Bezpečnost Pro prohlásila, že nový útok SSL může zasáhnout mnoho webů

Bezpečnostní poradce v Seattle říká, že vyvinul nový způsob využívání nedávno popsané chyby v protokolu SSL používaném k zabezpečení komunikace na internetu. Útok, který je obtížné provést, by mohl útočníkům poskytnout velmi silný útok phishingu.

Frank Heidt, výkonný ředitel společnosti Leviathan Security Group, tvrdí, že jeho "generický" kód důkazu o konceptu může být použit k útoku na různé webové stránky. Zatímco útok je extrémně obtížný - hacker by nejprve musel nejprve vytáhnout útok "man-in-the-middle", spustit kód, který ohrožuje síť oběti - mohlo by to mít zničující důsledky. využívá chybu ověřování SSL (Secure Sockets Layer), poprvé zveřejněná 5. listopadu. Jeden z objevitelů chyby SSL, Marsh Ray v PhoneFactor, říká, že viděl demonstraci útoku Heidta a je přesvědčen, že by to mohlo fungovat. "Ukázal mi to a je to skutečná dohoda," řekl Ray.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Chyba ověřování SSL dává útočníkovi způsob, jak změnit odesílaná data na server SSL, ale stále není žádný způsob, jak číst informace, které se vracejí. Heidt odešle data, která způsobí, že server SSL vrátí zprávu přesměrování, která pak odesílá webový prohlížeč na jinou stránku. Poté použije tuto přesměrovací zprávu k přesunu oběti do nejistého spojení, kde mohou být webové stránky přepsány Heidtovým počítačem předtím, než jsou odeslány obětujícímu.

"Frank ukázal způsob, jak využít tohoto injekčního útoku úplný kompromis spojení mezi prohlížečem a zabezpečeným místem, "řekl Ray.

Konzervační společnost internetových společností se snaží odstranit chybu, odkud vývojáři PhoneFactor nejprve odhalili to před několika měsíci. Jejich práce získala novou naléhavost, když byla chyba neúmyslně zveřejněna na seznamu diskuzí. Bezpečnostní experti diskutují o závažnosti této nejnovější chyby SSL od doby, kdy se staly veřejně známými.

Minulý týden výzkumný pracovník společnosti IBM Anil Kurmus ukázal, jak by tato chyba mohla být použita k tomu, aby se triky prohlížečů dostaly do odesílání Twitterových zpráv obsahujících uživatelská hesla. Tento nejnovější útok ukazuje, že chyba může být použita k odcizení nejrůznějších citlivých informací z bezpečných webových stránek, řekl Heidt.

Chcete-li být zranitelní, musí stránky dělat něco, co se říká "renegociování klientů" v SSL, a také mít nějaký prvek zabezpečené webové stránky, které by mohly generovat konkrétní zprávu o přesměrování 302.

Mnoho vysoce profilovaných internetových stránek bankovnictví a elektronického obchodu nebude vrátit tuto zprávu přesměrování 302 způsobem, který lze využít, ale "obrovské množství"

S mnoha webovými stránkami, které jsou ohroženy nedostatkem, Heidt říká, že nemá v úmyslu uvolnit svůj kód okamžitě.

Z pohledu oběti je jedinou znatelnou změnou během útoku to, že prohlížeč ne nger vypadá, jako by byl připojen k serveru SSL. Útok je podobný útoku SSL Strip, který demonstroval Moxie Marlinspike na konferenci o bezpečnosti, která se konala na začátku letošního roku.

Leviathan Security Group vytvořil nástroj, který mohou webmasteři využít k tomu, aby zjistili, zda jsou jejich stránky zranitelné vůči SSL ověřování

Protože SSL a jeho nahrazovací standard TLS jsou používány v širokém spektru internetových technologií, má chyba dalekosáhlé důsledky.

Thierry Zoller, bezpečnostní konzultant s G-Sec, říká teoreticky, chyba může být použita k útoku poštovních serverů. "Útočník může posílat pošty, které mohou posílat po zabezpečených protokolech SMTP [Simple Mail Transfer Protocol], a to i v případě, že jsou ověřeny soukromým certifikátem," uvedl v rozhovoru pro rychlé zprávy.

Zoller, který neviděl Leviathanův kód, říkal, že pokud útok funguje jako inzerovaný, bude to jen otázka dní, než někdo jiný ukáže, jak to udělat.