NETWORK SECURITY - SECURE SOCKET LAYER - PART 1 (SSL RECORD PROTOCOL)
Ang ganitong uri ng pag-atake ay maaaring hayaan ang isang magsasalakay na magnakaw ng mga password, hijack ang isang on-line banking session o kahit na itulak ang pag-update ng Firefox browser na naglalaman ng malisyosong code, sinabi ng mga mananaliksik. Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC.
Ang mga problema ay kasinungalingan sa paraan na ipinatupad ng maraming mga browser ang SSL, at sa X.509 pampublikong sistema ng imprastraktura ng key na ginagamit upang pamahalaan ang mga digital na sertipiko na ginamit sa pamamagitan ng SSL upang matukoy kung ang isang Web site ay mapagkakatiwalaan.
Ang isang tagapagpananaliksik ng seguridad na tumatawag sa sarili na si Moxie Marlinspike ay nagpakita ng isang paraan ng paghadlang sa trapiko ng SSL gamit ang tinatawag niyang null-termination certificate. Upang gumawa ng kanyang pag-atake, dapat munang makuha ng Marlinspike ang kanyang software sa isang lokal na network ng lugar. Sa sandaling naka-install, ito ay nagpapakita ng trapiko ng SSL at nagpapakita ng kanyang sertipiko ng null-termination upang mahadlangan ang mga komunikasyon sa pagitan ng kliyente at ng server. Ang ganitong uri ng pag-atake ng tao-sa-gitna ay hindi maikakita, sinabi niya.
Marlinspike ang pag-atake ay halatang katulad ng isa pang karaniwang pag-atake na kilala bilang isang pag-atake sa iniksyon ng SQL, na nagpapadala ng espesyal na data sa programa sa pag-asang mapapansin ito paggawa ng isang bagay na hindi dapat gawin. Natagpuan niya na kung gumawa siya ng mga sertipiko para sa kanyang sariling domain sa Internet na kasama ang mga null character - madalas na kinakatawan ng isang - 0 - ang ilang mga programa ay magkakamali sa mga sertipiko.Iyan ay dahil ang ilang mga programa ay hihinto sa pagbasa ng teksto kapag nakakita sila ng null character. Kaya ang isang sertipiko na ibinigay sa www.paypal.com 0.thoughtcrime.org ay maaaring basahin bilang pag-aari sa www.paypal.com.
Ang problema ay laganap, sinabi ni Marlinspike, na nakakaapekto sa Internet Explorer, VPN (virtual private network) software, mga e-mail client at instant messaging software, at Firefox version 3.
Upang mas malala ang bagay, iniulat ng mga mananaliksik na sina Dan Kaminsky at Len Sassaman na natuklasan nila na ang isang malaking bilang ng mga programa sa Web ay nakasalalay sa mga sertipiko na ibinigay gamit ang isang lipas na cryptographic teknolohiya na tinatawag na MD2, na matagal na itinuturing na walang katiyakan. Ang MD2 ay hindi aktwal na na-crack, ngunit maaaring nasira sa loob ng ilang buwan ng isang tinutukoy na pag-atake, sinabi ni Kaminsky.
Ang algorithm ng MD2 ay ginamit 13 taon na ang nakakaraan sa pamamagitan ng VeriSign sa self-sign "isa sa mga core root certificates sa ang bawat browser sa planeta, "sabi ni Kaminsky.
VeriSign tumigil sa pag-sign ng mga sertipiko gamit ang MD2 noong Mayo, ayon kay Tim Callan, vice president ng pagmemerkado sa produkto sa VeriSign.
Gayunpaman," maraming bilang ng mga Web site ang gumagamit ng ugat na ito, kaya hindi namin talaga maaaring patayin ito o babaguhin namin ang Web, "sabi ni Kaminsky.
Ang mga gumagawa ng software ay maaaring, gayunpaman, sabihin sa kanilang mga produkto na hindi pinagkakatiwalaan ang mga sertipiko ng MD2; maaari rin nilang i-program ang kanilang mga produkto upang hindi mahina sa pag-atake ng null-termination. Sa ngayon, gayunpaman, ang Firefox 3.5 ay ang tanging browser na may patched na isyu na null-termination, sinabi ng mga mananaliksik.
Ito ang pangalawang pagkakataon sa nakalipas na kalahating taon na ang SSL ay nasuri. Sa nakalipas na nakaraang taon, natagpuan ng mga mananaliksik ang isang paraan upang lumikha ng isang pusong awtoridad ng sertipiko, na maaaring mag-isyu ng mga certificate ng teleponoy SSL na mapagkakatiwalaan ng anumang browser.
Kaminsky at Sassaman ay nagsasabi na may mga rakit ng mga problema sa paraan ng mga sertipiko ng SSL inisyu na gumawa ng mga ito walang katiyakan. Sumang-ayon ang lahat ng mga mananaliksik na ang x.509 system na ginagamit upang pamahalaan ang mga sertipiko para sa SSL ay hindi napapanahon at kailangang maayos.
Ang AT & T Navigator ay may mas maraming kapaki-pakinabang na tampok kaysa sa iba pang apps ng GPS ng cell phone, kabilang ang panahon at naka-iskedyul na mga alerto sa trapiko ng commuter. katulad ng Sprint Navigation (parehong nilikha ng TeleNav), ngunit nag-aalok ito ng higit pang mga tampok kaysa sa iba pang mga serbisyong GPS ng cell na sinubukan ko, kabilang ang mode ng pedestrian, suporta para sa paglikha ng mga waypoint (tumigil sa isang ruta), mga ulat ng instant na panahon, mga alerto.
Sinubukan ko ang AT & T Navigator, kasama ang Sprint Navigation at VZ Navigator, sa BlackBerry Curve handsets. Ang lahat ng mga app at serbisyo ay tumpak, at nagbibigay ng mga direksyon sa pagmamaneho na may kaunting problema.
Ilagay ang Higit na Paggastos ng IT sa Mga Plano ng Pampasigla, Ang mga Pamahalaan ng Obama ay makakakuha ng mas mahusay na pang-ekonomiyang pagbalik mula sa mga pamumuhunan sa teknolohiya kaysa sa iba pang mga uri ng mga programang pampasigla.
Dapat isama ng mga pamahalaan ang mas maraming impormasyon at mga pamumuhunan sa teknolohiya sa komunikasyon sa kanilang mga planong pampasigla sa ekonomiya, ayon sa isang tagapayo sa koponan ng paglipat ni Pangulong Barack Obama.
Ang mabilis na paghahanap ng tool ay magagamit na ngayon sa higit pang mga browser at para sa higit pang mga email account at mga social network. mabilis na paghahanap ng Gmail sa nakalipas, ngunit lamang sa mga browser ng Firefox at Chrome. Ngayon ang libreng tool ay mas kahanga-hanga kaysa kailanman, nag-aalok ng mga paghahanap ng lahat mula sa Facebook at Dropbox sa Box at AOL, at sa higit pang mga browser kaysa bago.
Ang pinakamahusay na balita ay ginagawa nito ang lahat ng ito nang hindi nakakaapekto sa pagganap nito. Ang CloudMagic ay naghahatid pa rin ng pinakamabilis at pinaka-may-katuturang mga resulta ng paghahanap na nakita ko pa.