Tietoviikko

Etusivu Taustat Kehittäjän kanava Keskustelu Blogit Tapahtumat TiviDuunit Microsoft Areena   White papers
Arkisto
Lähetä
Tulosta
Jaa

LÄHETÄ KAVERILLE

*Tähdellä merkityt kentät ovat pakollisia

TIETOTURVA

Ilari Sani, 7.10.2009, 11:48

Nyt kuka vain voi esittää nettipankkia

Netissä levitetään väärennettyä sertifikaattia, jonka avulla hakkeri voi teeskennellä olevansa maksupalvelu PayPal. Huijaus toimii Internet Explorerissa sekä Chromen ja Safarin Windows-versioissa.

Käyttämällä väärennettyä sertifikaattia ja kuuntelemalla verkkoliikennettä hakkeri voi astua käyttäjän ja PayPal-sivuston väliin. Selain näyttää olevansa suorassa salatussa yhteydessä PayPaliin, mutta yhteys ohjataankin tosiasiassa hakkerin koneelle.

SSL-salausjärjestelmän sertifikaattien tarkoituksena on estää tällainen toisena palveluna esiintyminen. Tapaus on kova kolaus järjestelmän uskottavuudelle.

Taustalla Windowsin vika

Selaimet hyväksyvät väärennetyn sertifikaatin, koska Windowsin salauksesta vastaavassa CryptoAPI-rajapinnassa on vika joka tulkitsee sertifikaatin sisällön väärin.

Oletetaanpa esimerkiksi, että hakkeri omistaa domain-nimen example.com. Hän kykenee tällöin pyytämään sertifikaatteja myöntävältä turvayhtiöltä sertifikaatin mille tahansa osoittelle, joka päättyy example.com. Hakkerimme pyytää sen seuraavalle osoitteelle:

Osoitteessa on kenoviiva ja nolla, jotka C-ohjelmointikielessä merkitsevät loppua. Kun CryptoAPI kohtaa osoitteen, se lakkaa lukemasta näiden merkkien kohdalla. Äkkiä sertifikaatti näyttääkin kuuluvan osoitteelle paypal.com.

Kun hakkeri näyttää selaimelle tämän sertifikaatin, selain uskoo olevansa tekemisissä aidon PayPalin kanssa.

Korjausta ei vielä tiedossa

Hakkeri Moxie Marlinspike esitteli vikaa ensimmäisen kerran BlackHat-konferenssissa yhdeksän viikkoa sitten. Mozilla korjasi vian omasta Firefox-selaimestaan muutamassa päivässä, mutta Microsoft ei ole vielä reagoinut.

Vialta voi toistaiseksi suojautua vain käyttämällä Firefoxia, Operaa tai jotain muuta käyttöjärjestelmää kuin Windowsia. Vika saattaa myös koskea muita Windows-sovelluksia kuten sähköpostiohjelmia ja pikaviestimiä.

Lähetä
Tulosta
Jaa

LÄHETÄ KAVERILLE

*Tähdellä merkityt kentät ovat pakollisia
Kommentoi artikkelia
Lähettämällä viestin hyväksyn keskustelun ehdot
Re: Nyt kuka vain voi esittää nettipankkia
07.10.2009
12:45

Muutenkin koko nettiä vaivaa nykyään uskottavuusongelma. Kukaan ei uskalla tehdä luottokorttiostoksia netissä tai näyttää olohuoneestansa valokuvia omilla kotisivuillaan. Jokainen meistä on täynnä nettivainoharhaa mutta kukaan ei tiedosta sitä.

Vastaa >

Arto

pelko tyhmää
08.10.2009
19:52

Erityisen jännä tuo ettei muka uskalla tehdä luottokorttiostoksia. Kaikki luottokorttiostoksethan ovat viime kädessä luottokorttifirman vastuulla, riittää kun ilmoittaa ettei ole tilannut, jos ei ole tilannut.

Vastaa >

nössö

Re: Nyt kuka vain voi esittää nettipankkia
07.10.2009
22:43

Hei Ilari, perustelepa vielä millä perusteella tuo tietoturva-aukko rajoittuu vain paypal.com -sivustoon?
Jäi ainakin minulle hiukan epäselväksi.

Vastaa >

Hey Pal

Re: Nyt kuka vain voi esittää nettipankkia
08.10.2009
15:18

Paypal.com on hieman huono esimerkki, koska se käyttää EV SSL sertifikaatteja. EV SSL sertifikaatit eivät ole haavoittuvia tälle hyökkäykselle. "The detailed attack will not work against EV SSL (as agreed by Mr. Marlinspike during the Q and A session after his talk)"
https://blogs.verisign.com/ssl-blog/2009/07/busy_day_at_black_hat.php

Vastaa >

Antti

Re: Nyt kuka vain voi esittää nettipankkia
09.10.2009
21:01

No nii kyllä on netti luotttava joo!

Vastaa >

powerage

Katso kaikki kommentit (5) »

AZURE JULKI

Ilari Sani, 4.2.2010 10:43

Microsoftin pilvi pyörähti käyntiin

Microsoftin pilvipalvelu Azure julkaistiin kuun alussa pitkään kestäneen testivaiheen jälkeen. Yhtiö myy nyt maksullisia Azure-palveluita 21 maassa, mukaan lukien Suomessa.  »

NYT AVOINTA KOODIA

Ilari Sani, Arvopaperi, 3.2.2010 13:29

Facebookin salainen ase: reippaasti lisätehoa PHP:lle

Facebook on julkaissut HipHop-tekniikan, joka kääntää PHP:tä C++ -kielelle. Facebookilla puoli vuotta käytetty tekniikka puolittaa web-palvelimen kuormituksen.  »


PANOSTAA REIPPAASTI

Ilari Sani, 2.2.2010 11:36

Näin käy Javalle Oraclen hoivissa

Oracle ilmoittaa investoivansa reippaasti Javan kehittämiseen. Sunin kehittämiä ohjelmistoja ei lopeteta, vaan ne jatkavat kevyinä vaihtoehtoina Oraclen tuotteille.  »

MUSIIKKIANALYYSIÄ KEHITTÄJILLE

Ilari Sani, 1.2.2010 11:53

Maailman nopein tango löytyy Echo Nestillä

The Echo Nest -palvelu esittelee musiikkihakua, joilla löytyy vaikkapa romantiikkaa C-duurissa. Haku ei ole suunnattu suoraan kuluttajille, vaan kehittäjät voivat käyttää sitä sovelluksissaan.  »

KÄTEISTÄ AUKOISTA

Ilari Sani, 1.2.2010 10:39

Google palkitsee Chrome-vikojen bongaajia

Google alkaa maksaa 500 dollarin palkkioita niille, jotka löytävät yhtiön Chrome-selaimesta turva-aukkoja. Palkkiota ei voi saada koodista, johon on itse ollut osallisena.  »

IPHONEN ISOVELI

Ilari Sani, 29.1.2010 11:55

iPad tuo kehittäjille lisäpintaa – ja suukapulan

Kehittäjän näkökulmasta uusi iPad on kuin iso iPhone. Kannen alta toimintoja ja viilausta löytyy enemmänkin, mutta Applen mielestä teknisistä uutuuksista ei saisi vielä puhua.  »

YKSITYISYYS

Ilari Sani, 28.1.2010 13:18

Kuinka vähästä voi netin käyttäjän tunnistaa?

Panopticlick-projektissa tutkitaan, kuinka niukkojen tietojen perusteella netin käyttäjiä voidaan tunnistaa ja seurata. Tunnistaminen ei vaadi IP-osoitteiden tai evästeiden käyttöä, toisin kuin yleisesti luullaan.  »

KOHUTTU TABLETTI JULKI

Ilari Sani, 28.1.2010 9:11

Tässä se nyt on: Apple iPad

Applen kauan huhuttu tablet-laite sai nimekseen iPad. Kaulitun iPhonen näköinen laatta sopii nettiin ja sähköisile kirjoille, mutta yllättäen myös työntekoon.  »

RINNAKKAISLASKENTA

Ilari Sani, 27.1.2010 15:11

Mozilla ideoi: JavaScriptiin vauhtia näytönohjaimesta

Selainvalmistaja Mozillan Labs-aivoriihessä pähkäillään JavaScriptin kiihdyttämistä näytönohjainten GPU-prosessorien avulla. Kiihdytetyllä JavaScriptillä voisi luoda esimerkiksi 3D-grafiikkaa tai kuvantunnistusta.  »

NÄKYY JO VERKOSSA

Ilari Sani, 26.1.2010 15:19

Applen päämajasta kiikaroitiin tablettitietoja

Tilastofirma Flurry kertoo nähneensä verkossa 50 tablet-laitetta, jotka sijaitsevat Applen päämajassa Cupertinossa. Laitteilla on ladattu pelejä ja iPhonen viihdesovelluksia.  »

SOVELLUSMYLLY

Ilari Sani, 25.1.2010 13:22

Oman iPhone-sovelluksen saa nyt pilkkahintaan

Uusi iSites-palvelu tekee vaikkapa uutissivustosta valmiin iPhone-sovelluksen. Sovellusten monipuolisuus ei päätä huimaa, mutta hintakin on vain pari kymppiä.  »

AMMATTILAISKÄYTTÖÖN

Ilari Sani, 22.1.2010 11:14

Disneyltä 3D-maalaustyökalu avoimena koodina

Disney on yllättäen julkaissut avoimena koodina Ptex-nimisen työkalun, jolla maalataan 3D-malleja saumattomasti.  »

VIDEOITA KEVYEMMIN

Ilari Sani, 21.1.2010 14:09

YouTube testaa Flashista luopumista – tilalle HTML5

YouTube testaa videoiden näyttämistä HTML5-kielen avulla ilman Flash Playeria. Kokeilua vaikeuttaa selainvalmistajien erimielisyys videomuodoista.  »

AKTIIVISIA KIRJOJA

Ilari Sani, 21.1.2010 11:35

Amazon avaa Kindlen sovelluksille

Amazon perustaa Kindle-lukulaitteelleen oman sovelluskaupan, josta löytyy interaktiivisia kirjoja – mutta ei nettipuhelimia.  »

TIETOTURVA

Ilari Sani, 20.1.2010 16:31

Windowsissa piili aukko 17 vuoden ajan

Googlen insinööri löysi Windowsista turva-aukon, joka löytyy jo vuosien takaisesta NT:stä – sekä myös tuoreesta seiskasta.  »

PIKKUPÄIVITYKSIÄ TIHEÄÄN

Ilari Sani, 20.1.2010 13:46

Mozilla puskee Firefoxia ulos nopeammin

Firefox saa jatkossa pienempiä päivityksiä, mutta useammin. Taustalla on turhautuminen jättipäivitysten viivästyksiin ja pelko niskassa huohottavasta Chromesta.  »

RSS
Ovi
YLIVUOTO

Palvelinkaappi kansankodin malliin

Käyvätkö palvelinkaapit kukkaron päälle? Ikean sohvapöydästä saa nikkaroitua edullisen ja kotoisan kannikkeen rack-palvelimelle.

  • LackRack  »
ENSIMMÄISET VARMAT TIEDOT
Tältä näyttää Nokian "maaginen" Symbian-käyttöliittymä

Nokia on jukaissut ensimmäisen yksityiskohtaisen kuvauksen Symbianin käyttöliittymäremontista. Luvassa on muokattava kotinäyttö, sovelluskirjasto sekä entistä vähemmän valikoita ja painikkeita.  »

YLIVUOTO

Windows 3.1 kohtaa Web 2.0:n

Astu ajassa 18 vuotta taaksepäin! Selaimessa toimiva hämmästyttävän yksityiskohtainen versio Windows 3.1:stä.

  • Michael Vincent  »
Avoimia työpaikkoja
Ohjelmistoasiantuntija verkkopalveluprojekteihin
Avoltus
Lisää työpaikkoja
LISÄÄ TOIMINTOJA
Google Chrome saa lisäpotkua laajennuksista

Googlen Chrome-selaimeen voi nyt lisätä toimintoja laajennuksilla. Laajennukset asentuvat kevyesti lennossa, ja ne rakennetaan Googlen tyyliin web-tekniikoilla.  »

YLIVUOTO

Palikoilla parempi tukiasema

Puuttuuko WLAN-tukiasemastasi luovuutta? Rakenna sille Lego-palikoista kotitekoinen kotelo, tässä täydet rakennusohjeet.

  • Lego Router (WRT54GL)  »
ENSI VUODEN AIKATAULU
Nokia 2010: Mitä Symbianin tulevaisuudesta jo tiedetään?

Nokian toimitusjohtaja Kallasvuo lupaa ensi vuodelle huimia parannuksia käytettävyyteen ja maagisia kokemuksia. Mitä lupaukset tarkoittavat, ja mitä Nokian tekniikoista käytännössä tiedetään?   »

TIETOTURVA
Tutkijat mursivat huippukovan salauksen

Kansainvälinen tutkijaryhmä on onnistunut murtamaan 768-bittisen RSA-salauksen. Yksittäisen avaimen purkaminen kesti kuitenkin sadoilta palvelimilta kuukausia.  »

NETTIKESKEINEN KÄYTTÖJÄRJESTELMÄ
Google Chrome OS: selaimesta Windowsin haastajaksi

Google on esitellyt Chrome OS:n, yhtiön selaimeen perustuvan käyttöjärjestelmän. Chrome OS ajaa ainoastaan web-sovelluksia, ja se toimii yllättäen vain erityisissä Chrome-kannettavissa.  »

MOBIILISOVELLUKSET
Nokian uudistuskampanja alkaa: Qt toimii nyt Symbianissa

Nokia tarjoaa uuden tavan kehittää sovelluksia Symbian-puhelimille. Qt-alusta toimii nyt Symbianissa, ja ennen pitkää se on sovelluskehittäjän ainoa vaihtoehto.  »

RIKKAAT ALUSTAT

PDC09: Silverlight sulautuu Windowsiin?

Silverlightin kehitys on herättänyt kysymyksiä läheisen Windows Presentation Foundation -tekniikan kohtalosta. Microsoftin teknologiajohtaja Ray Ozzie uskoo, että ajan myötä selain ja Silverlight sulautuvat tiiviimmin osaksi Windowsia.







© 1998-2010 Talentum Oyj Talentum vaihde: 0204 42 40 Talentum tilaajapalvelu puh: 0204 42 4100
Lehdet: tilaajapalvelu@talentum.fi Kirjat: kirjat@talentum.fi
Verkkopalvelut: asiakaspalvelu@talentum.com
Talentum.com myynti: onlinemyynti@talentum.com
Talentum verkkopalvelut: Vastaavat toimittajat
Käyttäjäsopimus/rekisteriseloste
*) Puhelun hinta (sis. alv 22 %): Lankapuhelimesta: 8,21 snt/puhelu + 6,90 snt/min.
Matkapuhelimesta: 8,21 snt/puhelu + 16,90 snt/min. Ulkomailta ao. maan ulkomaanpuhelumaksu.