Furnizorii se deplasează pentru a repara Bug în securitatea Net

Defecțiunea constă în protocolul SSL, cel mai bine cunoscut sub numele de tehnologia utilizată pentru navigarea securizată pe site-uri Web începând cu HTTPS, și permite atacatorii interceptează comunicațiile securizate SSL (Secure Sockets Layer) între computerele folosind ceea ce se numește atac de tip "man-in-the-middle".

Deși defectul poate fi exploatat numai în anumite circumstanțe, servere de mail, baze de date și multe alte aplicații sigure, potrivit lui Chris Paget, cercetător de securitate care a studiat problema. la nivelul defecțiunilor la nivel de protocol. " a spus Paget, șeful departamentului de tehnologie, cu o firmă de consultanță în domeniul securității numită H4rdw4re. "Există o mulțime de lucruri pe care trebuie să le rezolvăm: browsere Web, servere Web, balansoare de încărcare web, acceleratoare Web, servere de mail, servere SQL, drivere ODBC, protocoale peer-to-peer."

Deși un atacator ar trebui mai întâi să se hrănească în rețeaua victimei pentru a lansa atacul de tip "man-in-the-middle", rezultatele ar fi apoi devastatoare - mai ales dacă sunt folosite într-un atac orientat pentru a avea acces la o bază de date sau la un server de poștă electronică, A spus Paget.

Deoarece este atât de utilizat, SSL este în mod constant sub microscopul cercetătorilor de securitate. La sfarsitul anului trecut, cercetatorii au descoperit o modalitate de a crea certificate false de SSL, care ar fi sigura de orice browser, iar in august cercetatorii au dezvaluit cateva noi atacuri care ar putea compromite traficul SSL. Dar, spre deosebire de acele atacuri, care aveau de-a face cu infrastructura utilizată pentru a gestiona certificatele digitale ale SSL, cea mai recentă eroare constă în protocolul SSL în sine și va fi mult mai greu de rezolvat.

Mai complicate lucruri este faptul că bug-ul a fost inadvertent dezvăluită miercuri într-o listă obscură de corespondență, forțând vânzătorii să intre într-o luptă nebună pentru a-și împacheta produsele.

Problema a fost descoperită la Auguust de cercetători de la PhoneFactor, o companie de telefonie mobilă. Ei lucrau în ultimele două luni cu un consorțiu de furnizori de tehnologie, numit ICASI (Consorțiul pentru promovarea securității pe Internet), pentru a coordona o soluție la nivel de industrie pentru această problemă, denumită "Project Mogul."

planuri atentate au fost aruncate în dezordine miercuri, când inginerul SAP Martin Rex a dat peste bug-ul pe cont propriu. Se pare că nu știe de gravitatea problemei, și-a expus observațiile cu privire la această problemă unei liste de discuții a IETF (Internet Engineering Task Force). Ulterior, a fost publicată de cercetătorul de securitate HD Moore.

Miercuri după-amiază, destul de mulți oameni au vorbit despre problema pe care PhoneFactor a decis să o facă publice. "În acel moment, am simțit că băieții răi știau și am simțit că avem responsabilitatea ca și băieții să știe prea bine", a declarat Sarah Fender, vicepreședinte al departamentului de marketing al PhoneFactor.

Fender nu a putut spune cine a fost gata să patch-uri problema, dar ea a remarcat faptul că o serie de produse open source sunt "anxioase" pentru a împinge un plasture. "Cred ca vom vedea o patch-uri in viitorul apropiat", a spus ea.

ICASI nu a putut fi atins pentru comentarii miercuri seara.

Deși experții în securitate spun că defectul a existat probabil de ani de zile, nu este se crede că a fost exploatat în orice fel de atacuri.

"În timp ce considerăm că este o vulnerabilitate materială, nu este sfârșitul lumii", a spus Fender