What is a Security Vulnerability?
كان من الممكن أن يكون هناك خلل في البروتوكول المستخدم لتأمين الاتصالات عبر الإنترنت لاختراق حسابات تويتر ، وفقا لباحث أمن آي بي إم.
الأسبوع الماضي أظهر أنيل كورموس كيف يمكن أن يكون هناك خلل في بروتوكول SSL (بروتوكول مآخذ التوصيل الآمنة) اعتاد على خداع الضحايا في إرسال رسائل Twitter التي تحتوي على معلومات كلمة المرور الخاصة بهم. حتى يتم استغلال هذا الخلل ، يجب على المتسلل أولاً العثور على طريقة للوصول إلى شبكة الضحية ، وإطلاق ما يعرف بـ "رجل في الوسط" ، لذا سيكون من الصعب التأثير على عدد كبير من مستخدمي تويتر. هذه التقنية. وسرعان ما قام موقع تويتر بتصحيح هذه القضية ، لكن خبراء الأمن يتساءلون عن عدد المواقع الإلكترونية التي قد تعاني من مشكلة مماثلة.
لقد سارع اتحاد شركات الإنترنت إلى إصلاح مشكلة SSL منذ 5 نوفمبر ، عندما تم صنعها دون قصد. العامة على قائمة المناقشة. لكن كان هناك بعض الجدل حول خطورة الخلل. بعد وقت قصير من الإعلان عن العلل ، قال الباحث في IBM توم كروس إن معظم تطبيقات الويب الرئيسية لن تتأثر بالمشكلة.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]لكن كروس غير رأيه ، فكتب: "لسوء الحظ ، الوضع أسوأ مما كنت أعتقد."
تطبيقات البريد الإلكتروني ، على وجه الخصوص ، قد تكون أيضًا معرضة للخطر من هذا الهجوم. ويشعر خبراء الأمن أيضًا بالقلق من أن التطبيقات الأخرى - قواعد البيانات ، على سبيل المثال - قد تكون معرضة للخطر.
Twitter.com كان عرضة للعلة لأنها فعلت ما يُطلق عليه اسم إعادة التفاوض مع العميل بموجب SSL. يعطي إعادة التفاوض على العميل موقع الويب طريقة لطلب مستخدم Twitter للحصول على شهادة SSL بعد أن يكون المستخدم متصلاً بالفعل بالموقع. إنها أداة مفيدة للمواقع التي تسمح للمستخدمين بتسجيل الدخول باستخدام البطاقات الذكية أو للمواقع التي تقيد الوصول إلى مجموعة مختارة من متصفحي الويب المحددين ، ولكن حتى يتم إصلاح الخلل ، فإن إعادة التفاوض مع العميل يفتح أيضًا الباب لهجمات SSL.
There على الأرجح العديد من المواقع مثل Twitter التي تسمح بإعادة التفاوض مع العميل ببساطة لأنها مضمنة في بروتوكول SSL وخلفها ، TLS (Transport Layer Security) ، قال مارش راي ، أحد مطوري PhoneFactor الذين اكتشفوا المشكلة. وقال: "الكثير من الناس لم يدركوا أنهم يفعلون ذلك".
الخبر السار هو أن العديد من المواقع يمكنها ببساطة تعطيلها بشكل صريح ، وهو ما فعله تويتر على ما يبدو. لم يستجب تويتر لرسالة تطلب التعليق على هذه القصة.
وفقا للراي ، يجب أن يدرك الناس أنه في حين أن الخلل SSL ليس كارثيا ، "هذا خطأ خطير ويحتاج الناس إلى تصحيحه."
IT Admin Used Inside Knowledge to Hack and Steal
اعترف مسؤول تكنولوجيا معلومات سابق بأنه مذنب بتهمة اختراق مستخدمه السابق واقتحام خليج آخر المنطقة ...
Kaspersky Says Web Hack 'should Have Have Happening'
Kaspersky Lab وتقول موقع الويب الخاص به تم اختراق يوم السبت
Adobe Flaw Has Been Used used in Early January
Security vendor SourceFire says that a new Adobe 0day attack has been around since January 9.