Phishing and Spear Phishing
Upang magawa ito, pinagsamantalahan nila ang isang bug sa ang mga digital na sertipiko na ginagamit ng mga Web site upang patunayan na sila ang inaangkin nila. Sa pamamagitan ng pagkuha ng mga kilalang flaws sa algorithm ng hashing ng MD5 na ginamit upang lumikha ng ilan sa mga sertipiko na ito, napag-hack ng mga mananaliksik ang RapidSSL.com authority ng Verisign at lumikha ng pekeng mga digital na sertipiko para sa anumang Web site sa Internet.
Hashes ay ginagamit upang lumikha ng isang "fingerprint" para sa isang dokumento, isang numero na dapat na kilalanin ang isang partikular na dokumento at madaling kinalkula upang i-verify na ang dokumento ay hindi nabago sa pagbibiyahe. Gayunpaman, ang algorithm ng hashing ng MD5 ay may kakayahang lumikha ng dalawang magkakaibang dokumento na may parehong halaga ng hash. Ito ay kung paano ang isang tao ay maaaring lumikha ng isang sertipiko para sa isang phishing site na may parehong fingerprint bilang sertipiko para sa tunay na site.
Gamit ang kanilang sakahan ng Playstation 3 machine, ang mga mananaliksik ay nagtayo ng isang "pusong awtoridad ng sertipiko" na maaaring mag-isyu ng mga sertipiko ng pagkakamali na mapagkakatiwalaan ng halos anumang browser. Ang Playstation's Cell processor ay popular sa mga breaker code dahil ito ay partikular na mahusay sa pagganap ng cryptographic function. Plano nila upang ipakita ang kanilang mga natuklasan sa Chaos Communication Kongreso pagpatay conference, gaganapin sa Berlin Martes, sa isang talk na ay naging paksa ng ilang haka-haka sa komunidad ng seguridad sa Internet.
Ang pananaliksik sa trabaho ay ginawa ng isang internasyonal na koponan na kasama ang mga independiyenteng mananaliksik na si Jacob Appelbaum at Alexander Sotirov, pati na rin ang mga siyentipiko ng computer mula sa Centrum Wiskunde & Informatica, ang Ecole Polytechnique Federale de Lausanne, ang Eindhoven University of Technology at ang University of California, Berkeley. [
] Kahit na ang mga mananaliksik ay naniniwala na ang isang real-world na pag-atake gamit ang kanilang mga diskarte ay malamang na hindi, sinasabi nila na ang kanilang trabaho ay nagpapakita na ang MD5 hashing algorithm ay hindi na gagamitin ng mga kompanya ng awtoridad ng sertipiko na naglalabas ng mga digital na sertipiko. "Ito ay isang wake up call para sa sinuman na gumagamit pa rin ng MD5," sabi ni David Molnar isang mag-aaral na nagtapos sa Berkeley na nagtrabaho sa proyekto.
Bilang karagdagan sa Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte at Verisign.co.
Ang paglulunsad ng isang pag-atake ay mahirap, sapagkat ang mga masamang tao ay dapat munang lansihin ang isang biktima sa pagbisita sa malisyosong Web site na nagho-host ng pekeng digital na sertipiko. Gayunpaman, maaaring gawin ito, sa pamamagitan ng paggamit ng tinatawag na isang tao-sa-gitna atake. Noong Agosto, ipinakita ng security researcher na si Dan Kaminsky kung paano maaaring magamit ang isang pangunahing depekto sa Domain Name System ng Internet upang ilunsad ang mga pag-atake ng mga tao sa gitna. Sa pamamagitan ng pinakahuling pananaliksik na ito, mas madali nang ilunsad ang ganitong uri ng pag-atake laban sa mga Web site na naka-secure na gamit ang pag-encrypt ng SSL (Secure Sockets Layer), na nakasalalay sa mapagkakatiwalaang mga digital na sertipiko.
"Maaari mong gamitin ang DNS bug ng kaminsky, upang makakuha ng halos hindi magagawang phishing, "sinabi ni Molnar.
" Hindi ito isang pie-in-the-sky na pag-uusap tungkol sa kung ano ang maaaring mangyari o kung ano ang maaaring gawin ng isang tao, ito ay isang pagpapakita ng kung ano talaga ang kanilang ginawa ang mga resulta upang patunayan ito, "ang isinulat ng HD Moore, direktor ng seguridad na pananaliksik sa BreakingPoint Systems, sa isang blog na nagpo-post sa talk.
Ang cryptographers ay unti-unting nakagugulat sa seguridad ng MD5 mula noong 2004, nang ang isang koponan ay humantong sa pamamagitan ng Shandong Ang University's Wang Xiaoyun ay nagpakita ng mga depekto sa algorithm.
Dahil sa estado ng pananaliksik sa MD5, ang mga awtoridad ng sertipiko ay dapat na mag-upgrade sa mas secure na mga algorithm tulad ng SHA-1 (Secure Hash Algorithm-1) "mga taon na ang nakararaan," sabi ni Bruce Schneier, isang kilalang eksperto sa cryptography at chief chief security officer na may BT.
Ang RapidSSL.com ay titigil sa pag-isyu ng mga sertipiko ng MD5 sa katapusan ng Enero at hinahanap kung paano hikayatin ang mga customer na lumipat sa mga bagong digital na sertipiko matapos na, sinabi ni Tim Callan, vice president ng marketing ng produkto sa Verisign.
Ngunit una, nais ng kumpanya na magkaroon ng isang mahusay na pagtingin sa pinakabagong pananaliksik na ito. Ibinigay ni Molnar at ng kanyang koponan ang kanilang mga natuklasan sa Verisign nang hindi direkta, sa pamamagitan ng Microsoft, ngunit hindi pa sila nakapagsalita nang direkta sa Verisign, dahil sa takot na ang kumpanya ay maaaring kumuha ng legal na aksyon upang ibasura ang kanilang pahayag. Sa nakaraan, ang mga kumpanya ay minsan ay nakakuha ng mga order sa korte upang maiwasan ang mga mananaliksik na magsalita sa mga pag-hack ng kumperensya.
Callan sinabi na siya ay nagnanais na si Verisign ay binigyan ng karagdagang impormasyon. "Hindi ko maipahayag kung gaano ako nasisiraan ng loob na ang mga blogger at mga mamamahayag ay binibigyang-diin sa mga ito ngunit hindi namin, isinasaalang-alang na kami ang mga taong talagang kailangang tumugon."
Habang sinabi ni Schneier na siya ay impressed sa pamamagitan ng sa matematika sa likod ng pinakahuling pananaliksik na ito, sinabi niya na may mga mas mahalaga pang mga problema sa seguridad sa Internet - mga kahinaan na nagpapalawak ng mga malalaking database ng sensitibong impormasyon, halimbawa.
"Hindi mahalaga kung makakakuha ka ng pekeng MD5 certificate, dahil hindi mo pa rin alamin ang iyong mga sertipiko, "sabi niya. "May mga dose-dosenang mga paraan sa pekeng iyon at ito ay isa pa."
Computerworld ay hindi maaaring maging lugar upang gawin ang argument na ito, tulad ng maraming mga mambabasa, walang duda, enjoy playing may bagong software. Ngunit ang iba naman ay hindi. Nagsasalita ako tungkol sa karamihan ng mundo na ang mga trabaho ay hindi kaugnay sa IT. Ang mga taong ito ay maaaring gumamit ng mga computer, kahit na kailangan ang mga ito, ngunit tinitingnan nila ito bilang isang tool upang makuha ang kanilang trabaho. Wala nang iba pa. Bilang isang tagapayo, nakita ko it
Noong nakaraang linggo, sa paggawa ng kaso para sa cloud computing, kapwa Computerworld blogger na si Mark Everett Hall ay nagsalita rin para sa mga di-techies:
Ang aking pinakamalaking problema sa RAM memory optimization software - hindi mahalaga kung sino ang nag-market ito - ay lamang na hindi mo ito kailangan. Ang $ 20 na SuperRam ay nagpapahiwatig, bagaman hindi ito lumalabas at sinasabi ito, na gagawing mas mabilis ang iyong computer. Habang technically ito ay maaaring totoo (kung ikaw ay nagkaroon ng iyong computer sa para sa mga araw sa pagtatapos sa mga programa na tumatakbo na walang pinag-aralan tungkol sa pagbabalik hindi nagamit na memorya)
Iyon ay sinabi, kung kailangan mo lang mahanap ito para sa iyong sarili, SuperRam ay madaling gamitin. Sa aking pagsubok, ito ay may kaunting negatibong epekto sa pagganap ng system (anumang programa na tumatakbo sa background ay gagamit ng ilang memory at CPU cycles). Gayunpaman, kung nakatulong ang SuperRam sa pagganap, ito ay lampas sa aking kakayahang makilala.
Ang mahal na tool ng pagsasalin na hindi nag-aalok ng higit pa sa mga serbisyong libreng online. Ang tool ay maaaring mabilis na isalin ang mga teksto, dokumento, at mga pahina sa Web patungo sa at mula sa iba't ibang wika, at maaari (para sa mga seleksyon ng teksto, ngunit hindi mga pahina sa Web) awtomatikong makilala ang orihinal na wika. Ngunit ang dagdag na kaginhawaan nito kumpara sa mga libreng online na tool tulad ng Google Translate ay maaaring hindi nagkakahalaga ng matarik na presyo n
Babala ng Babylon na isalin ang dose-dosenang mga wika, ngunit ang mga salin nito ay maaaring maging spotty. maikling, 2-araw na libreng pagsubok, ngunit kung pipiliin mo ang pagpipiliang Quick install maaari kang makakuha ng higit pa kaysa sa iyong bargained para sa. Bilang default, babaguhin nito ang iyong home page ng browser at ang iyong default na search engine sa Babilonia, at mag-i-install ng isang toolbar na puno ng mga hindi kaugnay na mga link sa ad (tulad ng "Mga Ringtone" at "Mga Lar