SSL defect ar fi putut fi folosit pentru a hack Twitter

Un defect în protocolul folosit pentru a asigura comunicațiile prin Internet ar fi putut fi folosit pentru a hackeri conturile Twitter, potrivit unui cercetător de securitate IBM.

Anil Kurmus a demonstrat săptămâna trecută cum ar putea fi folosit un defect în protocolul SSL (Secure Sockets Layer) folosit pentru a trăi victimele în mod esențial în trimiterea mesajelor Twitter care conțineau informațiile despre parole. Pentru ca eroarea să fie exploatată, un hacker ar trebui mai întâi să găsească o modalitate de a intra în rețeaua victimei, lansând ceea ce este cunoscut ca un om în mijlocul atacului, așa că ar fi greu să afecteze un număr mare de utilizatori Twitter cu această tehnică. Problema a fost în curând patchată de Twitter, dar experții în securitate se întreabă câte site-uri web ar putea suferi de o problemă similară.

Un consorțiu de companii de Internet sa grăbit să repare problema SSL din 5 noiembrie, când a fost făcută din greșeală public pe o listă de discuții. Dar a existat o dezbatere despre gravitatea defectului. La puțin timp după ce problema a fost făcută publică, cercetătorul IBM Tom Cross a spus că, în cea mai mare parte, aplicațiile web majore nu ar fi afectate de această problemă.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Dar Cross și-a schimbat mintea, scriind: "Din păcate, situația este mai rea decât am crezut."

Aplicațiile Webmail pot fi, de asemenea, în pericol de acest atac. Și experții în securitate se tem că alte aplicații - baze de date, de exemplu, ar putea fi în pericol.

Twitter.com a fost susceptibil la eroare deoarece a făcut ceea ce se numește renegociere client în cadrul SSL. Renegocierea clientului oferă site-ului web o modalitate de a solicita utilizatorului Twitter un certificat SSL după ce un utilizator este deja conectat la site. Este un instrument util pentru site-urile care permit utilizatorilor să se conecteze folosind carduri inteligente sau pentru site-uri care restricționează accesul la un grup select de surferi predefiniți, dar până când defectul este fix, renegocierea clientului deschide și ușa atacurilor SSL. sunt probabil multe site-uri, cum ar fi Twitter, care permit renegocierea clientului pur și simplu pentru că este încorporată în protocolul SSL și succesorul său, TLS (Transport Layer Security), a declarat Marsh Ray, unul dintre dezvoltatorii PhoneFactor care au descoperit problema. "O mulțime de oameni nu au dat seama că au făcut-o", a spus el.

Vestea bună este că multe site-uri pot dezactiva pur și simplu, ceea ce se pare că a făcut Twitter. Twitter nu a răspuns la un mesaj care solicită comentarii despre această poveste

Potrivit lui Ray, oamenii ar trebui să înțeleagă că, în timp ce defectul SSL nu este catastrofal, "acesta este un bug grav și oamenii trebuie să o patch-uri".