Mai multe găuri găsite în protocolul de securitate SSL al Web

La conferința Black Hat din Las Vegas joi, cercetătorii au dezvăluit o serie de atacuri care ar putea fi folosite pentru a compromite securitatea traficul care se deplasează între site-uri Web și browsere

Acest tip de atac ar putea lăsa un atacator să fure parole, să atace o sesiune bancară online sau chiar să împingă o actualizare a browser-ului Firefox care conține cod rău intenționat, spun cercetătorii

Citirea ulterioară: Cum să eliminați programele malware de pe PC-ul dvs. Windows

Problemele se întâmplă în modul în care multe browsere au implementat SSL și, de asemenea, în sistemul de infrastructură cheie cheie X.509 utilizat pentru gestionarea certificatelor digitale utilizate de SSL pentru a determina dacă un site web este sau nu de încredere.

Un cercetător de securitate numindu-se pe sine Moxie Marlinspike a arătat o modalitate de interceptare a traficului SSL folosind ceea ce el numește un certificat de terminare nul. Pentru a-și face atacul, Marlinspike trebuie să primească mai întâi software-ul său într-o rețea locală. Odată instalat, acesta afișează traficul SSL și prezintă certificatul său de terminare nulă pentru a intercepta comunicările dintre client și server. Acest tip de atac de tip man-in-the-middle este nedetectabil, a spus el.

Atacul lui Marlinspike este remarcabil similar cu un alt atac comun cunoscut sub numele de atac de injectie SQL, care trimite date special creat in program, a face ceva ce nu ar trebui în mod normal să facă. El a descoperit că, dacă a creat certificate pentru propriul său domeniu de Internet care conținea caractere nulă - adesea reprezentate cu un 0 - unele programe ar interpreta greșit certificatele.

Acest lucru se datorează faptului că unele programe opresc citirea textului atunci când văd un caracter nul. Deci, un certificat emis pe www.paypal.com 0.thoughtcrime.org ar putea fi citit ca aparținând www.paypal.com.

Problema este răspândită, a declarat Marlinspike, care afectează Internet Explorer, VPN (rețeaua privată virtuală), clienții de e-mail și software-ul de mesagerie instantanee și Firefox versiunea 3.

Pentru a face lucrurile să se înrăutățească, cercetătorii Dan Kaminsky și Len Sassaman au raportat că au descoperit că un număr mare de programe Web depind de certificate emise cu ajutorul unei criptografii învechite tehnologie numită MD2, care a fost mult timp considerată nesigură. MD2 nu a fost de fapt spart, dar ar putea fi rupt intr-o chestiune de luni de catre un atacator determinat, a spus Kaminsky.

Algoritmul MD2 a fost folosit acum 13 ani de catre VeriSign pentru a semna "unul dintre certificatele esentiale de baza fiecare browser de pe planetă ", a spus Kaminsky

VeriSign a oprit semnarea certificatelor folosind MD2 în mai, a declarat Tim Callan, vicepreședinte marketing marketing produs la VeriSign. nu putem să-l omorăm sau să rupem Web-ul ", a spus Kaminsky.

Producătorii de software pot, totuși, să spună produselor lor că nu au încredere în certificatele MD2; ei pot programa, de asemenea, produsele lor pentru a nu fi vulnerabili la atacul null-termination. Cu toate acestea, până în prezent, Firefox 3.5 este singurul browser care a patch-ul problemei null-termination, au spus cercetătorii.

Aceasta este a doua oară în ultimul semestru că SSL a trecut sub control. La sfarsitul anului trecut, cercetatorii au descoperit o modalitate de a crea o autoritate de certificare necinstita, care ar putea la randul ei sa elibereze certificate false de SSL care ar fi sigura de orice browser.

Kaminsky si Sassaman spun ca exista o serie de probleme in modul in care sunt certificate SSL emise care le fac nesigure. Toți cercetătorii au fost de acord că sistemul x.509 utilizat pentru a gestiona certificatele pentru SSL este depășit și trebuie să fie repetat