracia, ale z rúk im steká cudzia krv a špina od peňazí, ktoré si nakradli. Nie vojne s Ruskom! Nie policajnému štátu a dohľadu nad tým, kto kde býva cez prázdniny alebo trvalo. Do toho štátu nič nie je! Za toto sme v novembri 1989 kľúčami necinkali. Mier národu, Európe, svetu a najmä našim deťom!

zdroj: aeronet.cz

Vzdávam sa kandidatúry, napísal hacker na Ficov web

Vzdávam sa kandidatúry, napísal hacker na Ficov web

Bratislava – Slovensko sa už v noci na nedeľu dozvie, kto sa stane budúcim prezidentom. A napätie sa stupňuje. Hackerská akcie nemilo prekvapila jedného z kandidátov, premiéra Roberta Fica. Na jeho internetových stránkach sa totiž ráno objavilo oznámenie, že sa Fico vzdáva kandidatúry. Podľa jeho hovorkyne ide o dielo neidentifikovaného počítačového škodca. „Strana Smer-SD vydala vyhlásenie, že sa jej nepáči, že aj v čase moratória pokračuje kampaň niektorých ľudí proti Ficovi, ktorí sa ho snažia na poslednú chvíľu očierniť,“ uviedol spravodajca ČT David Miřejovská.

“ Na webovú stránku prezidentského kandidáta www.fico2014.sk sa dostal neznámy hacker . Informácia o tom , že sa Robert Fico vzdáva kandidatúry , nie je pravdivá , “ uviedla hovorkyňa Ficovej strany Smer – SD Monika počiatkom . Ficovi spolupracovníci po nejakej dobe znemožnili ku stránke prístup a po 11. hodine opäť sprevádzkovali jej pôvodnú podobu .

“ Táto udalosť je len pokračovaním dlhodobej a hrubé antikampaň vedenej rôznymi kvázi nezávislými blogermi , organizovanými aktivistami na sociálnych sieťach či dokonca denníkom SME , ktorého jediným cieľom je vyvolať v ľuďoch pocit nenávisti , ktorý má zabrániť racionálnemu vyhodnotenie a porovnanie pripravenosti protikandidátov na kompetentný a profesionálny výkon najvyššie ústavné funkcie v krajine . Táto sústredená činnosť škodí demokratickej volebnej súťaži a škodí Slovensku ako takému , preto túto formu volebnej súťaže rezolútne odmietame . Veríme , že takéto neférové ​​postupy budú mať opačný efekt a ešte viac zmobilizujú sympatizantov Roberta Fica , píše sa v reakciu na premiérových stránkach .
Počítačovo zručný odporca slovenska na stránku premiéra umiestnil vlastný text . Ktorý voliča mohol zmiasť , pretože bol napísaný ako Ficovo vyhlásenie .
“ S pokorou sa vzdávam kandidatúry na prezidenta Slovenská republiky . Myslím , že práve v tomto okamihu môjho života prišiel čas na sebareflexiu a na splnenie môjho sľubu , že od roku 2014 už v politike nebudem , “ uvádzalo vymyslené Ficovo vyhlásenie .
“ Nikdy som nerobil antikampaň a práve dnešné hackerské útoky na moju webovú stránku ukazujú , kto sa tomu v skutočnosti venuje . Samozrejme sa aj ďalej uchádzam o dôveru ľudí v zajtrajších voľbách , “ okomentoval incident sám Fico na Facebooku .
Chce zo seba Fico urobiť obeť ?
Na sieťach sa pritom špekuluje , že si Fico mohol nechať hackerské útok objednať , aby vyzeral ako obeť a prilákal Slovákov za plentu . Už v roku 2010 počas parlamentných volieb sa udial rozporuplný incident , keď Fico tvrdil , že jeho manželka vo volebnej miestnosti dostala obálku , v ktorej chýbal hlasovací lístok Smeru . Vtedy o tom písal okrem iného server Pravda.sk . Podľa slov členky Ústrednej volebnej komisie za SDKÚ Márie Kolíkové komisia skontrolovala všetky obálky na stole a v žiadnej nechýbal ani jeden lístok . “ Ak sa stala táto okolnosť práve u manželky pána Fica , tak k tomu si musí urobiť záver každý sám , “ povedala Kolíková .
Hospodárske noviny vtedy zverejnili z incidentu video , na ktorom Fico počas úpravy lístkov svojej manželke niečo hovorí . Pôvodne zle zrozumiteľnú vetu prečítali ako “ daj si to do tašky “ , Fico ale manželke zrejme radil , aby si prešla sadu volebných lístkov ešte raz . Noviny preto na svojom webe zmenili názov na “ Fico sa za plentou smial “ .

Zdroj: ČT24, ČTK