:: e-klapa ::

maj 31 2010

Bezpieczne obliczenia w chmurach

Kategoria: Komentarze — fabrycy @ 16:23

Święty Gral cloud computing zbliża się dużymi krokami. Po zeszłorocznej pracy Creiga Gentry’ego z IBM Laboratories, w której zaprezentowano pierwszy przykład w pełni homomorficznego szyfrowania, rozległy się głosy, że schemat nie jest efektywny (prawda) i jest wątpliwe, aby efektywny schemat o podobnych własnościach miał ujrzeć światło dzienne. Dziś, podczas konferencji Eurocrypt 2010 oficjalnie zaprezentowano nowe, o wiele efektywniejsze podejście.

Czym jest homomorficzne szyfrowanie? Jest to takie szyfrowanie, dla którego operacje wykonywane na tekstach jawnych (np. dodawanie) odpowiadają (potencjalnie innym, np. mnożeniu) operacjom na kryptogramach. Przykładami homomorficznych (niemal homomorficznych – homomorfizm jedynie dla jednej operacji) kryptosystemów są “książkowe” RSA (mnożenie tekstów jawnych przechodzi na mnożenie kryptogramów) (książkowe – bez paddingu), ElGamal (mnożenie -> mnożenie), Pailiera (dodawanie -> mnożenie). Szyfrowanie za pomocą np. AESa takiej własności nie posiada.

W pełni homomorficzne szyfrowanie pozwalałoby na dokonywanie bardziej skomplikowanych operacji na kryptogramach. W szczególności, można by było przechowywać zaszyfrowane dane w chmurach obliczeniowych i tam wykonywać na nich operacje. Chmura zwracałaby nam wynik nie wiedząc tak na prawdę, jakie operacje wykonała. Użytkownik deszyfrowałby odpowiedź. Takie rozwiązanie byłoby idealne dla m. in. przechowywania danych, którymi nie chcemy się dzielić, ale nasze zasoby obliczeniowe nie pozwalają na ich efektywną obróbkę (np. szpitale kliniczne pracujące na danych medycznych).

Pierwszy taki schemat został zaprezentowany w ubiegłym roku, jednak stanowił jedynie piękny, choć mało użyteczny przykład, że da się zbudować w pełni homomorficzne szyfrowanie. Dziś zaprezentowano o wiele bardziej efektywne podejście, co więcej bardzo proste koncepcyjnie – operacje są wykonywane na liczbach całkowitych modulo pewna liczba (praca z 2009 roku wykorzystywała kraty idealne “ideal lattices”).

Więcej:
- Prezentacja
- Praca – Fully Homomorphic Encryption over the Integers, M. van Dijk, C. Gentry, S. Halevi, and V. Vaikuntanathan
- Eurocrypt 2010

Podziel się:

Tagi: cloud computing, fully homomorphic encryption, obliczenia na kryptogramach, szyfrowanie, wirtualizacja

Komentarze (1)

maj 11 2010

Zmasowany atak na banki

Kategoria: Wiadomości — fabrycy @ 00:30

W poniedziałkowy poranek problem z zalogowaniem się do systemów transakcyjnych mieli klienci: mBanku, City Handlowego, Kredyt Banku, ING Banku Śląskiego, Kredyt Banku i Polbanku EFG (długość tej listy robi wrażenie). Podobna sytuacja miała miejsce równo miesiąc temu. Wtedy zaczęło się od problemów serwisu PKO, a następnie ofiarą padły systemy Pekao i Alior Banku, klienci nie mogli dostać się do swoich kont. W niektórych przypadkach wystąpiły również problemy z realizacją transakcji przeprowadzanych za pomocą kart.

To nie mógł być przypadek (no chyba, że wszystkie banki korzystają z usług jednego providera i to w modelu SaaS;), tylko bardzo dobrze przygotowany atak. Czy był tylko atak DDOS, czy może DDOS wykonany przez samych klientów? Czy po raz kolejny ZEUS pokazał jaki jest groźny i co padło łupem – hasła klientów, czy może coś więcej… Pewnie nigdy się nie dowiemy, bo banki raczej nie będą się chwalić.

Więcej:

- Awarie banków: mBank odpalił, klienci Citi czekają – Najważniejsze informacje – Informacje – portal TVN24.pl – 10.05.2010.
- Plaga bankowych awarii w Polsce – Najważniejsze informacje – Informacje – portal TVN24.pl – 12.04.2010.
- ZEUS.

Podziel się:

Tagi: bankowość, bankowość internetowa, bezpieczeństwo, botnet, DDOS, DOS, karty kredytowe, karty płatnicze, koń trojański, malware, przechwytywanie haseł, zeus

Komentarze są wyłączone

kwi 16 2010

Zeus rządzi listą Fortune 500: 299 firm okradzionych

Kategoria: Wiadomości — fabrycy @ 01:11

Jak donoszą badacze z RSA, 441 firm z listy Fortune 500 było narażonych na działanie trojana Zeus. Natomiast w 299 przypadkach, Zeus bądź podobny szkodnik (Sinowal, Limbo, SilentBanker) przejął co najmniej jeden email firmowy. Trojany instalują w zainfekowanych systemach programy zapisujące znaki wprowadzane z klawiatury w celu przechwytywania wprowadzanych haseł do logowania do banków internetowych, kont mailowych czy sieci społecznościowych. Instalowane jest również oprogramowanie do przejmowania wartościowych informacji jak dokumentów wewnętrznych firmy czy danych medycznych. W opublikowanym 15 IV 2010 raporcie RSA przedstawia wyniki miesięcznych testów przeprowadzonych pod koniec 2009 roku.

Continue reading “Zeus rządzi listą Fortune 500: 299 firm okradzionych”

Podziel się:

Tagi: bankowość internetowa, biometria, botnet, certyfikaty, koń trojański, linie papilarne, prywatność, przechwytywanie haseł, tajność, trojan, uwierzytelnianie, zeus

Komentarze (1)

kwi 10 2010

Biometria w bankomatach – bankomaty dla analfabetów!

Kategoria: Komentarze — fabrycy @ 01:29

Informację o wprowadzeniu w Polsce bankomatów wspierających biometryczne metody uwierzytelniania traktujemy jako (mało doniosłe acz ciekawe) wydarzenie mające na celu podnieść poziom bezpieczeństwa. Z punktu widzenia postępu technicznego nie ma w tym niczego interesującego (ot połączenie kilku, znanych od lat technologii), okazuje się jednak, że najbardziej z wdrożenia takiej high-endowej technologii cieszą się (już od kilku lat) azjatyccy analfabeci…

Continue reading “Biometria w bankomatach – bankomaty dla analfabetów!”

Podziel się:

Tagi: bankowość, bezpieczeństwo, biometria, emv, eurocard, karty kredytowe, karty płatnicze, linie papilarne, mastercard, odcisk palca, pin, uwierzytelnianie, visa

Komentarze są wyłączone

kwi 09 2010

Pierwszy w Polsce bankomat biometryczny

Kategoria: Wiadomości — fabrycy @ 20:46

Już niedługo wypłacając pieniądze z bankomatu zamiast wpisywać PIN na klawiaturze będziemy przykładali palec. Po jego przyłożeniu czytnik porówna w podczerwieni wzór linii papilarnych i naczyń krwionośnych z danymi zapisanymi na karcie. Jako pierwszy taką usługę dla klientów wdroży Bank Polskiej Spółdzielczości.

Ciekawe jest jednak co innego – otóż pierwsze biometryczne bankomaty wprowadzono w krajach, gdzie panuje analfabetyzm!

Continue reading “Pierwszy w Polsce bankomat biometryczny”

Podziel się:

Tagi: bankowość, bezpieczeństwo, biometria, emv, eurocard, karty kredytowe, karty płatnicze, linie papilarne, mastercard, odcisk palca, pin, prywatność, uwierzytelnianie, visa

Komentarze (1)

kwi 08 2010

Qubes OS bezpieczny system operacyjny

Kategoria: Wiadomości — fabrycy @ 13:21

InvisibleThingsLab (Joanna Rutkowska i Rafał Wojtczuk) zaprezentowało system operacyjny zapewniający bardzo wysoki poziom bezpieczeństwa. Nie jest to pełna niezależna dystrybucja a nakładka na Fedorę (obecnie wersję 12).

Continue reading “Qubes OS bezpieczny system operacyjny”

Podziel się:

Tagi: bankowość internetowa, bezpieczeństwo, fedora, izolacja, linux, prywatność, systemy operacyjne, wirtualizacja, xen

Komentarze są wyłączone

mar 26 2010

Certyfikaty SSL – domek z kart

Kategoria: Komentarze — fabrycy @ 11:43

Informacje sugerujące, że agencje rządowe wykorzystują współpracę z centrami certyfikacji do szpiegowania nie powinny chyba nikogo dziwić. O wiele większym problemem jest wykorzystywany przez nie scenariusz. Scenariusz pokazujący słabość architektury całego systemu.

Continue reading “Certyfikaty SSL – domek z kart”

Podziel się:

Tagi: atak man in the middle, bankowość internetowa, bezpieczeństwo, certyfikaty, DNS, mitm, SSL, tajność, TLS, uwierzytelnianie

Komentarze są wyłączone

lut 17 2010

Firma wskaże prezydenta?

Kategoria: Komentarze — fabrycy @ 15:47

Platforma Obywatelska przedstawia na swojej stronie www zarys systemu, który ma być użyty w prawyborach. Potwierdzają się wczorajsze obawy. Wygląda na to, że wyboru prezydenta RP może dokonać firma obsługująca prawybory: jeżeli oczywiście będzie miała taką chęć i o ile kandydat Platformy wygra. Przyjrzyjmy się zatem dokładniej proponowanemu rozwiązaniu (na tyle dokładnie, na ile pozwalają skąpe informacje). Przeanalizujemy tajność i równość wyborów, a także wskażemy zagrożenia jakie niesie ze sobą wykorzystanie możliwości głosowania przez internet.

Continue reading “Firma wskaże prezydenta?”

Podziel się:

Tagi: e-voting, evoting, integralność, prywatność, tajność, uwierzytelnianie, weryfikowalność, wybory przez internet

Komentarze są wyłączone

lut 16 2010

Prawybory przez internet(?)

Kategoria: Komentarze — fabrycy @ 21:15

Jedną z wiadomości dnia (onet, tvn24) jest deklaracja w sprawie przeprowadzenia prawyborów w PO za pomocą głosowania internetowego. E-klapowość artykułu na Onecie przejawia się tymi słowami:

System, przy pomocy którego PO chce wyłonić swojego kandydata jest już powszechnie stosowany w Polsce. Z bardzo podobnych rozwiązań korzystają bowiem banki realizując za ich pomocą bankowość internetową.

Jedyny element, który może być podobny w tych systemach, to rozesłanie kodów dostępu do systemu wyborcom/członkom PO.

Po raz kolejny nie dostrzega się tej subtelnej (aż tak subtelnej, że niezauważalnej?) różnicy pomiędzy wyborami internetowymi a bankowością elektroniczną:

w bankowości: klient i bank wiedzą kto co robi
w wyborach: to wyborca (klient) ma wiedzieć jak zagłosował, a system wyborczy (bank) ma głosu (transakcji) nie poznać, ale go uwzględnić.

Continue reading “Prawybory przez internet(?)”

Podziel się:

Tagi: bankowość, bankowość internetowa, bezpieczeństwo, e-voting, evoting, integralność, malware, prywatność, tajność, uwierzytelnianie, weryfikowalność, wybory przez internet

Komentarze (1)

Następna strona »