Knut Jørgen Røed Ødegaard - Superslurpende sorte hull og andre mysterier i Universitet
Sikkerhetsforskere har funnet noe alvorlige feil i programvare som bruker SSL (Secure Sockets Layer) krypteringsprotokollen som brukes til å sikre kommunikasjon på Internett.
På Black Hat konferansen i Las Vegas på torsdag avslørte forskere en rekke angrep som kunne brukes til å kompromittere sikker trafikk reiser mellom nettsteder og nettlesere.
Denne typen angrep kan la en angriper stjele passord, kapre en onlinebankesesjon eller til og med trykke ut en Firefox-nettleseroppdatering som inneholdt skadelig kode, sa forskerne.
[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]Problemene ligger i den måten mange browsere har implementert SSL, og også i X.509-nøklene for offentlig nøkkelinnretning som brukes til å administrere de digitale sertifikatene som brukes av SSL for å avgjøre hvorvidt et nettsted er pålitelig.
En sikkerhetsforsker kaller seg Moxie Marlinspike viste en måte å fange SSL-trafikk ved å bruke det han kaller et null-avslutningsattest. For å gjøre sitt angrep, må Marlinspike først få sin programvare på et lokalnettverk. Når den er installert, sporer den SSL-trafikk og presenterer sitt null-termineringsbevis for å fange opp kommunikasjon mellom klienten og serveren. Denne typen mann-i-midten-angrep er uoppdagelig, sa han.
Marlinspikes angrep er bemerkelsesverdig som et annet vanlig angrep kjent som et SQL-injeksjonsangrep som sender spesiallaget data til programmet i håp om å lure det inn i gjør noe det normalt ikke skal gjøre. Han fant at hvis han opprettet sertifikater for sitt eget Internett-domene som inneholdt null tegn - ofte representert med en 0 -, ville noen programmer misforstille sertifikatene.
Det er fordi noen programmer slutter å lese tekst når de ser null null. Så et sertifikat utstedt til www.paypal.com 0.thoughtcrime.org kan leses som tilhørende www.paypal.com.
Problemet er utbredt, sa Marlinspike, som påvirker Internet Explorer, VPN (virtuelt privat nettverk) programvare, e-postklienter og direktemeldingsprogramvare og Firefox versjon 3.
For å gjøre saken verre, rapporterte forskere Dan Kaminsky og Len Sassaman at de hadde oppdaget at et stort antall webprogrammer er avhengige av sertifikater utstedt ved hjelp av en utdatert kryptografisk teknologien kalt MD2, som lenge har vært ansett som usikker. MD2 har faktisk ikke blitt sprukket, men det kan bli ødelagt i løpet av noen måneder av en bestemt angriper, sa Kaminsky.
MD2-algoritmen ble brukt for 13 år siden av VeriSign til å signere "et av kjernedotsertifikatene i hver nettleser på planeten, sier Kaminsky.
VeriSign sluttet å signere sertifikater ved hjelp av MD2 i mai, sier Tim Callan, visepresident for produktmarkedsføring på VeriSign.
Men "stort antall nettsteder bruker denne roten, så Vi kan egentlig ikke drepe det, eller vi vil bryte på nettet, sier Kaminsky.
Programvare beslutningstakere kan imidlertid fortelle at produktene ikke stoler på MD2-sertifikater; De kan også programmere sine produkter for ikke å være sårbare for null-avslutningsangrepet. Til dags dato er Firefox 3.5 den eneste nettleseren som har patched null-terminering problemet, forskerne sa.
Dette er andre gang i det siste halvåret at SSL har kommet under tilsyn. Senere i fjor fant forskerne en måte å skape en falsk sertifikatautoritet på, som igjen kunne utgjøre falske SSL-sertifikater som kunne stole på av hvilken som helst nettleser.
Kaminsky og Sassaman sier at det er en rekke problemer i hvordan SSL-sertifikater er utstedt som gjør dem usikre. Alle forskerne var enige om at x.509-systemet som brukes til å administrere sertifikater for SSL, er utdatert og må løses.
Du har alle disse digitale bildene stanset i hjørnene på harddisken din. De ville lage en fin gave eller årsskiftetemning. Du kan skrive ut dem og skyve dem inn i et fotoalbum, men det er så 2002, og vi er nede på ledningen for ferieferie som det er. Hvorfor ikke lage en slank online lysbildefremvisning i stedet? Det finnes flere programmer og webtjenester som kan hjelpe. Her er noen av våre favoritter.
Legg til kunst og animasjon med Smilebox
Det finnes flere gratis registret rengjøringsmidler tilgjengelig for Windows, men svært få du kan stole på nok til å rense Windows-registret.
Auslogics Registry Cleaner
Microsoft utgav den endelige versjonen av sin nettbaserte skybaserte suite av virksomhetsproduktivitetsapplikasjoner, Office 365. Med sin enkelhet bruker flere systemer og mange forskjellige applikasjoner, og flere og flere brukere tiltrekker seg.
Så, for å hjelpe dem med å utføre ulike oppgaver, starter jeg en rekke få artikler på Office 365 for å hjelpe de nye brukerne av denne fantastiske lille