Michal Špaček - Hesla - ukládání a lámání
Chyba v protokolu používaném pro zabezpečení komunikace přes internet mohla být použita k hackování účtů Twitter, tvrdí výzkumník IBM.
Minulý týden Anil Kurmus ukázal, jak by mohla být chyba v protokolech SSL (Secure Sockets Layer) používá v podstatě k obtěžování obětí, aby zasílali zprávy Twitter, které obsahovaly informace o jejich hesle. Pro chybu, která má být zneužita, by hacker nejprve musel najít způsob, jak se dostat do sítě oběti a spustit to, co je známo jako prostředník útoku, takže by bylo těžké ovlivnit velké množství uživatelů Twitter s této techniky. Problém byl brzy patrný Twitterem, ale bezpečnostní odborníci se zajímali o to, kolik webových stránek by mohlo trpět podobným problémem.
Konsorcium internetových společností se chystá vyřešit problém SSL od 5. listopadu, kdy to bylo neúmyslně provedeno veřejnosti v seznamu diskuzí. Ale došlo k nějaké debatě o závažnosti chyby. Krátce poté, co byla chyba zveřejněna, výzkumník společnosti IBM Tom Cross uvedl, že z velké části nebudou tyto problémy ovlivněny významnými webovými aplikacemi.
Aplikace Webmailu mohou být zejména ohroženy tímto útokem. A bezpečnostní experti se také obávají, že mohou být ohroženy i jiné aplikace - databáze, například.
Twitter.com byla náchylná k chybě, protože se v rámci SSL řídila takzvaná renegulace klienta. Obnovené projednání klienta dává webové stránce způsob, jak požádat uživatele Twitteru o certifikát SSL poté, co je uživatel již připojen k webu. Je to užitečný nástroj pro weby, které umožňují uživatelům přihlásit se pomocí čipových karet nebo pro stránky, které omezují přístup k vybrané skupině předdefinovaných webových surfařů, ale dokud nebude chyba pevně stanovena, znovu otevírá klienta také pro útoky SSL. jsou pravděpodobně mnoho webů, jako je Twitter, které umožňují nové vyjednávání klientů jednoduše proto, že je zabudováno do protokolu SSL a jeho nástupce TLS (Transport Layer Security), řekl Marsh Ray, jeden z vývojářů telefonu PhoneFactor, který tento problém objevil. "Spousta lidí si neuvědomovala, že to dělají," řekl.
Dobrou zprávou je, že mnoho stránek ji jednoduše vypne, což je zřejmě to, co Twitter dělal. Twitter nereagoval na zprávu s žádostí o komentář k tomuto příběhu
Podle Ray by si lidé měli uvědomit, že zatímco chyba SSL není katastrofální, "to je vážná chyba a lidé ji potřebují opravit."
Adobe chyba byla použita v útoky od počátku ledna
SecurityFire SourceFire říká, že nový útok 0day Adobe byl kolem od 9. ledna.
Chyba bezdrátové sítě Cisco by mohla otevřít "zadní dvířka"
Společnost AirMagnet uveřejní úterý, že objevila zranitelnost v bezdrátových přístupových bodech Cisco Systems.
U.S. že některé nákupy systému IT s vazbami na Čínu by mohly být omezeny. Některé americké federální agentury by mohly být brány v nákupu systémů informačních technologií společností, které mají spojení s čínskou vládou podle nového zákona o financování, který podepsal prezident Barack Obama tento týden. Některé americké federální agentury by mohly být brány v nákupu systémů informačních technologií společností, které mají spojení s čínskou vládou podle nového zákona o financování, který byl pod
Rizika "kyberpřipojování nebo sabotáže" budou které jsou ve vlastnictví, řízeny nebo financovány čínskou vládou.