Tietoviikko

Etusivu Taustat Kehittäjän kanava Keskustelu Blogit Tapahtumat Edut TiviDuunit Microsoft Areena   White papers
Kaikki uutiset Luetuimmat Parhaat Tivi 250 Videot Toimitus Lukijapalvelut Mediatiedot Palaute
Lähetä
Tulosta
Jaa

LÄHETÄ KAVERILLE

*Tähdellä merkityt kentät ovat pakollisia

TIETOTURVA

Heikki Siljamäki, 17.11.2009, 16:01

Internetin salaustekniikassa aukko: "Tilanne pahempi kuin ajattelin"

Internet-liikenteen salaamiseen tarkoitetussa ssl-protokollassa (seucre sockets layer) olleen aukon kautta pystyttiin murtautumaan Twitteriin, ja nyt murehditaan, mihin kaikkialle muualle aukon kautta tunkeudutaan. Webmail-sähköpostit ovat vahva ehdokas.

Tietoturvatutkija Anil Kurnu osoitti viime viikolla kuinka ssl-protokollassa ollut haavoittuvuutta voitiin hyödyntää siten, että käyttäjät harhautettiin lähettämään Twitter-viesti, joka sisälsi käyttäjien salasanan. Haavoittuvuutta hyödyntääkseen murtautujan täytyy ensin päästä sisään uhrin tietoverkkoon ja käynnistää niin sanottu man-in-the-middle-hyökkäys, joten laajaan Twitter-käyttäjien joukkoon vaikuttaminen tällä tavalla olisi vaikeaa.

Twitter on sittemmin korjannut ongelman, mutta tietoturva-asiantuntijat pohtivat nyt, kuinka montaa muuta verkkosivustoa haavoittuvuus koskee. Mielipiteet ongelman vakavuudesta ovat vaihtelevia, ja esimerkiksi IBM:n tutkija Tom Cross totesi pian bugin löytämisen jälkeen, ettei se vaikuta suurimpaan osaan web-sovelluksista.

Myöhemmin Cross kuitenkin muutti mielensä: ”Valitettavasti tilanne on pahempi kuin ajattelin”, hän kirjoitti blogipostauksessaan.

”Vakava bugi, joka täytyy korjata”

Erityisesti webmail-sovellukset saattavat olla riskissä joutua ssl-aukkoa hyödyntävän hyökkäyksen kohteeksi, ja asiantuntija pelkäävät, että muutkin sovellukset – esimerkiksi tietokannat – voivat olla vaarassa.

Twitter oli altis bugille sen vuoksi, että palvelu käytti ssl-protokollaan kuuluvaa client renegotiation -menetelmää, joka antaa web-sivustolle tavan kysyä käyttäjältä ssl-sertifikaattia sen jälkeen, kun käyttäjä on jo muodostanut yhteyden sivustoon. Menetelmä on hyödyllinen tietyissä käyttötarkoituksissa, mutta niin pitkään kuin haavoittuvuutta ei ole korjattu, avaa se myös oven ssl-hyökkäyksiä varten.

Monet verkkosivustot sallivat client renegotiationin yksinkertaisesti sen vuoksi, että se on rakennettuna sisään ssl:ään ja sen seuraajaan, tsl-protokollaan (transport layer security), kommentoi Marsh Ray, yksi haavoittuvuuden löytäjistä, uutispalvelu IDG:lle. ”Monet ihmiset eivät tiedostaneet, että he käyttävät sitä.”

Hyvä puoli tilanteessa on se, että useat verkkosivustot voivat yksinkertaisesti ottaa toiminnon pois päältä, kuten Twitter on ilmeisesti tehnyt. Rayn mielestä ssl-aukon olemassaolo pitää kuitenkin tiedostaa, vaikka se ei olekaan katastrofimainen: ”Tämä on vakava bugi ja se täytyy korjata.”

Lue myös: Verkkopankkiyhteydet uhattuna - ssl-protokollassa vakava turva-aukko

IDG

Lähetä
Tulosta
Jaa

LÄHETÄ KAVERILLE

*Tähdellä merkityt kentät ovat pakollisia
Kommentoi artikkelia
Lähettämällä viestin hyväksyn keskustelun ehdot.
Palaute toimitukselle
Re: Internetin salaustekniikassa aukko: 17.11.2009 16:49

Tuo vaatii man-in-the middle setupin onnistuakseen. Miksi tää turha uutisointi?

J.J-75 Vastaa
Siirry keskusteluun / Katso kaikki kommentit
perjantai 30.7.2010
16:03 - Tässä ovat kesän suosituimmat uutiset  »
15:54 - Zuckerberg jarruttaa Facebookin listautumista   »
15:34 - YouTube sai pidemmät videot   »
14:18 - Varotoimi: koko internetin avaimet seitsemällä henkilöllä   »
13:33 - Alustapäivitys sekoittaa vanhempia iPhoneja   »
12:27 - Venäjällä YouTubea soimataan rasistisista näkemyksistä   »
11:37 - Kännykkäkauppojen saranat kuluvat alkusyksystä   »
10:58 - Samsungilla kauppa käy  »
10:13 - Microsoft aikoo lyödä iPadin omalla tabletilla   »
9:25 - Iphone 4 -ostoryntäys - Soneran verkkokauppa kaatui  »

torstai 29.7.2010
16:45 - Hakkeri näytti: pankkiautomaatti suoltamaan seteleitä   »
16:00 - Googlelta työkalu helpottamaan nettisivujen tekemistä   »
15:33 - Android-puhelimet sysäsivät HTC:n menestykseen  »
15:03 - Varo tätä sähköpostissa leviävää huijausviestiä   »
14:48 - Ati selätti alamäkeen ajautuneen Nvidian   »
14:15 - Uudenlainen karttapalvelu venyttää maisemat panoraamaksi  »
12:33 - Safarista tukittiin useita turva-aukkoja ja selain sai lisäosapankin   »
11:19 - Symantec jämähti   »
11:00 - Sonera julkaisi iPhone 4 -sivunsa, mutta missä ovat kumikotelot?   »
10:42 - F-Secure tahkoi voittoa, mutta kulut kasvoivat   »
9:15 - Amazon julkaisi aseensa iPadia vastaan  »
8:43 - Moni menee vanhaan Facebook-huijaukseen   »
keskiviikko 28.7.2010
15:51 - Köyhän miehen iPhone: Ipod Touchista puhelin kumikotelolla   »
15:22 - Chromen tietoturvaa korjattiin   »
14:23 - Kosketusnäytöllinen uutuus-Nokia lipsahti julki   »
13:01 - Ajautuuko RIM Nokian tielle?  »
12:41 - Bisnesväki verkostoituu kahden miljardin dollarin sivustolla  »
11:40 - WSJ: Google virittelee kilpakumppania Facebookille  »
11:39 - Milloin Windows hävittää tiedostot turvallisesti?  »
10:51 - Adobe vahvistaa yritysohjelmisto-osaamistaan 240 miljoonan taalan kaupalla   »
9:59 - Mullistava teknologia kehitteillä - teräväpiirtoelokuvan lataaminen käy sekunnissa   »
9:08 - Amazon myi Kindlen loppuun  »
8:37 - Apple päivitti pöytäkoneita ja julkaisi uutta   »
8:32 - LG kärsii Nokian vaivoista  »
tiistai 27.7.2010
15:52 - FC Sovelton Visio ja OneNote-vinkit  »
15:50 - Jäärä - päivitä tietämyksesi  »
15:26 - Android-älypuhelimien kysyntä kasvaa kohisten  »
15:07 - Muuttuuko Twitter-viestien sisältö videoiksi ja kuviksi?   »
15:00 - Lakimuutos: ohjelmisto- ja operaattorilukituksen poistaminen lailliseksi Yhdysvalloissa   »
14:15 - Facebookista pääsee vihdoin pois lopullisesti   »
12:14 - Japanissa Yahoo sanoo Microsoftille ei  »
11:15 - Nokian Meego löytyy kohta autoista   »
10:02 - "Nokian ongelmat eivät ratkea toimitusjohtajaa vaihtamalla"  »
9:49 - SAPin myyntiodotukset piristyivät  »
8:30 - Applen iPhone 4 saapuu Suomeen, mutta missä ovat kumikotelot?   »
8:04 - Google hakee kasvua viranomaisten turvasoftalla  »
maanantai 26.7.2010
16:06 - 25 vuotta täyttänyt Amiga sai monen rakastumaan   »
15:44 - Kannatti valittaa - iPhonen tilalle uusi puhelin  »
15:07 - Nokia laihtui - enää ei koreilla 100:n suurimman joukossa  »
13:02 - Windows Phone 7 -puhelimia ilmaiseksi 93 000 microsoftilaiselle   »
11:47 - Tab Candy on Firefoxin uusi kätevä toiminto   »
10:57 - MySpace ei enää kiinnosta  »
10:30 - Microsoftilta oma arm-suoritin Applen tapaan?  »
9:04 - Kiinan hakuylpeys nakertaa Googlen markkinoita  »
8:47 - Applella lisää teknisiä ongelmia  »
RSS
Ovi
Uusimmat

Tietoviikko - Uusimmat

  • 30.7. Tässä ovat kesän suosituimmat uutiset
  • 30.7. Zuckerberg jarruttaa Facebookin listautumista
  • 30.7. YouTube sai pidemmät videot
  • 30.7. Varotoimi: koko internetin avaimet seitsemällä henkilöllä
  • 30.7. Alustapäivitys sekoittaa vanhempia iPhoneja
KOLUMNI
Puunkaatoministeriö

Hanke kuvaa hyvin suomalaisen yhteiskunnan puutunutta tilaa, joka teoriassa ja monien mielestä on hyvä, mutta käytännössä sisältä laho.  »

KÄYTTÖ & LIITTYMÄ
Santtu Toivonen
Mistä tulevaisuuden web-osaajat on tehty?

Menestyvien verkkopalveluiden takana on vankkaa käyttäjätuntemusta. Se vaikuttaa paitsi visuaalisuuteen myös toiminnallisuuksiin ja kehittämiseen. Myös analytiikan ja käsiterakenteiden osaaminen on keskeistä.  »

BLOGI - PÄIVÄ 23
Päivän erikoisuudet: 50 kilometrin suora ja kolmen kilometrin silta

Vasta tänään oli pyörämatkan ensimmäinen varsinainen sadepäivä. Vesi paljasti lisää takalaukkujeni heikkouksia. Tekniikka & Talouden blogi seuraa heinäkuun pyörämatkaa Alpeilta Itämerelle.  »

UUTISKOMMENTTI
Katsokaa! Puhelimessani on teletappi, valomiekka ja imukuppi, mutta sillä ei voi puhua

Uudella vuosituhannella puhelin-sanaan on lisätty äly-etuliite, joka käytännössä tarkoittaa sitä, että puhelimeen ei enää kuulu puhua.  »

HELENE@STARTUP-MAAILMA
Startup-yrittäjän loma jää pitämättä

Kolmas kerta toden sanoo, vaan eipä sanokaan. Tänäkin vuonna lomat jäivät pitämättä.  »

KARTAT
Kummallisia kuvia Google Earth -kartoilta

Karttapalvelu Google Earthista löytyy toinen toistaan kummallisempia ja uskomattomampia näkyjä.  »

IHMISET
Mato Valtonen meni sekaisin netistä

Entinen wap-yrittäjä unelmoi kirjojen kirjoittamisesta ja ansaitsee elantonsa puhumalla.  »

CIO 2010
Asiat ovat hyvin, kun tietotekniikasta ei tarvitse puhua

"Autonkuljettajankaan ei tarvitse ymmärtää auton sisuksia, jos kulkuneuvo toimii", sanoo vastavalittu Vuoden CIO Juho Malmberg.  »

UUTISKOMMENTTI
Usko pois, Suomen laajakaista ihastuttaa maailmalla

Lindeninkin mukaan internet ei ole enää pelkästään viihdettä varten.  »

MIELIPITEET

Tivin keskusteluissa nyt

  • Kuluttajaorganisaatio: "Älä osta iPhone 4:ä"  »
  • Android vie ja Apple vikisee – jälleen  »
  • Viimeinen laastari Windows XP SP2:lle  »
  • Aika jättää kirjepostista  »
PRINT ERROR
Kuvaraportti: Miksi rakastamme tulostinten vihaamista?

Tulostin, tuo ikuinen, pakollinen paha. Kuvaraportti muistuttaa, miksi vihaamme tulostimia.  »

DUUNISSA
9 asiaa, jotka pitäisi tappaa kasvavassa yrityksessä

Suurin osa yrityksistä on hyviä rakentamaan asioita. Samalla yritykseen kasvaa kiinni sellaisia asioita, joita ei tarvita. Tähän on yrittäjä Auren Hoffmanilla ratkaisu: Tapa.   »

PÖHINÄÄ
Jarkko Vesa
Työblogin tarkoitus

Kirjoittaja katsoo peiliin ja miettii, tuliko talon sisäisten blogien tavoitteet ja tehtävät viestittyä kunnolla.  »

Luetuimmat
Päivä Viikko Kuukausi
Tässä ovat kesän suosituimmat uutiset  »
YouTube sai pidemmät videot   »
Hakkeri näytti: pankkiautomaatti suoltamaan seteleitä   »
Varotoimi: koko internetin avaimet seitsemällä henkilöllä   »
Zuckerberg jarruttaa Facebookin listautumista   »
Hakkeri näytti: pankkiautomaatti suoltamaan seteleitä   »
Mullistava teknologia kehitteillä - teräväpiirtoelokuvan lataaminen käy sekunnissa   »
Facebookista pääsee vihdoin pois lopullisesti   »
Kosketusnäytöllinen uutuus-Nokia lipsahti julki   »
Applella lisää teknisiä ongelmia  »
Hakkeri näytti: pankkiautomaatti suoltamaan seteleitä   »
Mullistava teknologia kehitteillä - teräväpiirtoelokuvan lataaminen käy sekunnissa   »
Kummallisia kuvia Google Earth -kartoilta  »
Facebookista pääsee vihdoin pois lopullisesti   »
Kosketusnäytöllinen uutuus-Nokia lipsahti julki   »
Suositukset
VIMPAIMET
10 kahjoa usb-laitetta - katso kuvat

Ai usb-väylä tarkoitettu vain muistitikkuja ja muuta tylsää varten? Ei todellakaan, sen todistaa Tietoviikon sisarlehden Infoworldin kokoama kuvaraportti 10 kahjosta usb-laitteesta.  »

VUOSI 2000
Jouni Junkkaala, Sofia Williams
Y2K-hysteriaa Tietoviikossa

Tietoviikko käsitteli vuoden 1999 aikana runsaasti lähestyvään vuosituhannen vaihteeseen liittyviä tietokoneongelmia ja niiden seurauksia. Jälkikäteen uhkakuvat järjestelmien romahtamisesta tuntuvat huvittaviltakin.  »

KUVARAPORTTI
Google Street View'n 15 oudointa katunäkymää

Googlen Street View'ssä on katunäkymiä 200 kaupungista eri puolelta maailmaa. Katso kuvaraportista, mitä kaikkea outoa palveluun onkaan tallentunut.  »

TIETOTURVA
Kenellä on maailman suurin pilvi?

Voittaja ei ole Google, Microsoft tai Amazon. Suurin pilvi löytyy jostain aivan muualta kuin suuryhtiöiden konesaleista.  »

VALTION IT
Pelleily loppuu nyt!

Valtion it-johtaja Yrjö Benson aikoo panna julkisen tietohallinnon kuntoon kovalla kädellä.  »

MUSIIKKIPALVELU
Suomalaispalvelu ahmii kaiken maailman musiikin

Suomalainen musiikkipalvelu Equal Dreams sai kumppanikseen Spotifyn musiikkitarjoajan.  »

UUTISKOMMENTTI
Pienen Suomen ongelma

Takuulla. Totta. Oikein. Ministeri Suvi Lindén katsoi kattavien laajakaistayhteyksien olevan olennainen osa tasa-arvoista yhteiskuntaa.   »

SOME
Tietoviikkoa voi seurata myös Twitterissä!

http://twitter.com/Tiviuutiset
http://twitter.com/Tiviblogit
http://twitter.com/Tietoviikko  »

KOLUMNI
Kim Väisänen
Ei-toivottu lapsi

Teknologia-alan oma rakas lapsi on Apple. Tekipä lapsi mitä tahansa, se on ihme.   »

ROUSKUN TYÖPÖYDÄLTÄ
Kimmo Rousku
Näin sinua ei 0wn@ta

Kun strutsipuolustus ja maalaisjärki eivät riitä. Tässä ohjeet kotikoneen suojaamiseksi haittaohjelmilta ja tietomurroilta.  »

KARTTAPALVELUT
Suomen kauneimmat Street View -maisemat

Katso, miten hienoja suomalais­maisemia Googlen Street View'hun on tallentunut. Löysitkö parempia? Lähetä linkki ja voita palkinto!  »

AUGMENTED REALITY
Lisätty todellisuus näyttää enemmän

Vahvennettu todelli­suus vere­vöit­tää tylsää reaali­maailmaa jännit­tävällä virtuaali­suudella. Netti­talouden goljatit kaivavat jo poteroita alan herruu­desta käytävää taistelua varten.  »

SEISKA
Kumpi Windows 7 sinulle sopii – 32-bittinen vai 64-bittinen?

Useimmille Windows 7:n hankkiville 64-bittinen versio on oikea valinta. Mutta milloin ei? Ja mitä eroa niillä ylipäänsä on?  »

Avoimia työpaikkoja
Tester Helsinki
Elan IT Resource Oy
TEKNINEN PALVELUPÄÄLLIKKÖ (Espoo)
Elan IT Resource Oy
IT-TUKIHENKILÖ (Helsinki)
Elan IT Resource Oy
SERVICE DESK -PERSON
Elan IT Resource Oy
Tekninen projektipäällikkö / Codebakers
Saranen Consulting Oy
Lisää työpaikkoja
Tivi-yritykset
250 suurinta tivi-yritystä

Etsi ja vertaile yrityksiä tai rakenna oma taulukkosi.  »

Uusi Suomi
Mies riehui vaarallisesti 5. kerroksessa - poliisi eristi kadun  »
Vaarallinen ”kaksoisohitus”: Nuorukainen ohitti ohittajan  »
Uusi ilmiö: Nimeä vaihdetaan työhaastattelun takia  »
S-ryhmän jakama raha epäilyttää - Zyskowiczille 1800€/kk  »
”Black Cobra –jengille ei saa antaa Suomessa jalansijaa”  »
KAUPPALEHTI
"On varmaa, että lentokenttiä putoaa pois"  »
Saloran entiselle pääkonttorille löydettiin uutta käyttöä  »
Kansanedustaja vihjaa: Uusi lentoyhtiö valmisteilla  »
Kanta-asiakasjärjestelmät tulevat kalliiksi - kaupalle itselleen  »
Jäitä hattuun - "Hanki asunto vasta ensi vuonna"  »
Afterdawn
PS3:n uusi firmware-päivitys aiheuttaa ongelmia kiintolevyn vaihdossa  »
uTorrent 3.0 sisältää uuden web-kälin ja videoiden streamauksen  »
Android 2.2 tulee HTC:n Desirelle tänä viikonloppuna  »
YouTube kelpuuttaa nyt 15 minuutin videoita  »
Tiedot Jackeey Wallpaper -taustakuvien tietoturvaongelmista ovat virheellisiä  »
Iltalehti
Nuori mies kaahasi 170 km/h Asikkalassa - nopeusrajoitus 80 km/h  »
Ovatko tässä maailman surkeimmat kotisivut?  »
Timothy-kissa kärsi koti-ikävästä - käveli 1300 km  »
Mies loukkaantui vakavasti ulosajossa Salossa  »
Orivedellä on palanut kokonainen tila  »







© 1998-2010 Talentum Oyj Talentum vaihde: 0204 42 40 Talentum tilaajapalvelu puh: 0204 42 4100
Lehdet: tilaajapalvelu@talentum.fi Kirjat: kirjat@talentum.fi
Verkkopalvelut: asiakaspalvelu@talentum.com
Talentum.com myynti: onlinemyynti@talentum.com
Talentum verkkopalvelut: Vastaavat toimittajat
Käyttäjäsopimus/rekisteriseloste
*) Puhelun hinta (sis. alv 22 %): Lankapuhelimesta: 8,21 snt/puhelu + 6,90 snt/min.
Matkapuhelimesta: 8,21 snt/puhelu + 16,90 snt/min. Ulkomailta ao. maan ulkomaanpuhelumaksu.