Спутниковое Телевидение + Интернет весь мир у вас на экране       

   
Меню сайта
Категории раздела
Спутниковые новости ТВ
Транспондерные новости.
Цифровое / кабельное ТВ
Новости изменений в эфире
Интернет и IPTV технологии
Провайдеры, новшества
Новости мира гаджетов
электроника и гаджеты
Новости киномира
Новинки в мире синематографа
Спутниковый - Интернет
Новости провайдеров
Крипторынок валют
Новости о криптотехнологиях
Новости компании Мирант
Новые услуги, изменения

01:13
PayPal заблокировала акаунт хакера, обнаружившего уязвимость в функциях работы с SSL
PayPal-аккаунт "хорошего" хакера Мокси Марлинспайка (Moxie Marlinspike) был заморожен вскоре после того, как в общий доступ был выложен поддельный SSL-сертификат сервиса PayPal, созданный благодаря исследованию Марлинспайка.

Эксперту по email пришло уведомление, где уверяется, что он якобы нарушил условие использования PayPal, согласно которому он не имеет права получать оплату при помощи этого сервиса за "товары, которые раскрывают персональную информацию третьих лиц". Какой именно товар имеется в виду в данном конкретном случае, в письме не уточняется.

Сам же Марлинспайк прилагал пэйпэловскую кнопку пожертвования к двум своим программам — SSLSniff и SSLStrip. Первая является хакерским инструментом для использования старой (и уже пропатченной) уязвимости в Internet Explorer. Вторая демонстрирует атаку на совсем свежую "дыру" в майкрософтовской библиотеке, позволяющую эффективно подделывать практически любые SSL-сертификаты.

Свою последнюю находку Марлинспайк продемонстрировал этим летом на конференции Black Hat в Лас-Вегасе. Суть её состоит в том, что из-за ошибки в Microsoft CryptoAPI происходит некорректная обработка сертификатов, выданных на доменные имена, включающие подстроку "\0". Это позволяет, к примеру, владельцу домена "hacker.com" зарегистрировать сертификат на поддомен вида "www.paypal.com\0.hacker.com", который большинство браузеров будет распознавать как подлинный SSL-сертификат PayPal.

В частности, ошибка затрагивает браузеры IE, Safari и Chrome, которые как раз используют данный API (FireFox 3.5 умеет распознавать такую попытку обмана). Несмотря на то что Марлинспайк сделал публичный доклад ещё в конце июля, компания Microsoft до сих пор не устранила данную уязвимость.

Во время учебного семинара на Black Hat эксперт раздал присутствующим поддельный сертификат PayPal в качестве доказательства практического применения своего исследования. При этом все получатели подписали соглашение о том, что не будут выкладывать его в открытый доступ.

Однако два дня назад некий Тим Джонс (Tim Jones) это соглашение нарушил. Узнав об этом, Марлинспайк назвал действия Джонса не очень благоразумными, хотя и добавил, что корректнее было бы сказать, что "пользователи Windows находятся под угрозой благодаря тому, что Microsoft всё ещё не исправила уязвимость".

Узнали об этом и в PayPal. И буквально на следующий день заморозили аккаунт Марлинспайка (вместе с пятью сотнями баксов) под предлогом, который выглядит несколько надуманно. Марлинспайк при этом заверяет, что как раз пытался первым делом предупредить компанию о потенциальной опасности.






Категория: Интернет и IPTV технологии | Просмотров: 1172 | Добавил: wufer | Теги: Хакеры | Рейтинг: 0.0/0




Похожие материалы:

Реклама



Календарь публикаций
«  Октябрь 2009  »
ПнВтСрЧтПтСбВс
   1234
567891011
12131415161718
19202122232425
262728293031
Статистика


Сейчас на сайте: 3
Гостей: 3
Пользователей: 0