Koti Securitywatch Yahoo ei ansaitse kiitosta parannetusta turvallisuudesta

Yahoo ei ansaitse kiitosta parannetusta turvallisuudesta

Video: Yahoo Finance Presents: eBay CEO Jamie Iannone (Marraskuu 2024)

Video: Yahoo Finance Presents: eBay CEO Jamie Iannone (Marraskuu 2024)
Anonim

Kyllä, Yahoo on vihdoin ottanut HTTPS-salauksen käyttöön sähköpostinkäyttäjillään, mutta ei näytä siltä, ​​kuin yritys yrittäisi tehdä mitään tarkoituksenmukaisesti turvallisella tavalla.

Kaikki Yahoo Mail -viestintä - joko verkossa, mobiiliverkossa, mobiilisovelluksissa tai jopa IMAP: n, POP: n ja SMTP: n kautta - on nyt salattu oletuksena 2 048-bittisillä varmenteilla, Yaffen viestintätuotteiden vanhempi varapuheenjohtaja Jeff Bonforte kirjoitti Yahoo Mailin Tumblr tällä viikolla. Tämä siirto suojaa sähköpostien, liitteiden, yhteystietojen, kalenteritietojen ja jopa Messenger-tietojen kaiken sisällön, kun ne siirtyvät käyttäjän selaimen ja Yahoon palvelimien välillä. Turvallisuusasiantuntijat varoittivat, että se ei riitä.

"Yahoon ilmoitus, että se on mahdollistanut HTTPS-salauksen kaikille Yahoo Mail -käyttäjille, ei ole vain liian vähän liian myöhäistä, vaan myös melko huolestuttavaa", sanoi Rapid7: n Metasploit Engineering Manager Tod Beardsley.

Luotto, kun luotto erääntyy

Yahoo alkoi tarjota turvallisuustietoisille käyttäjille mahdollisuus ottaa HTTPS käyttöön itselleen vuoden 2012 lopulla. Viimeisin muutos tarkoittaa, että salaus on nyt käytössä oletuksena, ja se suojaa kaikkia, ei vain niitä, jotka ovat valinneet lisää tietoturvaa. Kun otetaan huomioon, että suurin osa käyttäjistä ei koskaan piiskaa asetuksista, on hyvä asia, että Yahoo on vihdoin ottanut HTTPS: n käyttöön oletuksena. Gmailissa on ollut HTTPS oletuksena vuodesta 2010, Microsoft julkaisi Outlook.com-sovelluksen heinäkuussa 2012, ja tämä ominaisuus oli oletuksena. Facebook aloitti HTTPS: n käyttöönoton oletusarvoisesti käyttäjille marraskuussa 2012.

Viivästyminen puolueeseen ei olisi niin paha, jos Yahoo olisi todella ajatellut joitain turvallisuuspäätöksistään. Vaikka salauksen käyttöönotto oletuksena on "suuri askel eteenpäin Yahoo: lle", "uusi kokoonpano jättää paljon toivomisen varaa", tietoturvayrityksen Qualysin sovellustietotutkimuksen johtaja Ivan Ristic kertoi Security Watchille . Suurin ongelma liittyy siihen, että Yahoo päätti olla tukematta täydellistä eteenpäin suunnattua salassapitoa (PFS).

"Ilman eteenpäin salaisuutta jopa salatut tiedot ovat todennäköisesti vaarassa yksityisen avaimen kompromissien vuoksi", Ristic varoitti.

Nopea PFS-pohjamaali

Perus HTTPS-salauksella, tietovirran kaappaavat hakkerit (tai valtion edustajat) eivät voi lukea sisältöä, koska heillä ei ole Yahoon yksityistä avainta. Jos he kuitenkin hankkivat avaimen myöhemmin, he voisivat palata ja purkaa aiemmin kaapatut tiedot. Jos sivusto toteutti täydellisen pelkistyssalaisuuden, niin vaikka joku saisi avaimen myöhemmin, kyseinen henkilö ei voi palata takaisin kaikkiin vanhempiin istuntoihin.

Yksityinen avain voidaan paljastaa monella tapaa: hyökkäys Yahoon palvelimille avaimen varastamiseksi tai itse salauksen heikkouden löytäminen. Yahoo voi jopa luovuttaa avaimen joko vapaaehtoisesti tai tuomioistuimen määräyksen vuoksi.

"En voi ajatella perusteltua syytä suosia tätä heikompaa salausstrategiaa", Beardsley sanoi.

Ei tarpeeksi hyvä

Risticin mukaan Yahoo: n toteuttamisessa on muitakin ongelmia. Jotkut Yahoon HTTPS-sähköpostipalvelimista käyttävät RC4: tä ensisijaisena salatuna, mutta RC4: n katsotaan olevan heikko. Microsoft ja Cisco lopettivat hiljattain RC4: n käytön. Se on herkkä myös hajautettujen palvelunestohyökkäysten takia, koska se tukee asiakkaan aloittamaa uudelleenneuvottelua, sanotaan SSL Labsin raportissa.

SSL Labs luokittelee verkkosivustot SSL-toteutuksen ylimääräisestä turvallisuudesta. Yahoo: lla on vain "B" -luokitus.

Muut palvelimet, kuten login.yahoo.com, käyttävät AES: tä. AES on parempi kuin RC4, mutta Yahoo ei toteuttanut tietoturvallisuuden lieventämistä tunnetuille hyökkäyksille, kuten BEAST, joka kohdistuu TLS 1.0: een ja aiempiin protokolliin, ja CRIME, käytännöllinen hyökkäys TLS: n käytön suhteen selaimissa. Sivusto tukee myös "vain vanhempia protokollaversioita, mutta ei viimeisintä ja turvallisempaa TLS 1.2", sanotaan SSL Labsin raportissa.

Ehkä Yahoo kehittää edelleen sukulaisia, ja parempi tietoturva otetaan vaiheittain käyttöön seuraavien viikkojen tai kuukausien aikana. Mutta se olisi ollut hienoa selittää sen suunnitelmat etukäteen. Entä se Yahoo? Ajatteletko käyttäjän tietoturvaa sen sijaan, mitä joukkueesi on helpompaa tehdä?

Yahoo ei ansaitse kiitosta parannetusta turvallisuudesta