En tredjedel af alle HTTPS-websites er sårbare overfor DROWN angreb

It-sikkerhedseksperter har fundet en måde, hvorpå hver tredje af alle hjemmesider med HTTPS kan kompromitteres. Metoden kaldes https://drownattack.com/ - Decrypting RSA with Obsolete and Weakened eNcryption og kan i styrke sammenlignes med Heartbleed-angrebene fra april 2014. En version af angrebet udnytter protokol-svagheder ved SSLv2, der indtil nu har været ukendte. Her skal hackeren observere 1000 TLS handshakes, derefter igangsætte 40.000 SSLv2 forbindelser og dekryptere en 2048-bit RSA-nøgle. Dette er allerede blevet udført vha. Amazon EC2 server, hvor hele herligheden kostede 440 dollars i leje for dekrypteringen. Billigere angreb kan også lade sig gøre ved at anvende teknikken i sammenhæng med en sårbarhed i OpenSSL, der var tilstede i udgaver (releases) fra 1998 til 2015. Dette gøres så hurtigt, at det er muligt for hackere at udføre man-in-the-middle angreb mod moderne browsere. OpenSSL er dog kommet med https://www.openssl.org/ - OpenSSL version 1.0.2g og 1.0.1s. Reseachernes undersøgelse af internettet viser, at 38 procent af all HTTPS server (og 22 procent af dem med browser-trust certifikater) er sårbare for angrebsmetoden.

Xbox smelter mere sammen med PC

Microsoft planlægger at gøre Xbox One og PC til en og samme platform, der skal køre Universal Windows Applications (UWA). Det lader desuden til, at Xbox One kommer til at ligne en PC mere med bagud kompatible hardwareopgraderinger i fremtiden. Lederen af Microsofts Xbox-division, Phil Spencer, udtaler, at UWA vil være central for Microsofts spil-strategi i fremtiden. Platformen virker på tværs af Xbox, PC og mobile enheder. Den sammenkædning, som indtil nu har været mellem hardware og software på konsollen, bliver derfor også fjernet fremover. Phil Spencer forventer, der vil komme hardwareopgraderinger til en Xbox, mens UWA sikrer bagudrettet kompatibilitet. "...we will see more hardware innovation in the console space than we've ever seen. We'll see us come out with new hardware capability during a generation and allow the same games to run backwards and forward compatible... It allows us to focus on hardware innovation without invalidating the games that run on that platform." Skridtene op til dette har været at tillade Xbox apps at køre på Windows 10 PC'er og at gøre Xbox kompatibel med Windows 10.

Fem år fra nu: Næste generation virtual reality briller

Selskabet Meta arbejder på virtual reality-briller eller headsets, der skal være lige så små som almindelige briller. Til gengæld skal deres kunnen være enorm. Meta sigter efter at kunne erstatte alle de skærme, vi omgiver os med til dagligt - på skrivebordet, på væggen og i hånden. I https://www.facebook.com/RobertScoble/posts/10153929292124655 kan man fra cirka seks minutter inde se en prototype af headsettet i aktion. I videoen ser kan, hvordan forskellige virtuelle skærme er placeret i brugerens synsfelt, så han f.eks. ser en skærm med Gmail, når han kigger til højre, og en skærm med Spotify, når han kigger op. Lige nu har headsettet en nøjagtighed på to millimeter på virtuelle objekter, man bevæger med hænderne. Meron Gribetz udtaler i videoen, at selskabet vil udskifte alle skærme selskabet med headsets i løbet af det kommende år - så god er opløsningen på nuværende tidspunkt. Derudover er han ikke meget for at nævne de specifikationer, man sigter efter at kunne levere.

Google kan scanne mails for CPR-numre og bandeord

En opdatering til Googles enterpriseudgave af Gmail giver nu virksomheder mulighed for at scanne e-mails for sensitiv data som f.eks. kodeord til projekter, CPR-numre eller navne. Det gælder også vedhæftede filer som f.eks. billeder med en række tal i motivet. Alt dette er en del af Data Loss Prevention (DLP), som Google lancerede sidste år. Evnen til at genkende f.eks. et CPR-nummer i et vedhæftet billede er en opgradering fra sidste år. Et selskab kan selv opsætte reglerne for hvilke oplysninger, der må passere igennem dets firewall i e-mails. Virksomhedernes it-administratorer kan også opsætte regler for, hvad der skal ske med e-mails alt efter hvor mange regler, de overtræder.

Apple øger krypteringen i lyset af FBI-sag

I fremtiden kan det være surt show, hvis du glemmer kodeordet til din iCloud. Apple arbejder på at øge krypteringen i backup-tjenesten, så ingen kan komme ind uden den rigtige kode - inkl. Apple selv. På den måde vil selskabet kunne melde klart ud overfor myndigheder, der ønsker eller kræver adgang til en Applekonto. Samtidigt vil det give iCloudbrugere en større sikkerhed mod hackere. Apple har tidligere leveret dataudtræk fra egne servere til myndighederne, men den nye form for kryptering skal gøre, at Apple ikke længere har adgang til de nødvendige krypteringsnøgler. Derudover arbejder Apple også på at øge sikkerheden på iPhones og iPads, så selskabet heller ikke her vil kunne levere adgang for myndigheder - noget FBI kræver i https://newz.dk/apple-naegter-fbi-bagdoer-til-san-bernardino-drabsmands-iphone. I den sammenhæng skal nævnes en http://www.usnews.com/news/business/articles/2016-02-29/schism-emerges-on-apple-case-among-san-bernardino-survivors - her erklærer en dommer FBIs ønske om adgang til en iPhone for ugyldig. FBI har i sin argumentation brugt den samme 227 år gamle lov som organisationen bruger i San Bernardino-sagen.

Samsung vinder appelsag over Apple

Der bliver ingen erstatning til Apple fra Samsung for 'slide to unlock' og autokorrektur. Det er afgørelsen i den amerikanske US Court of Appeal. Apple havde bedt om 120 millioner dollars i kompensation for krænkelsen af en række patenter - herunder det at brugeren skal 'stryge' en tast for at ændre på en indstilling, autokorrektur og teknologien, der kan genkende en talrække som værende et telefonnummer for derefter at give brugeren mulighed for at ringe op. Samtidigt stadfæstede domstolen en afgørelse omkring http://www.theregister.co.uk/2016/02/26/apple_samsung_patent_appeal/ til optagelse og afspilning af lyd og billeder. Dette betyder en bøde til Apple på 158.400 dollars.

Apple hyrer ledende udvikler fra Signal

Besked-appen Signal er kendt som en af de sikreste open source-apps til krypteret kommunikation. Nu skal Frederic Jacobs, der var med til at udvikle Signal, arbejde hos Apple i selskabets CoreOS sikkerhedsteam. Ansættelsen passer fint med Apples planer om at gøre iPhones endnu sikrere og fuldstændig fjerne muligheden for en bagdør ind i telefonerne - også for selskabet selv. Frederic Jacobs forlod tidligere i år selskabet Open Whisper Systems, der står bag Signal appen. Signal bruges af journalister, whistleblowers som Edward Snowden og andre med fokus på privatlivets fred online.

Norge beskylder Kina for hacking

Lederen af det norske "E-Tjenesten" (efterretningstjenesten) melder officielt ud, at man mener den kinesiske regering står bag cyber-angreb mod Norge. Generalen, Morten Haga Lunde, forklarer til den norske TV-station TV2, at kinesiske hackergrupper, med tilknytning til den kinesiske regering, sidste år fokuserede deres angreb mod norske firmaer - der enten arbejder sammen med, eller sælger produkter til, det norske militær. Hackerne har ifølge generalen haft held til at stjæle informationer ved angrebene. Generalen vil ikke informere om hvilke selskaber der er tale om, eller hvilke typer information der er stjålet. Det er første gang et NATO-land officielt beskylder Kina for hacking og cyber-spionage. Derudover fortæller Morten Haga Lunde, at angreb med russisk oprindelse er steget i løbet af det seneste år.

HTC Vive kan forudbestilles fra i dag

Fra kl. 16 i dag har man kunnet forudbestille HTCs virtual reality headset Vive til en pris på 899 euro - med estimeret told og fragt 990.25 euro eller 7387 kroner. Headsettet kommer med tre VR-programmer: 'Tilt Brush' fra Google, der gør det muligt at tegne i 3D-verdenen, 'Job Simulator the 2050 Archives' fra Owlchemy Labs, hvor du som robot skal lære at gå på job samt 'Fantastic Contraption' fra Northway- og Radial Games, hvor du skal bygge maskiner. Med Vive Phone Services har man mulighed for at holde sig mere eller mindre i forbindelse med den virkelige verden. Det er muligt at besvare telefonopkald, sende beskeder og tjekke kalenderen med headsettet på.

Betalingsterminaler får alligevel lov at fortsætte på SHA-1 certifikater lidt endnu

De usikre SSL/TLS certifikater, der gør brug af SHA-1 algoritmen, blev for https://newz.dk/google-overvejer-tidligere-afvisning-af-sha-1-certifikater#2 afløst af mere sikre SHA-2-udgaver. men nu åbner Mozilla alligevel for, at Symantec kan udstede ni nye certifikater til en kunde. Grunden er mere end 10.000 betalingsterminaler, der ikke er blevet opgraderet i tide. Worldpay, der ejer de mange terminaler, mangler stadig at migrere nogle af deres SSL/TLS servere til SHA-2 certifikater, og selskabet glemte samtidigt at anskaffe nye SHA-1 certifikater i tide, inden de officielt blev 'sat ud af produktion'. Det skete med udgangen af 2015. SHA-1 bliver udfaset pga. en usikkerhed i algoritmen, der gør, at algoritmen før eller senere kan brute-forces med den rette mængde computerkraft.