Our Miss Brooks: English Test / First Aid Course / Tries to Forget / Wins a Man's Suit
Google, Microsoft og Yahoo har afhjulpet en kryptografisk svaghed i deres e-mail-systemer, der kan give en hacker mulighed for at oprette en forfalsket besked, der overfører en matematisk sikkerhedsverifikation.
Svagheden påvirker DKIM eller DomainKeys Identified Mail, et sikkerhedssystem af store email afsendere. DKIM indpakker en kryptografisk signatur omkring en e-mail, der verificerer domænenavnet, som meddelelsen blev sendt til, hvilket letter lettere at filtrere spoofede meddelelser fra legitime.
Problemet ligger ved at underskrive nøgler, der er mindre end 1.024 bit, hvilket kan blive faktureret på grund af stigende computerkraft. US-CERT sagde i en rådgivende udgave onsdag, at signatur nøgler mindre end 1.024 bit er svage, og at nøgler op til RSA-768 bits er blevet faktureret.
[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]Problemet opstod, efter at den Florida-baserede matematiker Zachary Harris blev sendt en email fra en Google-rekrutterer, der kun brugte en 512-bit nøgle, ifølge en rapport offentliggjort onsdag af Wired magazine.
Tænker det kan være en smart test af Google, faktureret han nøglen, og brugte den til at sende en forfalsket besked fra Sergey Brin til Larry Page, Googles grundlæggere.
Det var ikke en test, men faktisk et alvorligt problem, hvor emails, der kunne være falske ville have tillid til. Ifølge DKIM-standarden har e-mail-meddelelser, der har nøgler kortere end 1.024 bit, ikke nødvendigvis afvist.
Harris fandt, at problemet ikke var begrænset til Google, men også Microsoft og Yahoo, som alle syntes at have løst problemet som for to dage siden, ifølge US-CERT. Harris fortalte Wired, at han fandt enten 512 bit eller 768 bit nøgler til brug på PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com og HSBC.
Svag Signaturnøgler er en velsignelse for cyberkriminelle. De vælger selektivt folk med e-mails, der indeholder ondsindede links, i et forsøg på at udnytte en computers software og installere malware, en angrebsstil kendt som spyd phishing. Hvis en e-mail indeholder den korrekte DKIM-signatur, er det mere sandsynligt, at det vil ende i en modtagerens indbakke.
US-CERT advarer også om et andet problem. DKIM-specifikationen tillader en afsender at markere, at den tester DKIM i meddelelser. Nogle modtagere vil "acceptere DKIM-meddelelser i testtilstand, når meddelelserne skal behandles som om de ikke var DKIM signeret," US-CERT sagde.
Send nyhedstips og kommentarer til [email protected]. Følg mig på Twitter: @jeremy_kirk
Microsoft / Yahoo: Langt fra alvorlig Google Threat
Den forventede aftale, hvis rapporterne er korrekte, vil kun være starten på en lang, hård vejen mod udfordrende Google i big money-virksomheden med søgning.
Stansene fortsætter bare med at komme i Android-smartphonespillet - og denne gang kan lederen selv komme ind i ringen. Google forbereder sig på at afsløre sin egen brugerdefinerede Android-telefon, en rapport offentliggjort på TheStreets.com krav. Hvis det er sandt, vil flytningen markere Googles første foray i Android-telefonfragmentet og kunne signalere en alvorlig shake-up til Amerika's carrier-drevne smartphone-marked.
Google-Android Buzz
Bing er en alvorlig udfordrer for Google
Bing har tilføjet værdifulde værktøjer og sjov teknologi, hvilket gør den til en formidabel Google-konkurrent. af Microsofts sene og unlamentede Live Search-motor, forgængeren til Bing, er det let at afskedige Redmond som en uheldig også - sprang på søgemarkedet. Men i betragtning af de enorme pengesummer og ressourcer, som Microsoft investerer i sin fledging Google udfordrer, kan det ændre sig.