Только текст | Текст с изображениями

Linux Forum Казахстан

Общий => Новости => Тема начата: ping_Win от 31 Декабря 2008, 18:58

Название: Доклады об уязвимостях в TCP, DECT, DNS и подделке SSL сертификатов
Отправлено: ping_Win от 31 Декабря 2008, 18:58
Некоторые интересные доклады с конференции Chaos Communication Congress (//\"http://events.ccc.de/congress/2008/\"):

    * Продемонстрирована (//\"http://www.win.tue.nl/hashclash/rogue-ca/\") возможность генерации поддельного SSL сертификата, используя метод поиска коллизий в MD5 хешах (несколько разных наборов данных могут привести к одному итоговому хешу, что может быть использовано для выявления ненадежных корневых CA (Certification Authority) сертификатов). Для подбора коллизий используется (//\"http://hackaday.com/2008/12/30/25c3-hackers-completely-break-ssl-using-200-ps3s/\") кластер из 200 игровых приставок Sony PlayStation 3;
    * Доклад (//\"http://www.heise-online.co.uk/security/25C3-More-light-shed-on-denial-of-service-vulnerabilities-in-TCP--/news/112324\") с обзором методов вызова отказа в обслуживании различных реализаций TCP/IP стека, вызванных особенностями работы протокола. Напомню, что в октябре было объявлено (//\"http://www.opennet.ru/opennews/art.shtml?num=18228\") о нахождении фундаментальной уязвимости во всех TCP/IP стеках, но технология так и не была продемонстрирована, поэтому отнесена к разряду спекуляций;
    * В технологии беспроводной связи DECT найдена (//\"http://www.heise-online.co.uk/security/25C3-Serious-security-vulnerabilities-in-DECT-wireless-telephony--/news/112326\") критическая уязвимость, дающая возможность злоумышленникам подслушивать любые разговоры абонентов сети. Все что для этого нужно - это ноутбук с Linux и беспроводная карта ComOnAir, стоимостью 23 евро;
    * Дэн Каминский (Dan Kaminsky), обнародовавший (//\"http://www.opennet.ru/opennews/art.shtml?num=17101\") этим летом метод помещения не соответствующих реальности данных в кэш DNS серверов, представил (//\"http://www.linux-magazine.com/online/news/25c3_dan_kaminsky_invokes_dnssec\") доклад, рассказывающий об идеях по устранению данной уязвимости и призывающий переходить на использование DNSSEC;
    * Энтузиасты из группы iPhone Dev Team (//\"http://wikee.iphwn.org/\") продемонстрировали (//\"http://www.heise-online.co.uk/news/25C3-Cracks-in-the-iPhone-security-architecture--/112321\") прототип приложения для модификации прошивки iPhone и снятия привязки к оператору связи.

Архив видео и аудио записей с конференции Chaos Communication Congress представлен на данной странице (//\"http://events.ccc.de/congress/2008/wiki/Conference_Recordings\").

http://www.opennet.ru/opennews/art.shtml?num=19607 (//\"http://www.opennet.ru/opennews/art.shtml?num=19607\")
Только текст | Текст с изображениями