Více otvory nalézt na internetové své protokolu SSL zabezpečení

Bezpečnostní vědci zjistili, některé vážné chyby v softwaru, který používá protokol SSL (Secure Sockets Layer) pro zabezpečení komunikace na internetu.

Na konferenci Black Hat v Las Vegas ve čtvrtek vědci odhalili řadu útoků, které by mohly být použity k ohrožení bezpečnosti provozování webových stránek a prohlížečů

Tento typ útoku by mohl dovolit útočníkovi ukrást hesla, upadnout do on-line bankovní relace nebo dokonce vytlačit aktualizaci prohlížeče Firefox, která obsahovala škodlivý kód

Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Problém spočívá v tom, že mnoho prohlížečů implementovalo protokol SSL a rovněž v systému infrastruktury veřejných klíčů X.509, který slouží ke správě používaných digitálních certifikátů SSL, aby zjistil, zda je web důvěryhodný.

Výzkumný pracovník v oblasti bezpečnosti, který se nazývá sám Moxie Marlinspike, ukázal způsob, jak zachytit přenos SSL pomocí toho, co nazývá certifikátem pro ukončení platnosti. K tomu, aby jeho útok fungoval, musí Marlinspike nejdříve získat svůj software na místní síti. Jakmile je nainstalován, zaznamenává provoz SSL a předkládá svůj certifikát pro ukončení platnosti null, aby zachytil komunikaci mezi klientem a serverem. Tento typ útoku man-in-the-middle je nezjistitelné, řekl.

Marlinspike útok je pozoruhodně podobný jinému společnému útoku známý jako SQL injection útoku, který posílá speciálně vytvořených dat do programu v naději, že napálí to do dělat něco, co by normálně neměl dělat. Zjistil, že pokud vytvoří certifikáty pro svou vlastní internetovou doménu, která obsahovala nulové znaky - často reprezentované znakem 0 - některé programy by interpretovaly chybně certifikáty.

To proto, že některé programy přestanou číst text, když vidí nulový znak. Takže vystaveno osvědčení www.paypal.com 0.thoughtcrime.org mohl být chápán jako patřící do www.paypal.com.

Problém je rozšířená, řekl Marlinspike, které ovlivňují program Internet Explorer, VPN (Virtual Private Network), e-mailových klientů a softwaru pro rychlé zasílání zpráv a Firefox verze 3.

Aby to ještě zhoršilo, vědci Dan Kaminsky a Len Sassaman hlásili, že zjistili, že velké množství webových programů závisí na certifikátech vydávaných pomocí zastaralé kryptografické technologie MD2, která byla dlouho považována za nejistou. MD2 nebyla skutečně prasklý, ale mohlo by to být rozděleny do několika měsíců určeného útočníkem, uvedl Kaminsky.

The MD2 algoritmus byl použit před 13 lety VeriSign k self-nápisem „Jedním z hlavních kořenových certifikátů v každý prohlížeč na světě, „uvedl Kaminsky.

VeriSign zastavil podpisové certifikáty pomocí MD2 v květnu, řekl Tim Callan, viceprezident produktového marketingu společnosti VeriSign.

Nicméně,“ velký počet webových stránek použít tento kořen, takže nemůžeme to vlastně zabít nebo budeme přerušovat web, "řekl Kaminsky.

Tvůrci softwaru však mohou říct svým výrobkům, že nedůvěřují certifikátům MD2; mohou také programovat své produkty, aby nebyli zranitelní útokem null-termination. K dnešnímu dni je však prohlížeč Firefox 3.5 jediným prohlížečem, který opravil problém null-termination, uvedli vědci.

Je to podruhé v minulém pololetí, kdy se SSL pod kontrolou. Koncem loňského roku, vědci našli způsob, jak vytvořit autoritu nepoctiví osvědčení, které by mohly následně vydat falešný SSL certifikátů, které by byly důvěryhodné libovolného prohlížeče.

Kaminsky a Sassaman říkají, že jsou raft problémů v cestě SSL certifikáty jsou vydaných, které je znemožňují. Všichni vědci souhlasili s tím, že systém x.509, který se používá k správě certifikátů pro SSL, je zastaralý a musí být opraven.