hsts beveiliging tegen sslstrip aanvallen
Een computerconsultant in Seattle zegt dat hij een nieuwe manier heeft ontwikkeld om een recentelijk beschreven bug in het SSL-protocol te exploiteren, die wordt gebruikt om communicatie op internet te beveiligen. De aanval, hoewel moeilijk uit te voeren, zou aanvallers een zeer krachtige phishing-aanval kunnen bezorgen.
Frank Heidt, CEO van Leviathan Security Group, zegt dat zijn "generieke" proof-of-concept code kan worden gebruikt om een verscheidenheid aan websites aan te vallen. Hoewel de aanval extreem moeilijk is om te doen - de hacker zou eerst eerst een man-in-the-middle aanval moeten uitvoeren, met code die het netwerk van het slachtoffer compromitteert - dit zou verwoestende gevolgen kunnen hebben.
De aanval exploiteert de SSL (Secure Sockets Layer) Authentication Gap-bug, voor het eerst bekendgemaakt op 5 november. Een van de ontdekkers van de SSL-bug, Marsh Ray van PhoneFactor, zegt dat hij een demonstratie van de aanval van Heidt heeft gezien, en hij is ervan overtuigd dat het zou kunnen werken. "Hij heeft het mij laten zien en het is de real deal", zei Ray.
[Lees meer: Hoe malware van je Windows-pc te verwijderen]De SSL-authenticatiefout geeft de aanvaller een manier om de verzonden gegevens te veranderen naar de SSL-server, maar er is nog steeds geen manier om de informatie die terugkomt te lezen. Heidt verzendt gegevens die ervoor zorgen dat de SSL-server een omleidingsbericht retourneert dat vervolgens de webbrowser naar een andere pagina verzendt. Vervolgens gebruikt hij dat omleidingsbericht om het slachtoffer naar een onbeveiligde verbinding te verplaatsen, waar de webpagina's door Heidt's computer kunnen worden herschreven voordat ze naar het slachtoffer worden verzonden.
"Frank heeft een manier getoond om gebruik te maken van deze blinde injectie voor onverdunde tekstinjectie in een compleet compromis van de verbinding tussen de browser en de beveiligde site, "zei Ray.
Een consortium van internetbedrijven heeft gewerkt aan het probleem, omdat de ontwikkelaars van PhoneFactor dit enkele maanden geleden voor het eerst hebben ontdekt. Hun werk kreeg nieuwe urgentie toen de bug per abuis op een discussielijst werd bekendgemaakt. Beveiligingsexperts debatteren over de ernst van deze nieuwste SSL-fout sinds het bekend werd.
Afgelopen week liet IBM-onderzoeker Anil Kurmus zien hoe de fout gebruikt kon worden om browsers te misleiden tot het verzenden van Twitter-berichten die gebruikerswachtwoorden bevatten.
Deze laatste aanval laat zien dat de fout kan worden gebruikt om allerlei soorten gevoelige informatie van beveiligde websites te stelen, zei Heidt.
Om kwetsbaar te zijn, moeten sites iets doen met de naam heronderhandeling van de klant onder SSL en ook om een element op hun website te hebben. beveiligde webpagina's die een bepaald 302-omleidingsbericht kunnen genereren.
Veel spraakmakende websites voor bankieren en e-commerce zullen dit 302-omleidingsbericht niet terugsturen op een manier die kan worden misbruikt, maar een "groot aantal" websites kan worden aangevallen, Heidt zei.
Met zoveel websites die het risico lopen om de fout te maken, zegt Heidt dat hij niet van plan is om zijn code onmiddellijk vrij te geven. browser nee nger ziet eruit alsof het verbonden is met een SSL-site. De aanval lijkt op de SSL Strip-aanval die eerder dit jaar door Moxie Marlinspike [cq] op een veiligheidsconferentie werd getoond.
Leviathan Security Group heeft een tool ontwikkeld die webmasters kunnen gebruiken om te zien of hun sites kwetsbaar zijn voor een SSL-authenticatiegesprek aanval. Omdat SSL, en zijn vervangende standaard, TLS, worden gebruikt in een breed scala van internettechnologieën, heeft de bug verreikende gevolgen. Thierry Zoller, een beveiligingsadviseur bij G-Sec, zegt dat theoretisch, de fout kan worden gebruikt om mailservers aan te vallen. "Een aanvaller kan potentieel highjack-e-mails verzenden via beveiligde SMTP [Simple Mail Transfer Protocol] -verbindingen, zelfs als deze worden geverifieerd door een privécertificaat," zei hij in een onmiddellijk berichtinterview.
Zoller, die Leviathan's code niet heeft gezien, zei dat als de aanval werkt zoals geadverteerd, het slechts een kwestie van dagen zal duren voordat iemand anders weet hoe het moet.
Kunstwerk: Chip TaylorPalm's nieuwe CEO zei donderdag dat hij denkt dat de smartphonemarkt snel genoeg groeit dat meerdere fabrikanten van mobiele telefoons kunnen gedijen, en dat hij ook verwijst naar updates voor de nieuwe Pre-telefoons.
Smartphones maken 11 procent van alle telefoons wereldwijd en 19 procent in de VS, maar die cijfers zullen naar verwachting in 2013 verdubbelen, aldus Jon Rubinstein, Palm's voorzitter en CEO, tijdens de winst van het bedrijf in het vierde kwartaal op donderdag.
Nieuwe Sharp-weergavetechnologie waarvan gezegd wordt dat ze de levensduur van de mobiele batterij verdrievoudigd heeft
Weigeren om specifieke details te verstrekken, maar Sharp executive Masami Ohbatake vertelde verslaggevers in Tokio dat de twee apparaten die al met de technologie zijn aangekondigd, binnenkort nog veel meer zullen worden toegevoegd.
We besteden veel tijd aan het doorlezen van sociale netwerksites, maar dat is niet genoeg Dat betekent dat we allemaal sociale vlinders zijn. Het lijkt erop dat e-mail het nieuws van gisteren is geworden. Terwijl het controleren van e-mail vroeger onze belangrijkste reden was om online te gaan, besteden we nu meer van onze online tijd aan het surfen op sociale netwerken, volgens nieuwe nummers van Nielsen. We spenderen 23 procent van onze online tijd aan surfen op sociale netwerken zoals Faceboo
Dat nieuws hoeft mij niet per se te verbazen: ik kan 10 minuten doorbrengen op Facebook en verstrikt raken in de activiteiten van 25 verschillende mensen, terwijl het besteden van diezelfde 10 minuten aan e-mail me in staat zou stellen om veel nutteloze junkmail te verwijderen en misschien een bericht te lezen. Maar als ik echt stop om erover na te denken, houdt Facebook me niet echt beter verbonden met de meeste mensen. Hier zijn vijf redenen waarom.