Nettsteder

SSL-feil kunne vært brukt til å hakse Twitter

Reacting to my old tweets from 2012

Reacting to my old tweets from 2012
Anonim

En feil i protokollen som brukes til å sikre kommunikasjon via Internett, kunne ha vært brukt til å hack Twitter-kontoer, ifølge en IBM-sikkerhetsforsker.

I forrige uke viste Anil Kurmus hvordan en feil i SSL-protokollen (Secure Sockets Layer) kunne være pleide å i hovedsak lure ofre til å sende Twitter-meldinger som inneholdt deres passordinformasjon. For at feilen skal utnyttes, må en hacker først finne en måte å komme inn på offerets nettverk, og lansere det som er kjent som et menneske i midtangrep, så det ville være vanskelig å påvirke et stort antall Twitter-brukere med denne teknikken. Problemet ble snart oppdatert av Twitter, men det har sikkerhetseksperter lurt på hvor mange nettsteder som kan lide av et lignende problem.

Et konsortium av Internett-selskaper har forvrengt for å fikse SSL-problemet siden 5. november da det ble utilsiktet gjort offentlig på en diskusjonsliste. Men det har vært litt debatt om alvoret av feilen. Kort tid etter at feilen ble offentliggjort, sa IBM-forsker Tom Cross at de fleste webapplikasjoner for det meste ikke ville bli påvirket av problemet.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Men Cross endret seg og skrev: "Dessverre er situasjonen verre enn jeg trodde."

Spesielt kan webmailapplikasjoner være i fare fra dette angrepet. Og sikkerhetseksperter er også bekymret for at andre applikasjoner - for eksempel databaser - kan være i fare.

Twitter.com var mottakelig for feilen fordi det gjorde det som kalles klientforhandling under SSL. Kundefordeling gir nettsiden en måte å spørre Twitter-brukeren for et SSL-sertifikat etter at en bruker allerede er koblet til nettstedet. Det er et nyttig verktøy for nettsteder som lar brukerne logge på ved hjelp av smarte kort eller nettsteder som begrenser tilgangen til en valgt gruppe forhåndsdefinerte surfere, men til feilen er løst, åpner klientforhandlingen også døren for SSL-angrep.

Der er trolig mange nettsteder som Twitter som tillater klientfordeling bare fordi den er innebygd i SSL-protokollen og etterfølgeren TLS (Transport Layer Security), sa Marsh Ray, en av PhoneFactor-utviklerne som oppdaget problemet. "Mange mennesker forsto ikke at de gjorde det," sa han.

Den gode nyheten er at mange nettsteder bare kan deaktivere det direkte, noe som tilsynelatende er hva Twitter har gjort. Twitter reagerte ikke på en melding som ber om kommentar til denne historien.

Ifølge Ray burde folk innse at mens SSL-feilen ikke er katastrofalt, "dette er en alvorlig feil og folk trenger å lappe det."

Dårlige nyheter for kyniske tech bloggere, granatlobbende Internett-troll og alle andre som er har blitt angrepet Windows 8 for den rene spenningen av sport: Jeg har brukt en Windows 8-nettbrett i over en uke nå, og opplevelsen har vært en åpenbaring.

Dårlige nyheter for kyniske tech bloggere, granatlobbende Internett-troll og alle andre som er har blitt angrepet Windows 8 for den rene spenningen av sport: Jeg har brukt en Windows 8-nettbrett i over en uke nå, og opplevelsen har vært en åpenbaring.

Faktisk, hvis du har dømt Windows 8 basert på hvordan Vel RTM-versjonen fungerer på en tradisjonell stasjonær PC, og du har ikke fått den fulle OS-opplevelsen.

Ville det ikke vært fint hvis bilen din kunne betjene seg selv? Det er riktig å tenke på å kjøre opp til et hotell eller en restaurant, komme ut av bilen, og trykke på en knapp. Din bil ville rulle opp sine vinduer og kjøre av for å finne en tilgjengelig parkeringsplass og parkere seg selv. Da, da du trengte bilen igjen, kunne du bare trykke på en annen knapp, og det ville forlate parkeringsplassen og kjøre til hvor du er.

Ville det ikke vært fint hvis bilen din kunne betjene seg selv? Det er riktig å tenke på å kjøre opp til et hotell eller en restaurant, komme ut av bilen, og trykke på en knapp. Din bil ville rulle opp sine vinduer og kjøre av for å finne en tilgjengelig parkeringsplass og parkere seg selv. Da, da du trengte bilen igjen, kunne du bare trykke på en annen knapp, og det ville forlate parkeringsplassen og kjøre til hvor du er.

Bilprodusenter jobber allerede på denne typen mindre intensiv automatisert kjøring. Audi's proof-of-concept-bil er ikke helt Googles selvdrevne kjøretøy. Det er ingen LIDAR-laser på taket, og det kan ikke kjøre hundretusenvis av miles uten menneskelig interaksjon (ennå). Men denne bilen kan kjøre seg inn i en parkeringsplass, parkere seg selv og kjøre seg tilbake for å møte deg med pressen på en smarttelefonknapp.

Forskning er nåsordet for tiden, spesielt hos Microsoft, og forskningen er det som inspirerer folk. Teknologien har blitt revolusjonert i dette århundret som følge av forskning som hadde vært banebrytende av noen ledende organisasjoner over hele verden. Forskning har alltid vært interessant og innsiktsfullt; Å holde dette konseptet i tankene har jeg allerede diskutert mange forskningsemner fra Microsoft her på Windows Club. Hvis jeg legger til en ekstra for å lese interessant, leser jeg om

Forskning er nåsordet for tiden, spesielt hos Microsoft, og forskningen er det som inspirerer folk. Teknologien har blitt revolusjonert i dette århundret som følge av forskning som hadde vært banebrytende av noen ledende organisasjoner over hele verden. Forskning har alltid vært interessant og innsiktsfullt; Å holde dette konseptet i tankene har jeg allerede diskutert mange forskningsemner fra Microsoft her på Windows Club. Hvis jeg legger til en ekstra for å lese interessant, leser jeg om

Sosio-digitale systemer