à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸©
ซีแอตเทิลผู้ให้คำปรึกษาด้านความปลอดภัยคอมพิวเตอร์กล่าวว่าเขาได้พัฒนาวิธีใหม่ในการใช้ประโยชน์จากข้อบกพร่องที่ได้รับการเปิดเผยเมื่อเร็ว ๆ นี้ในโปรโตคอล SSL ซึ่งใช้เพื่อรักษาความปลอดภัยการสื่อสารบนอินเทอร์เน็ต การโจมตีในขณะที่ยากที่จะดำเนินการอาจทำให้ผู้บุกรุกมีการโจมตีแบบฟิชชิ่งที่มีพลังมาก Frank Frank Heidt, CEO ของ Leviathan Security Group กล่าวว่ารหัสพิสูจน์เรื่องทั่วไปของเขาอาจถูกนำมาใช้เพื่อโจมตีเว็บไซต์หลายแห่ง. ในขณะที่การโจมตีเป็นเรื่องยากมากที่จะดึงออกแฮกเกอร์จะต้องดึงการโจมตีแบบแมน - ใน - กลางออกเป็นครั้งแรกโดยใช้รหัสที่กระทบเครือข่ายของเหยื่อ - อาจส่งผลร้ายแรงได้
การโจมตี ใช้ช่องโหว่ SSL (Secure Sockets Layer) Authentication Gap ซึ่งเปิดเผยครั้งแรกเมื่อวันที่ 5 พ.ย. ผู้ค้นพบข้อบกพร่องของ SSL อย่าง Marsh Ray ที่ PhoneFactor กล่าวว่าเขาเห็นการโจมตี Heidt และเชื่อมั่นว่าจะสามารถทำงานได้ Ray ได้กล่าวว่า "เขาแสดงให้ฉันเห็นและเป็นเรื่องจริง" Ray กล่าว
[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]
ข้อบกพร่อง SSL Authentication ช่วยให้ผู้โจมตีสามารถเปลี่ยนข้อมูลที่กำลังถูกส่ง ไปยังเซิร์ฟเวอร์ SSL แต่ยังไม่มีวิธีอ่านข้อมูลที่จะกลับมา Heidt ส่งข้อมูลที่ทำให้เซิร์ฟเวอร์ SSL ส่งคืนข้อความเปลี่ยนเส้นทางซึ่งจะส่งเว็บเบราเซอร์ไปยังหน้าอื่น จากนั้นเขาก็ใช้ข้อความเปลี่ยนเส้นทางที่จะย้ายเหยื่อไปยังการเชื่อมต่อที่ไม่ปลอดภัยซึ่งเว็บเพจสามารถถูกเขียนใหม่โดยคอมพิวเตอร์ของ Heidt ก่อนที่จะถูกส่งไปยังเหยื่อ"แฟรงก์ได้แสดงให้เห็นถึงวิธีที่จะใช้ประโยชน์จากการโจมตีการเขียนข้อความธรรมดานี้ การเชื่อมต่อระหว่างเบราว์เซอร์และเว็บไซต์ที่มีการรักษาความปลอดภัยอย่างสมบูรณ์ "เรย์กล่าว" กลุ่มผู้ให้บริการอินเทอร์เน็ตหลายแห่งกำลังพยายามแก้ไขข้อบกพร่องดังกล่าวเนื่องจากนักพัฒนา PhoneFactor ได้ค้นพบข้อมูลดังกล่าวเป็นเวลาหลายเดือนก่อน งานของพวกเขาได้รับความเร่งด่วนใหม่เมื่อข้อผิดพลาดถูกเปิดเผยโดยไม่ได้ตั้งใจในรายการสนทนา ผู้เชี่ยวชาญด้านความปลอดภัยได้ถกเถียงถึงความรุนแรงของข้อบกพร่อง SSL ล่าสุดนี้เนื่องจากเป็นความรู้สาธารณะ
สัปดาห์ที่แล้ว Anil Kurmus นักวิจัยของ IBM แสดงให้เห็นว่าข้อบกพร่องสามารถใช้เพื่อหลอกลวงให้เบราว์เซอร์ส่งข้อความ Twitter ที่มีรหัสผ่านของผู้ใช้ได้
Heidt กล่าวว่าการโจมตีครั้งล่าสุดนี้แสดงให้เห็นว่าช่องโหว่นี้สามารถใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากเว็บไซต์ที่ปลอดภัย Heidt กล่าวว่า
เพื่อให้มีช่องโหว่ไซต์ต้องทำบางสิ่งที่เรียกว่าการเจรจาต่อรองของลูกค้าภายใต้ SSL และยังมีองค์ประกอบบางอย่างอยู่ รักษาความปลอดภัยเว็บเพจที่สามารถสร้างข้อความเปลี่ยนเส้นทาง 302 ได้
เว็บไซต์ธนาคารและอีคอมเมิร์ซที่มีชื่อเสียงจำนวนมากจะไม่ส่งข้อความการเปลี่ยนเส้นทาง 302 ครั้งนี้ไปในทางที่สามารถใช้ประโยชน์ได้ แต่ "เว็บไซต์จำนวนมาก" สามารถทำได้ Heidt กล่าวว่า "ด้วยเว็บไซต์จำนวนมากที่เสี่ยงต่อข้อบกพร่อง Heidt กล่าวว่าเขาไม่ได้ตั้งใจที่จะปล่อยรหัสของเขาทันที
จากมุมมองของเหยื่อการเปลี่ยนแปลงเพียงอย่างเดียวที่เห็นได้ชัดในระหว่างการโจมตีก็คือ เบราเซอร์ไม่ lo nger ดูเหมือนว่าจะเชื่อมต่อกับไซต์ SSL การโจมตีดังกล่าวคล้ายกับการโจมตี SSL Strip ที่ Moxie Marlinspike [cq] แสดงโดยในการประชุมด้านความปลอดภัยเมื่อต้นปีนี้
Leviathan Security Group ได้สร้างเครื่องมือที่ผู้ดูแลเว็บสามารถใช้เพื่อดูว่าเว็บไซต์ของตนมีช่องโหว่ในการตรวจสอบความถูกต้องของ SSL หรือไม่
Thierry Zoller, ที่ปรึกษาด้านความปลอดภัยของ G-Sec, กล่าวว่าในทางทฤษฎี, Thierry Zoller ซึ่งเป็นที่ปรึกษาด้านความปลอดภัยของ G-Sec กล่าวว่าเนื่องจาก SSL และมาตรฐานการแทนที่ TLS ถูกนำมาใช้ในเทคโนโลยีอินเทอร์เน็ตจำนวนมากข้อบกพร่องนี้มีความหมายกว้างไกล < ข้อบกพร่องนี้สามารถใช้โจมตีเซิร์ฟเวอร์อีเมลได้ ผู้บุกรุกอาจจะสามารถส่งข้อความผ่านทาง SMTP ที่มีความปลอดภัยได้แม้ว่าจะมีการรับรองความถูกต้องโดยใบรับรองส่วนตัวก็ตามเขากล่าวในการสัมภาษณ์ด้วยข้อความโต้ตอบแบบทันที Zoller ที่ไม่ได้เห็นรหัสของ Leviathan, กล่าวว่าถ้าการโจมตีทำงานตามที่โฆษณาจะเป็นเพียงไม่กี่วันก่อนที่คนอื่นจะทราบว่าจะทำอย่างไร
ผู้จำหน่ายการกำหนดเส้นทางโอเพนซอร์ส Vyatta กำลังเพิ่ม SSL VPN การป้องกันการบุกรุกแคชของเว็บการกรอง URL และคุณสมบัติอื่น ๆ ใน Vyatta Community Edition 5 (VC5) ซึ่งเป็นซอฟต์แวร์เวอร์ชันล่าสุดที่จะเปิดตัวในวันจันทร์
ตามการปฏิบัติของผู้จัดจำหน่าย Linux Vyatta แจกจ่ายซอฟต์แวร์การกำหนดเส้นทางในเวอร์ชันฟรีและจำหน่ายเวอร์ชันที่ทันสมัยขึ้นพร้อมกับการสนับสนุน ลูกค้าสามารถซื้อซอฟต์แวร์บนเซิร์ฟเวอร์ x86 มาตรฐาน Vyatta กล่าวว่ามันมีทางเลือกที่มีราคาแพงและมีความยืดหยุ่นมากขึ้นสำหรับผลิตภัณฑ์ที่มีความคุ้นเคยในการกำหนดเส้นทางจาก Cisco Systems และ Juniper ตามที่ Vyatta กล่าว Dave Roberts, รองประธานฝ่ายกลยุทธ์และการตลาดของ บริษัท Belmont, California กล่าวว่า "แพลตฟอร์มนี้ออกแบบมาสำหรับองค์กรขนาดใหญ่และประมาณครึ่งหนึ่งของล
ปฏิทิน Google ที่มีสัญลักษณ์หรือเครื่องหมายเน้นชื่อสามารถซิงค์ได้ ("Lunch @ 1: 30 w / Marie-Élise "ไม่ใช่ปัญหา) และช่วงเวลาการซิงค์สำหรับทั้งกิจกรรมและที่อยู่ติดต่อลดลงจากทุกๆ 2-3 ชั่วโมงทุกๆ 15 นาที นอกจากนี้ปาล์มยังให้ประสิทธิภาพอีเมลที่ดีขึ้นในพื้นที่ที่ครอบคลุมระบบไร้สายได้ไม่สะดุดและสนับสนุนเซิร์ฟเวอร์อีเมลที่ไม่ใช่ SSL Exchange ActiveSync (EAS)
[อ่านเพิ่มเติม: โทรศัพท์ Android ที่ดีที่สุดสำหรับทุกงบประมาณ ]
Ad-Aware Internet Security Pro (30 วันทดลองใช้ฟรี 30 วัน) ออกแบบมาสำหรับธุรกิจอยู่ที่ส่วนบนของสายผลิตภัณฑ์ Ad-Aware ของ Lavasoft สิ่งที่เริ่มเป็นแอนตี้สปายแวร์ได้เติบโตขึ้นเป็นชุดใหญ่ที่มีการป้องกันมัลแวร์ที่ครอบคลุม - รวมถึงโปรแกรมป้องกันไวรัสการป้องกันเครือข่ายและการกำจัด rootkit Lavasoft ยังมีซอฟต์แวร์ฟรีรุ่นหนึ่งซึ่งเรียกว่า Ad-Aware Free Internet Security ซึ่งสำหรับผู้ใช้ที่บ้านเท่านั้น Ad-Aware Internet Security Pro รวมถึงการตรวจจับการค้นพบที่เรียกว่าจีโนไทป์ซึ่งเป็นรุ่นใหม่นี้
PCWorld ไม่มีตัวเลขการทดสอบสำหรับ ประสิทธิภาพของซอฟต์แวร์ป้องกันไวรัส Ad-Aware Internet Security Pro ในเวอร์ชันนี้ อย่างไรก็ตามเมื่อเราทดสอบ Anniversary Edition ในเดือนกุมภาพันธ์ปี 2009 เวอร์ชันดังกล่าวสามารถระบุได้เพียง 83.6 เปอร์เซ็นต์ของโทรจันสปายแวร์และมัลแวร์อื่น ๆ ซึ่งไม่ใช่ผลที่น่าประทับใจเมื่อเทียบกับคู่แข่ง อีกครั้งการทดสอบไม่ได้รับการรันในซอฟต์แวร์รุ่นล่าสุดนี้ดังนั้นตัวเลขอาจถูกต้องหรือไม่ถูกต้อง อย่างไรก็ตาม Ad-Aware มีประสิทธิภาพมากกว่า Anniversary Edition เนื่องจากตั้งแต่นั้นเป็นต้