UFO
Οι ερευνητές Nate Lawson και Taylor Nelson λένε ότι έχουν ανακαλύψει ένα βασικό σφάλμα ασφαλείας που επηρεάζει δεκάδες βιβλιοθήκες λογισμικού ανοιχτού κώδικα - συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται από λογισμικό που εφαρμόζει τα πρότυπα OAuth και OpenID - τα οποία χρησιμοποιούνται για τον έλεγχο των κωδικών πρόσβασης και των ονομάτων χρηστών όταν οι χρήστες συνδέονται σε ιστότοπους. Ο έλεγχος ταυτότητας OAuth και OpenID γίνεται αποδεκτός από δημοφιλείς τοποθεσίες Web όπως το Twitter και το Digg.
Διαπίστωσαν ότι ορισμένες εκδόσεις αυτών των συστημάτων σύνδεσης είναι ευάλωτες σε αυτό που είναι γνωστό ως επίθεση χρονισμού. Οι κρυπτογράφοι γνωρίζουν τις επιθέσεις χρονισμού για 25 χρόνια, αλλά γενικά θεωρείται ότι είναι πολύ δύσκολο να τραβηχτούν σε ένα δίκτυο. Οι ερευνητές σκοπεύουν να αποδείξουν ότι δεν συμβαίνει αυτό.
Προσπαθώντας να συνδεθείτε ξανά και ξανά, ποδηλασία μέσω χαρακτήρων και μέτρηση του χρόνου που χρειάζεται για ο υπολογιστής να απαντήσει, οι χάκερ μπορούν τελικά να καταλάβουν τους σωστούς κωδικούς πρόσβασης.
Όλα αυτά ακούγονται πολύ θεωρητικά, αλλά οι επιθέσεις στο χρονοδιάγραμμα μπορούν πραγματικά να επιτύχουν στον πραγματικό κόσμο. Πριν από τρία χρόνια, ένας συνηθίζει να χάσει το σύστημα παιχνιδιών Xbox 360 της Microsoft και οι άνθρωποι που κατασκευάζουν έξυπνες κάρτες έχουν προσθέσει προστασία επίθεσης χρονισμού για χρόνια.
Ωστόσο, οι προγραμματιστές του Διαδικτύου έχουν από καιρό υποθέσει ότι υπάρχουν πάρα πολλοί άλλοι παράγοντες - - που επιβραδύνουν ή επιταχύνουν τους χρόνους απόκρισης και καθιστούν σχεδόν αδύνατο να πάρουν τα ακριβή αποτελέσματα, όπου τα νανοδευτερόλεπτα κάνουν τη διαφορά, απαιτούνται για μια επιτυχημένη επίθεση χρονισμού.
Αυτές οι υποθέσεις είναι λανθασμένες, σύμφωνα με τον Lawson, ιδρυτή της το συμβουλευτικό γραφείο ασφαλείας Root Labs. Ο ίδιος και ο Νέλσον δοκιμάστηκαν επιθέσεις μέσω του Διαδικτύου, των τοπικών δικτύων και των υπολογιστικών συστημάτων του cloud και διαπίστωσαν ότι ήταν σε θέση να σπάσουν τους κωδικούς πρόσβασης σε όλα τα περιβάλλοντα χρησιμοποιώντας αλγορίθμους για να εξαλείψουν το θόρυβο του δικτύου.
Σχεδιάζουν να συζητήσουν τις επιθέσεις τους η διάσκεψη του Black Hat αργότερα αυτό το μήνα στο Λας Βέγκας.
Λέει ότι επικεντρώθηκε σε αυτούς τους τύπους εφαρμογών Web ακριβώς επειδή συχνά θεωρείται ότι είναι άτρωτοι στις επιθέσεις χρονισμού. "Ήθελα να φτάσω στους ανθρώπους που το γνώριζαν ελάχιστα", δήλωσε.
Οι ερευνητές διαπίστωσαν επίσης ότι τα ερωτήματα που γίνονται σε προγράμματα γραμμένα σε ερμηνευμένες γλώσσες όπως η Python ή Ruby - και οι δύο πολύ δημοφιλείς στο Web απαντήσεις πολύ πιο αργά από άλλους τύπους γλωσσών όπως Γ ή γλώσσα συναρμολόγησης, καθιστώντας τις επιθέσεις χρονισμού πιο εφικτές. "Για τις γλώσσες που ερμηνεύονται, καταλήγετε σε πολύ μεγαλύτερη χρονική διαφορά από ό, τι σκέφτηκαν οι άνθρωποι", ανέφερε ο Lawson.
Ωστόσο, αυτές οι επιθέσεις δεν είναι τίποτα που οι περισσότεροι άνθρωποι πρέπει να ανησυχούν, σύμφωνα με τον Yahoo Διευθυντή Προτύπων Eran Hammer-Lahav, συνεργάτης τόσο σε έργα OAuth όσο και σε OpenID. "Δεν με ανησυχεί αυτό", έγραψε σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου. "Δεν νομίζω ότι κάποιος μεγάλος πάροχος χρησιμοποιεί οποιαδήποτε βιβλιοθήκη ανοιχτού κώδικα για την υλοποίηση από την πλευρά του διακομιστή και ακόμα κι αν το έκαναν αυτό δεν είναι μια τετριμμένη επίθεση για εκτέλεση."
Οι Lawson και Nelson έχουν ειδοποιήσει τους προγραμματιστές λογισμικού που επηρεάζονται από το πρόβλημα, αλλά δεν θα κυκλοφορήσουν τα ονόματα ευάλωτων προϊόντων μέχρι να καθοριστούν. Για τις περισσότερες βιβλιοθήκες που επηρεάζονται, η επιδιόρθωση είναι απλή: Προγραμματίστε το σύστημα να πάρει το ίδιο χρονικό διάστημα για να επιστρέψει και τους σωστούς και εσφαλμένους κωδικούς πρόσβασης. Το ενδιαφέρον είναι ότι οι εφαρμογές που βασίζονται σε σύννεφο θα μπορούσαν να είναι πιο ευάλωτες σε αυτές τις επιθέσεις, διότι υπηρεσίες όπως το Amazon EC2 και το Slicehost δίνουν στους επιτιθέμενους έναν τρόπο να πάρουν
Ο Lawson και ο Nelson δεν λένε πριν από τη συζήτησή τους στο Black Hat πόσο ακριβείς ήταν οι μετρήσεις του χρονισμού τους, αλλά υπάρχουν πραγματικοί λόγοι για τους οποίους θα ήταν δύσκολο να βγούμε από αυτό το είδος επίθεσης το σύννεφο, σύμφωνα με τον Scott Morrison, CTO, με το Layer 7 Technologies, έναν φορέα παροχής ασφάλειας σε cloud computing.
Επειδή πολλά διαφορετικά εικονικά συστήματα και εφαρμογές ανταγωνίζονται για υπολογιστικούς πόρους στο σύννεφο, μπορεί να είναι δύσκολο να έχουμε αξιόπιστα αποτελέσματα είπε. "Όλα αυτά τα πράγματα λειτουργούν για να βοηθήσουν στην επίλυση αυτής της ιδιαίτερης … επίθεσης επειδή απλώς προσθέτει απρόβλεπτο σε ολόκληρο το σύστημα."
Παρόλα αυτά, είπε ότι αυτός ο τύπος έρευνας είναι σημαντικός γιατί δείχνει πώς μια επίθεση, που φαίνεται σχεδόν αδύνατη σε κάποιους, μπορεί πραγματικά να λειτουργήσει.
Ο Robert McMillan καλύπτει την ασφάλεια ηλεκτρονικών υπολογιστών και τη γενική τεχνολογία που σπάζει τα νέα για
Η υπηρεσία ειδήσεων IDG
. Ακολουθήστε τον Robert στο Twitter στο @bobmcmillan. Η διεύθυνση ηλεκτρονικού ταχυδρομείου του Robert είναι [email protected]
Ο κωδικός πρόσβασης εξακολουθεί να είναι ο χειρότερος κωδικός πρόσβασης, αλλά προσέξτε για το Ninja
Splashdata προγραμματιστής λογισμικού, κυκλοφόρησε τον ετήσιο κατάλογο των πιο συνηθισμένων κωδικών πρόσβασης στο Διαδίκτυο. Και πάλι, οι "κωδικοί πρόσβασης", "123456" και "12345678" είναι οι τρεις πιο δημοφιλείς, με αυτή τη σειρά.
Οι χρήστες συσσωρεύονται στα δημόσια σημεία Wi-Fi της AT & T, τα οποία ανέβασαν πάνω από 68 εκατομμύρια συνδέσεις το β 'τρίμηνο. > Ο αριθμός των 68,1 εκατομμυρίων συνδέσεων μέσω τηλεφώνων και άλλων συσκευών ήταν περισσότερο από τέσσερις φορές τον αριθμό μόλις ένα χρόνο νωρίτερα, όταν η AT & T καταγράφηκε 15 εκατομμύρια συνδέσεις το δεύτερο τρίμηνο του 2009. Μέχρι στιγμής το 2010 οι συνδρομητές χρησιμοποίησαν τα δίκτυα 121,2 εκατομμύρια φορές, από μόλις 85,5 εκατομμύρια σε όλο το 2009, ανέφερε η
Το δίκτυο Wi-Fi hotspots προσφέρει μια ευκαιρία για αύξηση της ταχύτητας στο δρόμο προς τους χρήστες του δικτύου δεδομένων 3G της AT & T, τεταμένο κυτταρικό σύστημα. Η AT & T δήλωσε ότι η κυκλοφορία στο δίκτυο 3G έχει αυξηθεί κατά 5.000% τα τελευταία τρία χρόνια. Η εισαγωγή φέτος του Apple iPhone 4, το οποίο μπορεί να πυροβολήσει και να φορτώσει βίντεο υψηλής ευκρίνειας, και το iPad της Apple, μια εντελώς νέα κατηγορία συσκευών, είναι πιθανό να προωθήσει αυτή την ανάπτυξη ακόμα πιο γρήγορα.
Το πρώτο Samsung Galaxy S ξεπέρασε 24 εκατομμύρια αποστολές, με τα πρώτα 10 εκατομμύρια σε επτά μήνες. Το 2011, το Galaxy S II έφτασε τα 40 εκατομμύρια αποστολές και τα πρώτα 10 εκατομμύρια σε πέντε μήνες. Στη συνέχεια, το 2012, οι αποστολές S III ξεπέρασαν τα 20 εκατομμύρια σε 100 ημέρες και σήμερα ανέρχονται σε περισσότερα από 40 εκατομμύρια. Τα ορόσημα αναφέρονται σε παγκόσμιες πωλήσεις καναλιών, γνωστές και ως αποστολές σε φορείς εκμετάλλευσης δικτύων και μεταπωλητές και όχι σε πραγματικές π
Η Samsung είναι ο κορυφαίος κατασκευαστής smartphone στις ΗΠΑ, σύμφωνα με την τελευταία έκθεση comScore, με σχεδόν 27% της αγοράς · Η Apple είναι η δεύτερη με σχεδόν 19%. Σε παγκόσμιο επίπεδο, η iSuppli κατατάσσει τη Samsung ως τον κορυφαίο κατασκευαστή smartphone, με το 29% της αγοράς. αυτά τα στοιχεία τοποθετούν τη Samsung πάνω από τη Nokia με το 24% και την Apple με το 10%.