Ars Technica - Potem ko je bila pred kratkim objavljena analiza napada na Google-ov zvočni del CAPTCHA zaščite pred spamerji, ki je efektivno popolnoma zaobšla Google-ovo zaščito, saj naj bi se dalo doseči tudi 90 odstotno uspešnost ugibanja, pa je bil danes objavljen še en članek, ki razkriva da so Google-ovi poštni strežniki ranljivi za t.i. man-in-the-middle napade.
Raziskovalcem iz INSERT-a je tako uspelo zaobiti GMail-ovo omejitev 500-tih sporočil, ki jih lahko naenkrat pošlje uporabnik, brez da bi jim Google omejil dostop, ali jih opozoril na morebitne posledice nadaljnjega početja. Kar naredi ti dve varnostni ranljivosti še nekoliko bolj kritični je dejstvo, da ponudniki internetne pošte velik del elektronske pošte zavrnejo že s prepoznavo izvora pošte - prepoznajo namreč določene strežnike, ki so na t.i. črnih seznamih oziroma avtomatsko spustijo pošto skozi svojo prvo linijo obrambe, če identificirajo izvorni strežnik kot zaupanja vreden.
Yahoo in Hotmail tako na primer popolnoma zaupata Google-ovim strežnikom in sta vsa testna sporočila dostavila v glavni nabiralnik. Kakšne posledice lahko to ima za poštne ponudnike, ki se zanašajo na hierarhijo zaupanja, verjetno ni potrebno posebej poudarjati.
Mja no, v povprečju fašem dejansko v Inbox tam 1 do 2 spam maila na pol leta, ki se slučajno izmuzneta. Vse ostalo gre direktno v mapo Spam, ki je nikoli ne odprem in zaupam filtrom. zaenkrat ni bilo težav. Torej kje je problem?
Jah očitno se ne da popolnoma zaupat googlovim strežnikom. Kakšen vpliv ima to? Pač bojo nastavili spamfilter da bo aktiven tudi za pošto iz googlovih strežnikov... Nekaj minut dela verjetno.
Cudim se, da pri tako ogromnem stevilu uporabnikov, ki jih ima Google, niso na te napake in exploite naleteli ze prej. Ocitno imajo vseeno dobro porihtane serverje.
...razkriva da so Google-ovi poštni strežniki ranljivi za t.i. man-in-the-middle napade
Man-in-the-middle napade?! Ta clanek ne razkrije ravno veliko glede na to da je vecina stvari cenzuriranih z "Ommited as a courtesy to Google". Samo, da je mozno posiljati vec kot 500 naslovnikom z neko "forward" metodo ter da je problem zaradi zaupanja drugih ponudnikov. Od avtorjev bi pricakoval, da so Google prej obvestili (in stvar objavili sele po tem ko je Google napako odpravil). Tale naknadna cenzura namiguje na to, da tega niso storili. (Ali pa le da je Google zloben in cenzurira opise ze odpravljenih varnostnih pomankljivosti). V vsakem primeru bi bilo bolj smiselno umakniti celoten clanek, kot pa pustiti neko skropucalo. Kot bi rekel: "resil sem P=NP problem Dokaz: *cenzura*".
S pomocjo razbitega audio CAPTCHA-ja bi bilo v principu mozno spammerjem avtomatsko ustvarjati vedno nove gmail accounte, tako da tudi tista omejitev s 500 maili ni tak problem. Tukaj razumem da orodja niso objavili. Navsezadnje je problem opisan v clanku. V prejsnjem primeru temu ni tako. Torej drugi ponudniki ne bi smeli kar tako na slepo zaupati Gmail streznikom, ampak bi kvecjemu lahko za sporocila poslana s tistih SMTP streznikov podali malo bolj mile omejitve kdaj se email klasificira kot spam.
Nekaj so definitivno ukrenili tako v pošiljanju kot prejemanju zgleda... Večinoma dobim čez dan okrog 10-15 spamov... danes pa menda sam eden,bomo še videli... zanimivo :)
Pa saj se novica sploh ne nanaša na prihajajoči spam v gmail boxe, ampak na spam poslan iz gmail strežnikov na splošno. Spama bo zelo verjetno v vaših gmail boxih popolnoma enako kot doslej. :)
Ja ubogi oni, ki so slepi. Mogoče bi bilo res bolje kot alternativo predvajanju zvoka za slepe, ki ga zmore prepoznati speech2text system, uvesti avtorizacijo preko kreditne kartice ali SMS povratnega sporočila.
Ampak gmail mora ostati na whitelist. Nesprejemljivo je, da bi šla sporočila poslana tako v spambox.
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Izgleda kot da je vecina ljudi tukaj slepih. :) Vidijo "Google" in "spam" in ze pisejo kako oni ne dobijo spama na svoj gmail racun.
Avdio captcha je dobra zadeva. Ni ga treba ukiniti, fora je samo v tem da bi ga bilo treba malo popraviti. Recimo da bi bil pri vsaki stevilki drug glas oz. da sploh ne bi bile samo stevilke ampak malo bolj kompleksna beseda. Tudi sum iz ozadja bi se moral spreminjati. Navsezadnje slepi ljudi bolje slisijo. To s kreditno kartico ni sprejemljivo, ker s tem zelo omejis kdo se lahko registrira, SMS potrjevanje je pa drago.
Zakaj bi moral biti Google na whitelistu? Taka razmerja zaupanja so kar se varnosti tice ponavadi slaba.
Google Mail mora biti na whitelistu. Ker če ti nekdo pošlje pomembne email in pristane v SPAM boxu - ti ga pa vidiš, ko je že prepozno ali pa sploh ne. To ni fajn. Mogoče bi res lahko dodali žuborenje potočka in petje ptic v ozadju... SMS&kreditna kartica sta še vedno boljši opciji, kot avdio. Sicer pa, če slepi nima kartice, lahko pa prosi nekoga drugega, da ga registrira <;)>
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
