Tietoviikko

Etusivu Taustat Kehittäjän kanava Keskustelu Blogit Tapahtumat TiviDuunit Microsoft Areena   White papers
Arkisto
Lähetä
Tulosta
Jaa

LÄHETÄ KAVERILLE

*Tähdellä merkityt kentät ovat pakollisia

TIETOTURVA

Ilari Sani, 7.10.2009, 11:48

Nyt kuka vain voi esittää nettipankkia

Netissä levitetään väärennettyä sertifikaattia, jonka avulla hakkeri voi teeskennellä olevansa maksupalvelu PayPal. Huijaus toimii Internet Explorerissa sekä Chromen ja Safarin Windows-versioissa.

Käyttämällä väärennettyä sertifikaattia ja kuuntelemalla verkkoliikennettä hakkeri voi astua käyttäjän ja PayPal-sivuston väliin. Selain näyttää olevansa suorassa salatussa yhteydessä PayPaliin, mutta yhteys ohjataankin tosiasiassa hakkerin koneelle.

SSL-salausjärjestelmän sertifikaattien tarkoituksena on estää tällainen toisena palveluna esiintyminen. Tapaus on kova kolaus järjestelmän uskottavuudelle.

Taustalla Windowsin vika

Selaimet hyväksyvät väärennetyn sertifikaatin, koska Windowsin salauksesta vastaavassa CryptoAPI-rajapinnassa on vika joka tulkitsee sertifikaatin sisällön väärin.

Oletetaanpa esimerkiksi, että hakkeri omistaa domain-nimen example.com. Hän kykenee tällöin pyytämään sertifikaatteja myöntävältä turvayhtiöltä sertifikaatin mille tahansa osoittelle, joka päättyy example.com. Hakkerimme pyytää sen seuraavalle osoitteelle:

Osoitteessa on kenoviiva ja nolla, jotka C-ohjelmointikielessä merkitsevät loppua. Kun CryptoAPI kohtaa osoitteen, se lakkaa lukemasta näiden merkkien kohdalla. Äkkiä sertifikaatti näyttääkin kuuluvan osoitteelle paypal.com.

Kun hakkeri näyttää selaimelle tämän sertifikaatin, selain uskoo olevansa tekemisissä aidon PayPalin kanssa.

Korjausta ei vielä tiedossa

Hakkeri Moxie Marlinspike esitteli vikaa ensimmäisen kerran BlackHat-konferenssissa yhdeksän viikkoa sitten. Mozilla korjasi vian omasta Firefox-selaimestaan muutamassa päivässä, mutta Microsoft ei ole vielä reagoinut.

Vialta voi toistaiseksi suojautua vain käyttämällä Firefoxia, Operaa tai jotain muuta käyttöjärjestelmää kuin Windowsia. Vika saattaa myös koskea muita Windows-sovelluksia kuten sähköpostiohjelmia ja pikaviestimiä.

Lähetä
Tulosta
Jaa

LÄHETÄ KAVERILLE

*Tähdellä merkityt kentät ovat pakollisia
Kommentoi artikkelia
Lähettämällä viestin hyväksyn keskustelun ehdot
Re: Nyt kuka vain voi esittää nettipankkia
07.10.2009
12:45

Muutenkin koko nettiä vaivaa nykyään uskottavuusongelma. Kukaan ei uskalla tehdä luottokorttiostoksia netissä tai näyttää olohuoneestansa valokuvia omilla kotisivuillaan. Jokainen meistä on täynnä nettivainoharhaa mutta kukaan ei tiedosta sitä.

Vastaa >

Arto

pelko tyhmää
08.10.2009
19:52

Erityisen jännä tuo ettei muka uskalla tehdä luottokorttiostoksia. Kaikki luottokorttiostoksethan ovat viime kädessä luottokorttifirman vastuulla, riittää kun ilmoittaa ettei ole tilannut, jos ei ole tilannut.

Vastaa >

nössö

Re: Nyt kuka vain voi esittää nettipankkia
07.10.2009
22:43

Hei Ilari, perustelepa vielä millä perusteella tuo tietoturva-aukko rajoittuu vain paypal.com -sivustoon?
Jäi ainakin minulle hiukan epäselväksi.

Vastaa >

Hey Pal

Re: Nyt kuka vain voi esittää nettipankkia
08.10.2009
15:18

Paypal.com on hieman huono esimerkki, koska se käyttää EV SSL sertifikaatteja. EV SSL sertifikaatit eivät ole haavoittuvia tälle hyökkäykselle. "The detailed attack will not work against EV SSL (as agreed by Mr. Marlinspike during the Q and A session after his talk)"
https://blogs.verisign.com/ssl-blog/2009/07/busy_day_at_black_hat.php

Vastaa >

Antti

Re: Nyt kuka vain voi esittää nettipankkia
09.10.2009
21:01

No nii kyllä on netti luotttava joo!

Vastaa >

powerage

Katso kaikki kommentit (5) »

3D-GRAFIIKKA

Ilari Sani, 12.3.2010 12:22

OpenGL 4.0 kirii Microsoftin DirectX:ää

Khronos Group -yhteenliittymä on julkaissut OpenGL 4.0 -grafiikkastandardin. Uusi versio haastaa Microsoftin DirectX-tekniikan esimerkiksi pintakuvioiden mallinnuksessa.  »

AVOIN KOODI

Harri J. Talvitie, 11.3.2010 15:24

Mozilla uusii lisenssimallinsa

Mozilla-säätiö on käyttänyt avoimen koodin Firefox- ja Thunderbird-ohjelmistojen lisenssinä jo yli vuosikymmenen omaa MPL- eli Mozilla Public License -mallia. Nyt säätiö on päättänyt kehittää vanhentuneen MPL:lle tilalle korvaajan, joka sisältää joukon parannuksia ja on yhteensopiva muiden avoimen koodien lisenssien kanssa.   »


VÄLINEET

Ilari Sani, 11.3.2010 15:17

Koodikuplista piristystä kehitysvälineisiin

Brown Universityn Code bubbles -projekti ravistelee käsityksiä siitä, miltä kehittäjän työkalut näyttävät. Uudessa välineessä koodinpätkät leijuvat kuplissa, joita voi levitellä pitkin näyttöä.  »

AVOINTA NOPEUSKISAA

Ilari Sani, 10.3.2010 17:52

Firefox lainaa lisävauhtia WebKitistä

Firefox on jäänyt jälkeen JavaScriptin nopeudessa, ja sen kehittäjä Mozilla suuntaa nyt katseet kilpailijaan. Christopher Blizzard Mozillalta kertoo blogissaan, että Firefoxiin otetaan tekniikkaa kilpailevan WebKit-projektin puolelta. Lainaaminen onnistuu, koska molemmat projektit ovat avointa koodia.  »

TIETOTURVA

Ilari Sani, 8.3.2010 11:56

Kovakin salaus murtuu sähköhoidolla

Michiganin yliopiston tutkijat löysivät uuden tavan murtaa suosittu RSA-salaus: kuristetaan tietokoneen sähkönsyöttöä, niin se vuotaa salaisuutensa.  »

TIETOTURVA

Harri J. Talvitie, 5.3.2010 13:34

Apachen Windows-versiossa kriittinen turva-aukko

Web-palvelin Apachesta on löytynyt useita turva-aukkoja. Näistä yksi on luokiteltu kriittiseksi, sillä se antaa hyökkääjän ottaa mahdollisesti koko palvelin haltuunsa.  »

SÄHKEUUTISIA

Ilari Sani, 4.3.2010 15:26

Lyhyet: Monta rahaporkkanaa kehittäjille

Prosessorijätti Intel, sijoitusyhtiö Y Combinator ja autosivusto Edmunds.com tarjoavat kaikki kehittäjille rahapalkintoja uusista ideoista.  »

TIETOTURVA

Ilari Sani, 3.3.2010 9:46

Microsoft: Älä paina F1-näppäintä!

Microsoft varoittaa uudesta turva-aukosta, joka voi aueta kun käyttäjä painaa Internet Explorerissa F1-näppäintä. Vika löytyy Windows XP:stä, Vista ja Windows 7 ovat turvassa.  »

ONGELMIA SATUNNAISUUDESSA

Ilari Sani, 1.3.2010 14:32

Microsoftin selainvaaleissa lottovika

Microsoft lisää Windows 7:ään valikon, josta voi valita mikä selain tietokoneeseen asennetaan. Vaihtoehtojen pitäisi olla satunnaisessa järjestyksessä, mutta viimeisenä on useimmiten Internet Explorer.  »

VALMIS QT JULKI

Ilari Sani, 26.2.2010 11:40

Nokian Qt-aalto jatkuu: nyt vuorossa Maemo

Nokia on julkaissut Qt-sovellusalustasta uuden version, joka toimii yhtiön Maemo-käyttöjärjestelmässä. Qt-tekniikoilla kehitettyjä sovelluksia voi nyt virallisesti ajaa Nokian N900-älypuhelimessa.  »

PALVELUT PIMEINÄ

Ilari Sani, 25.2.2010 11:01

Googlen pilvipalvelin köhi

Googlen App Engine -pilvipalvelussa oli keskiviikko-iltana selittämätön katkos, jonka johdosta useat sivustot olivat pimeinä reilut kaksi tuntia.  »

REKRY ENNAKOI

Harri J. Talvitie, Ilari Sani, 23.2.2010 14:49

Apple etsii uutta käyttöä iPhone OS:lle

Applen työpaikkailmoitus vihjaa, että yhtiö on tuomassa iPhonen käyttöjärjestelmää uusiin laitteisiin. Yhtiö investoi myös prosessorisuunnitteluun ja ARM-arkkitehtuuriin.  »

SÄHKEUUTISIA

Ilari Sani, 23.2.2010 14:01

Lyhyet: Apple kieltää vilauttelun, Operalta web-työkalu, Google Readerista reaaliaikainen

Katsaus päivän pieniin uutisaiheisiin. Apple karsii App Storesta uimapukukuvat, Opera julkaisi Dragonfly-kehittäjävälineen avoimena koodina, Google Reader toimii nyt reaaliajassa.  »

TILALLE HTML5

Ilari Sani, 22.2.2010 12:03

Google Gears tuli tiensä päähän

Google laittaa jäihin Gears-selainlaajennuksen, jolla voi esimerkiksi käyttää GMailia ilman verkkoyhteyttä. Tilalle tulee HTML5-standardi, jossa on lähes samat toiminnot.  »

NYT MYÖS BLACKBERRYSSÄ

Ilari Sani, 18.2.2010 11:51

WebKit on mobiiliwebin kunkku

WebKit on mobiiliwebin yleisin selainalusta. Sitä käyttävät jo Apple, Google ja Nokia, sekä uutena tulokkaana älypuhelinjätti Research In Motion.  »

PDF-AUKOT UHKAAVAT

Ilari Sani, 17.2.2010 11:18

Raportti: Adobe Reader nettirikollisten suosikki

Tuoreen raportin mukaan peräti 80 prosenttia yrityksiin tehdyistä nettihyökkäyksistä hyödyntää PDF-tiedostoja ja Adobe Reader -lukuohjelman aukkoja.  »

YHTENÄINEN SOVELLUSKAUPPA

Ilari Sani, 16.2.2010 14:26

Samat sovellukset kaikkiin puhelimiin – onnistuisiko tällä kertaa?

24 mobiilioperaattoria aikoo perustaa sovelluskaupan, jonka tuotteet toimivat kaikissa asiakkaiden puhelimissa. Kyseessä olisi tekninen temppu, jossa kukaan ei ole vielä onnistunut.  »

MAEMON TYÖN JATKAJA

Ilari Sani, 15.2.2010 15:42

Mitä MeeGo saa Nokialta ja Inteliltä?

Nokia ja Intel perustivat yhteisen MeeGo-mobiilikäyttöjärjestelmän. Mitä osia MeeGo saa vanhemmiltaan, ja mitä tapahtuu Nokian Maemolle?  »

KIELI ALOITTELIJOILLE

Ilari Sani, 12.2.2010 10:41

Small Basic tekee koodauksesta lapsellisen helppoa

Microsoftin Small Basic kieli yrittää herättää lasten ohjelmointi-intoa 1980-luvun kotimikrojen tyyliin. Omat luomukset voi julkaista myös netissä.  »

UUSI BEETA

Ilari Sani, 11.2.2010 14:25

Rails 3.0 pudottaa painolastia

Rails 3.0 -sovellusalustan beeta-versio julkaistiin entistä solakampana. Railsin ennen pakolliset ydinosat ovat nyt moduuleja, jotka voi helposti tiputtaa tai korvata.  »

RSS
Ovi
YLIVUOTO

Ihan langoilla

Dotcom-kuplan puhkeamisesta on kulunut kymmenen vuotta. Palatkaamme Wired-lehden mukana aikoihin, jolloin modeemit olivat hitaita ja raha löyhässä.

  • Wired Reread  »
YKSITYISYYS
Kuinka vähästä voi netin käyttäjän tunnistaa?

Panopticlick-projektissa tutkitaan, kuinka niukkojen tietojen perusteella netin käyttäjiä voidaan tunnistaa ja seurata. Tunnistaminen ei vaadi IP-osoitteiden tai evästeiden käyttöä, toisin kuin yleisesti luullaan.  »

YLIVUOTO

Viisari värähtää viserryksistä

Kuka nukkuu, missä valvotaan? Twitter-mittari näyttää, kuinka paljon maailman eri kaupungeissa lähetellään sosiaalisia viestejä.

  • Tweet-O-Meter  »
Ajankohtaisimmat työpaikat
Tuotehallintajohtaja
Visma Software Oy
Lisää työpaikkoja
IPHONEN ISOVELI
iPad tuo kehittäjille lisäpintaa – ja suukapulan

Kehittäjän näkökulmasta uusi iPad on kuin iso iPhone. Kannen alta toimintoja ja viilausta löytyy enemmänkin, mutta Applen mielestä teknisistä uutuuksista ei saisi vielä puhua.  »

YLIVUOTO
Google kääntää kaiken

Kun ravintolan ruokalista on täyttä hepreaa, Google kääntää sen suomeksi. Yhtiön kokeellinen kännykamerakäännös tulkitsee painettua sanaa käden käänteessä.  »

RINNAKKAISLASKENTA

Mozilla ideoi: JavaScriptiin vauhtia näytönohjaimesta

Selainvalmistaja Mozillan Labs-aivoriihessä pähkäillään JavaScriptin kiihdyttämistä näytönohjainten GPU-prosessorien avulla. Kiihdytetyllä JavaScriptillä voisi luoda esimerkiksi 3D-grafiikkaa tai kuvantunnistusta.

TIETOTURVA
Windowsissa piili aukko 17 vuoden ajan

Googlen insinööri löysi Windowsista turva-aukon, joka löytyy jo vuosien takaisesta NT:stä – sekä myös tuoreesta seiskasta.  »

VIDEOITA KEVYEMMIN
YouTube testaa Flashista luopumista – tilalle HTML5

YouTube testaa videoiden näyttämistä HTML5-kielen avulla ilman Flash Playeria. Kokeilua vaikeuttaa selainvalmistajien erimielisyys videomuodoista.  »

ENSIMMÄISET VARMAT TIEDOT
Tältä näyttää Nokian "maaginen" Symbian-käyttöliittymä

Nokia on jukaissut ensimmäisen yksityiskohtaisen kuvauksen Symbianin käyttöliittymäremontista. Luvassa on muokattava kotinäyttö, sovelluskirjasto sekä entistä vähemmän valikoita ja painikkeita.  »

LISÄÄ TOIMINTOJA
Google Chrome saa lisäpotkua laajennuksista

Googlen Chrome-selaimeen voi nyt lisätä toimintoja laajennuksilla. Laajennukset asentuvat kevyesti lennossa, ja ne rakennetaan Googlen tyyliin web-tekniikoilla.  »

ENSI VUODEN AIKATAULU
Nokia 2010: Mitä Symbianin tulevaisuudesta jo tiedetään?

Nokian toimitusjohtaja Kallasvuo lupaa ensi vuodelle huimia parannuksia käytettävyyteen ja maagisia kokemuksia. Mitä lupaukset tarkoittavat, ja mitä Nokian tekniikoista käytännössä tiedetään?   »








© 1998-2010 Talentum Oyj Talentum vaihde: 0204 42 40 Talentum tilaajapalvelu puh: 0204 42 4100
Lehdet: tilaajapalvelu@talentum.fi Kirjat: kirjat@talentum.fi
Verkkopalvelut: asiakaspalvelu@talentum.com
Talentum.com myynti: onlinemyynti@talentum.com
Talentum verkkopalvelut: Vastaavat toimittajat
Käyttäjäsopimus/rekisteriseloste
*) Puhelun hinta (sis. alv 22 %): Lankapuhelimesta: 8,21 snt/puhelu + 6,90 snt/min.
Matkapuhelimesta: 8,21 snt/puhelu + 16,90 snt/min. Ulkomailta ao. maan ulkomaanpuhelumaksu.