Как Yahoo не удалось купить Google (дважды!)
Google, Microsoft dan Yahoo telah mengatasi kelemahan kriptografi dalam sistem e-mel mereka yang boleh membenarkan penyerang membuat mesej palsu yang melewati pengesahan keselamatan matematik.
Kelemahan ini menjejaskan DKIM, atau DomainKeys Mail Dikenal pasti, sistem keselamatan yang digunakan oleh pengirim e-mel utama. DKIM membungkus tandatangan kriptografi di sekitar e-mel yang mengesahkan nama domain yang dihantar mesej, yang membantu lebih mudah menyaring mesej palsu dari yang sah.
Masalahnya terletak pada kunci tandatangan yang kurang daripada 1,024 bit, yang dapat akan dipertimbangkan disebabkan peningkatan daya komputer. US-CERT berkata dalam sebuah penasihat yang dikeluarkan Rabu bahawa kunci menandatangani kurang daripada 1,024 bit lemah, dan kekunci itu sehingga bit RSA-768 telah dipertimbangkan.
[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC Anda]Masalah ini berlaku selepas ahli matematik yang berpangkalan di Florida, Zachary Harris telah menghantar e-mel dari perekrut Google yang hanya menggunakan kunci 512-bit, menurut laporan yang disiarkan Rabu oleh majalah Wired.
Berpikir mungkin ada beberapa ujian pandai oleh Google, dia memaksakan kunci, kemudian menggunakannya untuk menghantar mesej palsu dari Sergey Brin kepada Larry Page, pengasas Google.
Ini bukan ujian tapi sebenarnya masalah yang serius, yang mana e-mel yang mungkin palsu akan dipercayai. Menurut standard DKIM, mesej e-mel yang memiliki kunci lebih pendek yang 1,024 bit tidak semestinya ditolak.
Harris mendapati masalahnya tidak terbatas pada Google, tetapi juga Microsoft dan Yahoo, yang semuanya telah menetapkan masalah sebagai dua hari yang lalu, menurut US-CERT. Harris memberitahu Wired dia dapati sama ada kunci 512-bit atau 768-bit yang digunakan di PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com dan HSBC. kunci tandatangan adalah rahmat untuk penjenayah siber. Mereka secara selektif menargetkan orang dengan e-mel yang mengandungi pautan berniat jahat dalam usaha untuk mengeksploitasi perisian komputer dan memasang malware, gaya serangan yang dikenali sebagai phishing lembing. Jika e-mel mengandungi tandatangan DKIM yang betul, ia lebih cenderung berakhir dalam peti masuk penerima.
US-CERT juga memberi amaran tentang masalah lain. Spesifikasi DKIM membolehkan penghantar memberi bendera bahawa ia sedang menguji DKIM dalam mesej. Sesetengah penerima akan "menerima mesej DKIM dalam mod ujian apabila mesej itu harus diperlakukan seolah-olah mereka tidak ditandatangani oleh DKIM," kata US-CERT.
Kirimkan tips dan komen berita kepada [email protected]. Ikut saya di Twitter: @jeremy_kirk
Tipis berada di Facebook. Ia memperkenalkan pintu depan alternatif untuk rangkaian sosial yang dipanggil "Facebook Lite," versi bertitik bawah laman web, dioptimumkan untuk mereka yang mempunyai sambungan Internet yang lebih perlahan. Facebook Lite mempunyai rekabentuk reka bentuk yang serius dan hanya boleh didapati untuk pengguna yang berpangkalan di A.S. dan India.
Facebook Lite membawa pengalaman yang mudah dan lebih pantas berbanding laman web tradisional. Sebahagian daripada reka bentuk Facebook Lite baru, suapan berita itu mengandungi bar alat dan butang atas yang mudah untuk memuat kemas kini status dan muat naik media. Facebook Lite boleh diakses dengan melawat www.lite.facebook.com.
Microsoft Kin telah mengalami perjuangan kesihatan yang serius sejak lahir pada Mei lalu. Walaupun penyebab kematian rasmi masih belum ditentukan, laporan awal mencadangkan reka bentuk yang tidak baik, struktur penetapan harga yang tidak munasabah, dan ciri-ciri yang kurang menarik mungkin menyalahkan kematian telefon.
Microsoft Kin: Tanda Awal Masalah
Penyelidik: Alat keselamatan penuh dengan kelemahan yang serius
Kebanyakan e-mel dan gerbang Web, firewall, sistem dan peralatan keselamatan yang lain mempunyai kelemahan yang serius, menurut penyelidik keselamatan yang menganalisis produk dari pelbagai vendor.