Internet Technologies - Computer Science for Business Leaders 2016
En Seattle-datakonsulent siger, at han har udviklet en ny måde at udnytte en nyligt afsløret fejl i SSL-protokollen til, for at sikre kommunikation på internettet. Angrebet, mens det er svært at udføre, kan give angriberne et meget kraftfuldt phishing-angreb.
Frank Heidt, administrerende direktør for Leviathan Security Group, siger, at hans "generiske" proof of concept-kode kunne bruges til at angribe en række forskellige websteder. Mens angrebet er yderst vanskeligt at trække af - skal hackeren først først trække et man-i-midten-angreb, løbe kode, der kompromitterer offerets netværk - det kunne have ødelæggende konsekvenser.
Angrebet udnytter SSL (Secure Sockets Layer) Authentication Gap bug, først offentliggjort den 5. november. En af SSL-bugens opdagere, Marsh Ray på PhoneFactor, siger, at han har set en demonstration af Heidts angreb, og han er overbevist om, at det kunne fungere. "Han viste det for mig, og det er den rigtige aftale," sagde Ray.
[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]SSL-godkendelsesfejlen giver angriberen mulighed for at ændre data, der sendes til SSL-serveren, men der er stadig ingen måde at læse informationen tilbage. Heidt sender data, der får SSL-serveren til at returnere en omdirigeringsmeddelelse, som derefter sender webbrowseren til en anden side. Han bruger derefter den omdirigere besked til at flytte offeret til en usikker forbindelse, hvor websiderne kan omskrives af Heidt's computer, før de sendes til offeret.
"Frank har vist en måde at udnytte denne blind plain text injection-attack i Et komplet kompromis af forbindelsen mellem browseren og det sikre websted, "sagde Ray.
Et konsortium af internetfirmaer har arbejdet på at rette fejlen, da PhoneFactor-udviklerne først afdækkede det for flere måneder siden. Deres arbejde fik nyt haster, da fejlen blev utilsigtet oplyst på en diskussionsliste. Sikkerhedseksperter har diskuteret sværhedsgraden af denne nyeste SSL-fejl, siden den blev offentlig viden.
IBM-forsker Anil Kurmus viste i sidste uge, hvordan fejlen kunne bruges til at narre browsere til at sende Twitter-beskeder, der indeholdt brugeradgangskoder.
Dette sidste angreb viser, at fejlen kunne bruges til at stjæle alle mulige følsomme oplysninger fra sikre websteder, siger Heidt.
For at være sårbare skal websteder gøre noget, der kaldes klientforhandling under SSL og også have noget element på deres sikre websider, der kan generere en bestemt 302 omdirigeringsmeddelelse.
Mange højt profilerede bank- og e-handelswebsites vil ikke returnere denne 302 omdirigere meddelelse på en måde, der kan udnyttes, men et "stort antal" websteder kan blive angrebet, siger Heidt.
Med så mange websteder, der står i fare for fejlen, siger Heidt, at han ikke har til hensigt at frigive sin kode straks.
Fra offerets perspektiv er den eneste mærkbare forandring under et angreb, at browser nej lo Nger ser ud som om den er forbundet til et SSL-websted. Attacken ligner SSL Strip-angrebet demonstreret af Moxie Marlinspike [cq] på en sikkerhedskonference tidligere i år.
Leviathan Security Group har oprettet et værktøj, som webmastere kan bruge til at se, om deres websteder er sårbare over for en SSL-godkendelsesgap angreb.
Da SSL og dens erstatningsstandard, TLS, anvendes i en lang række internetteknologier, har fejlen vidtrækkende konsekvenser.
Thierry Zoller, en sikkerhedskonsulent med G-Sec, siger teoretisk, fejlen kunne bruges til at angribe postservere. "En angriber kan potentielt highjack-mails sende over sikrede SMTP [Simple Mail Transfer Protocol] -forbindelser, selvom de er autentificeret af et privat certifikat," sagde han i et instant messaging-interview.
Zoller, som ikke har set Leviathan's kode, sagde, at hvis angrebet fungerer som annonceret, vil det kun være et spørgsmål om dage, før en anden opfatter hvordan man gør det.
Hvis du virkelig kommer ind i det, kan Craigslist gøre dit liv lettere på mange forskellige måder. Du kan finde næsten alt på siden, fra en ny harddisk til et nyt job til en dato for fredag aften. Du kan også sælge næsten alt. Men for at høste alle Craigslists potentielle gevinster, skal du øge din bevidsthed om, hvad der er tilgængeligt på stedet, sammen med hvornår og hvordan man sælger dine egne ting der. Værktøjerne beskrevet nedenfor hjælper dig med at gøre det.
Søg i Craigslist:
På trods af de hype og bjerge af kontanter, der blev foretaget af Diablo 3, forlod det færdige produkt mange mennesker, der smagede svovl og aske. Mellem auktionshuset, online DRM krav, hackede konti og mange andre skuffelser brød Blizzard's bruiser så mange hjerter som det vandt. Men der er andre fisk i havet. Runic Entertainment's første crack på action RPG designer-drug formula resulterede i den enormt succesfulde Torchlight, et spil, der havde det hele, forudsat at du kan lide at spille unde
Denne gang får du adgang til fire startklasser og dit valg af køn, sammen med dit valg af kæledyr ud af et valg af seks. Den dobbeltfistede Berserker erstatter den tanklignende Destroyer og den spændte elementarangrebspecialist Embermage trin ind for alkymisten, men der er også to nye klasser. Ingeniøren bringer en smule af dværgens tinker til Torchlight, og Outlanders runder ud pakken med en blanding af våben og hastighed. Begge disse klasser har minions til rådighed på senere niveauer, og spic
At undgå alle former for distraktioner under arbejdet kan hjælpe dig med at fuldføre din opgave hurtigt og produktivt. Er det ikke? Ofte holder vi mange programmer åbne samtidigt, så vi hurtigt kan få adgang til dem, når vi vil. Men i processen glemmer vi at det medfører distraktioner. Hvis du kører mange programmer på samme tid, kan du glemme hvilket program du brugte i øjeblikket. Som sådan er det altid bedre at have en ansøgning til rådighed, der kan dæmpe alt på skrivebordet undtagen det akt
Le Dimmer