Internet Technologies - Computer Science for Business Leaders 2016
Seattlen tietoturvakonsultti kertoo kehittäneen uuden tavan hyödyntää äskettäin julkistettua vikaa SSL-protokollassa, jota käytetään tietoliikenneyhteyksien suojaamiseen Internetissä. Hyökkäyksiltä saatava hyökkäys, joka on vaikea toteuttaa, saattaa hyökkääjille antaa erittäin voimakkaan tietojenkalastushyökkäyksen.
Leviathan Security Groupin toimitusjohtaja Frank Heidt sanoo, että hänen "yleinen" konekielisen koodinsa avulla voidaan hyökätä erilaisiin verkkosivustoihin. Vaikka hyökkäys on äärimmäisen vaikeaa vetää pois - hakkeri ensin joutuisi ensin irrottamaan miehen keskellä olevan hyökkäyksen, joka vaarantaa uhrin verkon. Se voi aiheuttaa tuhoisia seurauksia.
Hyökkäys hyödyntää SSL (Secure Sockets Layer) Authentication Gap -virhe, joka ilmestyi ensimmäisen kerran 5. marraskuuta. Yksi SSL-bugin löydöistä, Marsh Ray on PhoneFactor, kertoo näkevänsä Heidtin hyökkäyksen, ja hän on vakuuttunut voivan toimia.
[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]SSL-todennusvirhe antaa hyökkääjälle mahdollisuuden muuttaa lähettämääsi dataa SSL-palvelimelle, mutta ei vieläkään ole mahdollista lukea takaisin tulevia tietoja. Heidt lähettää tietoja, jotka aiheuttavat SSL-palvelimen palauttavan uudelleenohjaussanoman, joka lähettää sitten selaimen toiseen sivulle. Tämän jälkeen hän käyttää kyseistä uudelleenohjausviestiä siirtäessään uhrin epävarmalle yhteydelle, jossa Heidtin tietokoneet voivat kirjoittaa ne Web-sivut uudelleen ennen kuin heidät lähetetään uhreille.
"Frank on osoittanut keinon hyödyntää tätä tavallista selkokielistä hyökkäystä täydellinen kompromissi selaimen ja turvallisen sivuston välisestä yhteydestä ", Ray sanoi.
Internet-yritysten konsortio on pyrkinyt korjaamaan virheen, sillä PhoneFactor-kehittäjät löysivät sen ensimmäisen kerran useita kuukausia sitten. Heidän työnsä sai uutta kiireellisyyttä, kun vikaa paljastui väärässä keskustelulistassa. Tietoturva-asiantuntijat ovat keskustelleet tämän viimeisimmän SSL-virheen vakavuudesta, koska siitä tuli julkista tietämystä.
IBM tutkija Anil Kurmus osoitti viime viikolla kuinka vikaa voidaan käyttää tempaamaan selaimesi lähettämään Twitter-viestejä, jotka sisältävät käyttäjän salasanoja.
Tämä viimeisin hyökkäys osoittaa, että virheestä voitaisiin varastaa kaikenlaisia arkaluontoisia tietoja turvallisilta verkkosivustoilta, Heidt sanoi.
Haavoittuvuudestaan sivustot tarvitsevat jotain, jota kutsutaan SSL: n asiakkaiden uudeksi neuvotteluksi ja joilla on myös joitain elementtejä turvallisia Web-sivuja, jotka voisivat tuottaa tietyn 302-uudelleenohjaussanoman.
Useat korkean profiilin pankki- ja verkkokauppasivustot eivät palauta tätä 302-uudelleenohjausviestiä tavalla, jota voidaan hyödyntää, mutta "valtava määrä" sivustoja voisi hyökätä, Heidt sanoi:
Heidt sanoo, että hän ei aio julkaista koodiaan välittömästi.
Uhrin näkökulmasta ainoa huomattava muutos hyökkäyksen aikana on se, että selain ei lo nger näyttää siltä kuin se on yhteydessä SSL-sivustoon. Hyökkäys on samanlainen kuin SSL Strip-hyökkäys, jonka Moxie Marlinspike [cq] osoitti aiemmin tämän vuoden turvallisuuskonferenssissa.
Leviathan Security Group on luonut työkalun, jonka avulla verkkovastaavat voivat tarkistaa, ovatko niiden sivustot alttiita SSL-todentamiselle hyökkäys
Koska SSL: n ja sen korvausstandardin TLS käytetään monissa Internet-tekniikoissa, virheellä on kauaskantoisia vaikutuksia.
G-Secin turvallisuuskonsultti Thierry Zoller sanoo, että teoriassa, virheestä voitaisiin hyökätä postin palvelimiin. "Hyökkääjä voi lähettää sähköpostiviestejä lähettämään suojattuja SMTP-yhteyksiä (Simple Mail Transfer Protocol), vaikka heidät vahvistettaisiin yksityisellä varmenteella", hän sanoi pikaviestikyselyssä.
Zoller, joka ei ole nähnyt Leviathanin koodia, sanoi, että jos hyökkäys toimii mainoksena, se on vain muutamia päiviä ennen kuin joku muu luulee, miten se tehdään.
Modern Warfare 2 ei enää ole saatavana Venäjällä Xbox 360: n ja PlayStation 3: n omistajille, näyttää siltä, että huolimatta siitä, että peli osuu kauppojen hyllyihin aikataulun mukaisesti viime viikolla. Jääkiekko Hellforgen perjantaina tunnettu venäläinen pelisivusto GotPS3 väittää, että venäläiset virkamiehet uhkasivat kieltää pelin, mikä sai jälleenmyyjille, että heittäisivät jäljennökset hyllyiltä ja jälleenmyyjiltä sulkemaan uuden varaston ulosvirtauksen.
Kiistanalainen "Ei venäläistä" tasoa, jossa pelaajien on päätettävä, onko Moskovan lentokentällä viety syyttömiä siviilejä onnistunut pääsemään laajaan julkiseen ilmoitukseen ennen laukaisua. Ei ole selvää, aiheutuiko uhkaava hallituksen kielto tasojen pelimekanismin takia (velvollisuus ampua ja terrorisoida viattomia siviilejä) tai se, että pelaat CIA: n agenttiä, joka näyttäytyy venäläisenä ultranationalistina, näyttelemänä olevan amerikkalainen terroristi. Oletetaan, että joku on päättänyt, e
PC-valmistaja Dell on syytetty tuhansista työpöydän tietokoneista myymästä huolimatta siitä, että koneissa oli virheellisiä osia. The New York Times kertoi tiistaina, että äskettäin julkaisemattomat oikeudenkäyntiasiakirjat osoittavat. Dell Dellin liittovaltion käräjäoikeudessa syyttää Dellin työntekijöitä siitä, että heillä oli aiemmin tietoinen siitä, että asiakkaille myyty OptiPlex-tietokoneet todennäköisesti rikkoutuivat.
Dell toimitti noin 11,8 miljoonaa OptiPlex-tietokonetta toukokuun 2003 ja heinäkuun 2005 välisenä aikana jotka olivat vaarassa epäonnistua virheellisten osien vuoksi, ei-salatun tuomioistuimen ja sisäisten asiakirjojen mukaan. Dell myi OptiPlex-työpöytöitä yrityksille ja yritysasiakkaille, kuten Wal-Martille ja Wells Fargolle.
Olen varma, että voit luoda pienen luettelon Windows-tiedostoista, kansiosi, ohjelmista ja verkkosivustoista, joita käytät usein. Normaali pelityyppi on käyttää selaimeesi pääsyä näihin sivustoihin ja napsauttaa Käynnistä-valikkoa tai Windowsin Resurssienhallintaa etsimään haluamasi tiedostot, kansiot ja ohjelmat. Se voi lisätä paljon aikaa ja paljon napsauttamalla. Joten mitä voisit laittaa kyseisiin sivustoihin, tiedostoihin, kansioihin ja ohjelmiin Windowsin oikealla hiiren kakkospainikkeella
Oikeanpuoleinen kontekstivalikko Adderin yksinkertainen käyttöliittymä helpottaa tämän sovelluksen käyttämistä. Valitse vain, minkä tyyppinen tyyppi haluat lisätä ja täyttää yksityiskohtia.