How Yahoo Failed to Buy Google (Twice!)
A Google, a Microsoft és a Yahoo feloldott egy titkosítási gyengeséget az e-mail rendszereikben, amelyek lehetővé tehetik a támadók számára, hogy egy hamis üzenetet hozzanak létre, amely matematikai biztonsági ellenőrzést ad.
A gyengeség a DKIM-et vagy a DomainKeys Identified Mail-t a főbb e-mailes feladóktól. A DKIM egy titkosított aláírást tesz egy e-mail köré, amely igazolja a domain nevet, amelyen keresztül az üzenetet elküldték, így könnyebben kiszűrheti a meghamisított üzeneteket legitimekből.
A probléma olyan kulcsok aláírása, amelyek kevesebb, mint 1.024 bitesek figyelembe kell venni a növekvő számítógépes teljesítmény miatt. Az US-CERT elmondta, hogy a 1024 bitesnél kisebb kulcsok aláírása gyenge, és az RSA-768 bites kulcsokat figyelembe vették.
[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]A probléma világossá vált, miután Florida-alapú matematikus Zachary Harris-t küldött egy e-mailt egy Google-tól, aki csak 512 bites kulcsot használ, a Wired magazin szerdán közzétett jelentése szerint.
a Google a faktort figyelembe vette, majd azt használta, hogy egy hamis üzenetet küldjön Sergey Brin-től Larry Page-hez, a Google alapítóihoz.
Ez nem teszt volt, hanem valójában komoly probléma, amelyben e-mailek hamisak lehetnek megbízható lenne. A DKIM szabvány szerint az e-mail üzenetek, amelyeknél a kulcsok rövidebbek, mint az 1,024 bites, nem feltétlenül utasítják vissza.
Harris megállapította, hogy a probléma nem csak a Google-ra korlátozódott, hanem a Microsoft és a Yahoo is. két nappal ezelőtt az US-CERT szerint. Harris azt mondta a Wirednek, hogy a PayPal, a Yahoo, az Amazon, az eBay, az Apple, a Dell, a LinkedIn, a Twitter, az SBCGlobal, az US Bank, a HP, a Match.com és a HSBC által használt 512 bites vagy 768 bites kulcsokat használja.
a kulcsok aláírása a cyber-bűncselekmények áldása. Szelektív módon célozzák meg az embereket az e-maileket, amelyek rosszindulatú linkeket tartalmaznak annak érdekében, hogy megpróbálják kihasználni a számítógép szoftverét és telepíteni a rosszindulatú programokat. Ha egy e-mail tartalmazza a helyes DKIM aláírást, valószínűbb, hogy a címzett postaládájába kerül.
Az US-CERT figyelmeztetett egy másik problémára. A DKIM specifikáció lehetővé teszi, hogy a feladó jelezze, hogy a DKIM üzeneteit teszteli. Egyes címzettek "fogadják el a DKIM üzeneteket tesztelési módban, amikor az üzeneteket úgy kell kezelni, mintha nem lennének DKIM aláírva" - mondta az US-CERT.
Hírek és megjegyzések küldése a [email protected] címre. Kövessen velem a Twitteren: @jeremy_kirk
Microsoft / Yahoo: messze a komoly Google-fenyegetéstől
A várható megállapodás, ha a jelentések helyesek, hogy a Google nagy kihívást jelent a kereső nagykereseti üzletében.
Bing most egy komoly kihívó a Google-hez
Bing hozzáadott értékes eszközöket és szórakoztató technológiát, így egy félelmetes Google versenyző. a Microsoft késői és nem tagolt élő keresőmotorja, a Bing elődje, könnyű elbocsátani Redmondot, mint a szerencsétlen, a keresési piacon is. Mivel azonban a Microsoft jelentősen felhalmozta a pénzét és erőforrásait, amelyek a Microsoft által kínált Google kihívójába fektetnek be, ez gyorsan megváltozhat.
Oracle várhatóan bemutatja a Sun Microsystems és különösen a Sun MySQL-egységének tervezett megszerzését, mint egy versenyképes lépést, amely szükséges ahhoz, hogy a csendes adatbank-piacon a brutális kétnapos meghallgatás során kiegyenlítse a Microsoft erejét. > A meghallgatást az Európa legfőbb trösztellenes hatósága képviseli, az Európai Bizottság, amely a múlt hónapban kijelentette, hogy ellenzi az ügyletet azzal az indokkal, hogy ez komoly mértékben csökkenti a versenyt a számítógépes adatb
Az Oracle és a Bizottság úgy tűnt, hogy a meghallgatás előtt elérte a MySQL-t. A szerencsejátékkal foglalkozó Neelie Kroes versenybiztos azonban optimista volt a közvetítéssel kapcsolatban, ami nem károsítja a versenyt.