Gotta SPAM problem? Blame AOL, Google, Microsoft, and Yahoo | ZDNet
Google, Microsoft og Yahoo har løst en kryptografisk svakhet i deres e-postsystemer som kan tillate en angriper å lage en spoofed melding som passerer en matematisk sikkerhetsbekreftelse.
Svakheten påvirker DKIM eller DomainKeys Identified Mail, et sikkerhetssystem som brukes av store e-post avsendere. DKIM pakker en kryptografisk signatur rundt en e-post som bekrefter domenenavnet der meldingen ble sendt, noe som lettere filtrere ut forfalskede meldinger fra legitime.
Problemet ligger med signering av nøkler som er mindre enn 1.024 biter, noe som kan bli fakturert på grunn av økt datakraft. US-CERT sa i en rådgivende utgave onsdag at signeringstaster mindre enn 1.024 bits er svake, og at nøklene opptil RSA-768 bits har blitt fakturert.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]Problemet kom til etterretning etter at Florida-baserte matematiker Zachary Harris ble sendt en e-post fra en Google-rekrutterer som bare brukte en 512-bits nøkkel, ifølge en rapport publisert onsdag av Wired magazine.
Tenk at det kan være litt smart test av Google tok han nøkkelen, og brukte den til å sende en spoofed melding fra Sergey Brin til Larry Page, Googles grunnleggere.
Det var ikke en test, men faktisk et alvorlig problem, en hvor e-postmeldinger som kunne være falske ville være klarert. Ifølge DKIM-standarden har e-postmeldinger som har nøkler kortere enn 1.024 biter, ikke nødvendigvis avvist.
Harris fant at problemet ikke var begrenset til Google, men også Microsoft og Yahoo, som alle syntes å ha løst problemet som for to dager siden, ifølge US-CERT. Harris fortalte Wired at han fant enten 512-bit eller 768-bit nøkler i bruk på PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com og HSBC.
Svak Signeringstaster er en velsignelse for cyberkriminelle. De selektivt målretter folk med e-postmeldinger som inneholder ondsinnede lenker i et forsøk på å utnytte en datamaskinens programvare og installere skadelig programvare, en angrepsstil som kalles spyd phishing. Hvis en e-post inneholder riktig DKIM-signatur, er det mer sannsynlig å ende opp i en mottakers innboks.
US-CERT varslet også om et annet problem. DKIM-spesifikasjonen tillater en avsender å markere at den tester DKIM i meldinger. Noen mottakere vil "akseptere DKIM-meldinger i testmodus når meldingene skal behandles som om de ikke var DKIM signert," US-CERT sa.
Send nyhetstips og kommentarer til [email protected]. Følg meg på Twitter: @jeremy_kirk
Yahoo vil begynne å tilby den nye versjonen av Yahoo Kalender på onsdag i beta i USA, Brasil, India, Taiwan og Storbritannia Generell tilgjengelighet er forventet i de kommende månedene. Selv om Yahoo Calendar og Yahoo Mail er tett integrert, bruker bare om lag 8,1 millioner den tidligere og ca 278 millioner sistnevnte, sier John Kremer, Yahoo Mail Vice President.
Situasjonen er lik blant andre store leverandører av Webmail og online kalendertjenester, sier Matt Cain, en Gartner-analytiker. Bare ca 3 til 4 prosent av forbrukerne bruker også deres foretrukne webmailtjenests ledsagende onlinekalender, sa han.
Microsoft / Yahoo: Langt fra alvorlig Google Threat
Den forventede avtalen, hvis rapporter er korrekte, vil bare være starten på en lang, tøff vei mot utfordrende Google i big money-virksomheten med søk.
Stengene fortsetter bare å komme i Android-smarttelefonspillet - og denne gangen kan lederen selv komme inn i ringen. Google forbereder seg på å avdekke sin egen tilpassede Android-telefon, en rapport publisert på TheStreets.com krav. Hvis det er sant, vil flyttingen markere Googles første forgang i Android-telefonfrakten og kunne signalere en alvorlig shake-up til Amerikas bæredrevne smarttelefonmarked.
Google-Android Buzz