Skradziono kod uniwersalnego systemu uwierzytelniania Google
- Dodano: 20 kwietnia 2010
- Wprowadził: hack.pl
- Komentarze: 19
Podczas ataku określanego jako atak z wykorzystaniem Aurory lub Chińskiego włamania do Google i innych firm w Grudniu 2009 włamywaczom udało się ukraść kod źródłowy aplikacji umożliwiającej pojedynczą autoryzacje do prawie wszystkich usług webowych giganta w tym kont poczty Gmail i aplikacji biznesowych.
Zgodnie z publikacją „The New York Times” atak „Aurora” zaczął się od kliknięcia w link przesłany (IM) przez Microsoft Messenger do jednego z pracowników Google w Chinach, które doprowadziło do przejęcia komputera tego pracownika. Następnie z tego punktu wejściowego uzyskali dostęp do komputerów krytycznej grupy developerów w kwaterze Mountain View. Gdzie uzyskali dostęp do wyżej wymienionego kodu źródłowego funkcjonującego pod nazwą „Gaia”. Uzyskali również dostęp do innych wewnętrznych katalogów Google np „Moma”, które zawierają informacje o działalności poszczególnych pracowników.
Atakujący mieli zadziwiającą wiedzę o twórcach projektu „Gaia” . Mimo tego nie wygląda na to, aby uzyskali dostęp do haseł kont Gmail poszczególnych użytkowników.
Więcej informacji: http://hack.pl/aktualnosci/skradziono-ko...oogle.html
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
19 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
Tak to jest jak się używa IE czy MM
widać nie wszędzie jest to wiedza powszechna.
Myślisz że w Gadu nie ma dziur?
A jest coś co nie ma ani jednej dziury?
Na pewno są jakieś proste programy co nie mają ani jednej dziury. Trzeba pamiętać, że wraz ze wzrostem ilości kodu, prawdopodobienstwo popełnienia błedu rośnie.
Witam. Tak jest system, który nie ma dziur. A jest to: TeX.
Zapraszam do ciekawej historii tego tworu: http://pl.wikipedia.org/wiki/Tex
> Tak to jest jak się używa IE czy MM
widać nie wszędzie jest to wiedza powszechna.
No opisywani tu ostatnio kolesie z apache tez o tym zapomnieli.
@BoBsoN Chyba rodzaj IM nie ma znaczenia – gdzieś czytałem, że pracownik dostał na komunikator spreparowanego linka – z takim czymś nie obronisz się żadnym komunikatorem/przeglądarką.
Jasne, że nie ma, ale fanbojowi to bez różnicy :>
W GG by ten link do niego nie dotarl, o ile w ogole by dostal jakakolwiek wiadomosc
Proszę proszę, czyżby rysa na „bezpieczeństwie dokumentów w chmurach”? [;
Jaka znowu rysa? Szybki przykład: Wiesz jak działa AES? Wiesz (a przynajmniej możesz się łatwo dowiedzieć). To teraz dawaj i odszyfruj mi wszystkie połączenia SSL w sieci ;-P. Ważny jest klucz/hasło/itp, a nie algorytm – tak się projektuje dobre metody szyfrowania i autoryzacji (i ufam, że tak to właśnie w Google zrobili).
Tylko czemu ja nie mogę pobrać kodu źródłowego "Gaia"?
To ufaj im dalej — doświadczenie pokazuje, że nieopublikowane systemy często mają słabości. Książkowy przykład to sprawa firmy Crypto AG: http://www.schneier.com/blog/archives/2008/01/nsa…
Pytanie na myślenie: Google musi udostępniać władzom informacje na żądanie. Jak wiąże się ta kwestia z implementacją systemu uwierzytelnienia?
P.S. 15 lat temu Zimmermann walczył w sądach, żeby rząd USA nie kontrolował sposobu w jaki obywatele szyfrują informacje. Dzisiaj dzieci używają kryptografii do tego, aby "bezpiecznie" przesłać swoje dane na serwery prywatnej firmej, której udziałowcem jest fundusz inwestycyjny powiązany z CIA, bo ufają, że ona należycie chroni ich dane. ROTFLMAO.
Dobra.. ale dostepu do bazy danych z hasalami nie maja? to co im po kodzie?:)
Teoretyczna możliwość stworzenia np. ataku XSS przechwytującego sesję.
I truly enjoy examining on this web site , it has fantastic articles .
I truly enjoy looking at on this site, it has good blog posts.
I’d must examine with you here. Which isn’t one thing I normally do! I enjoy reading a put up that will make folks think. Additionally, thanks for permitting me to comment!
ha, I intention check my thought, your post take in me some proper ideas, it’s really amazing, thanks.