Dodavatelé se pokoušejí opravit chybu v síti Net

Vadnost spočívá v protokolu SSL, který je nejlépe známý jako technologie používaná pro bezpečné procházení webových stránek začínajících HTTPS, a umožňuje útočníci zachycují zabezpečenou SSL (Secure Sockets Layer) komunikaci mezi počítači pomocí toho, co je známo jako útok typu "man-in-the-middle".

I když chyba může být za určitých okolností využívána pouze, hostitelských prostředí, poštovních serverů, databází a mnoha dalších bezpečných aplikací, tvrdí výzkumník bezpečnosti, který se zabýval problematikou, Chrisem Pagetem.

< chyba na úrovni protokolu. " řekl Paget, hlavní technik s bezpečnostním poradenstvím nazvaným H4rdw4re. "Je tu spousta věcí, které se budou muset opřít o toto: webové prohlížeče, webové servery, webové balancery, webové urychlovače, poštovní servery, servery SQL, ovladače ODBC, peer-to-peer protokoly." > Ačkoli by útočník nejprve musel narazit do sítě oběti k zahájení útoku mezi lidmi, výsledky by pak byly zničující - zvláště pokud jsou použity v cíleném útoku, aby získali přístup k databázi nebo poštovnímu serveru, Říká Paget

Protože je tak široce používán, SSL je neustále pod mikroskopem vědců v oblasti bezpečnosti. V loňském roce výzkumníci našli způsob, jak vytvořit falešné SSL certifikáty, které by byly důvěryhodným prohlížečem, a v srpnu vědci odhalili hrst nových útoků, které by mohly ohrozit provoz SSL. Ale na rozdíl od těch útoků, které souvisely s infrastrukturou používanou pro správu digitálních certifikátů SSL, je tato nejnovější chyba v samotném protokolu SSL a bude mnohem těžší jej opravit.

Dalším komplikací je skutečnost, že chyba byla neúmyslně zveřejněný v tajném mailing listu ve středu, který donutil dodavatele k šílení svých produktů.

Otázka byla objevena v srpnu výzkumnými pracovníky společnosti PhoneFactor, mobilní telefonní bezpečnostní společnosti. Pracovali za poslední dva měsíce s konsorciem dodavatelů technologií nazvaným ICASI (Industry Consortium for Advancement of Security on the Internet), aby koordinovali celopodnikovou opravu problému nazvanou Project Mogul.

Ale jejich opatrné plány byly vrazeny do nepořádek ve středu, kdy inženýr společnosti Martin Martin Rex narazil na chybu sám. Zjevně si nebyl vědom závažnosti problému, vyslal své připomínky k této problematice do seznamu diskusí IETF (Internet Engineering Task Force). To bylo poté publikováno výzkumníkem bezpečnosti HD Moore.

Ve středu odpoledne bylo dost lidí informováno o tom, že se PhoneFactor rozhodl zveřejnit své poznatky. "V tom okamžiku jsme se cítili jako zlí lidé a my jsme měli pocit, že jsme měli zodpovědnost za dobré lidi, aby to věděli," říká Sarah Fenderová, viceprezidentka marketingu společnosti PhoneFactor.

Fender nemohl říct, kdo je připraven opravit otázka, ale poznamenala, že řada produktů s otevřeným zdrojovým kódem je "úzkostlivá", aby vytlačila patch. "Myslím, že v blízké budoucnosti uvidíme nějakou náplast," řekla.

V středu večer nebylo možné dostat ICASI na komentář.

Přestože bezpečnostní experti tvrdí, že chyba pravděpodobně existuje již léta, není to že jsme byli zneužití při útoku.

"Přestože to považujeme za závažnou zranitelnost, není to konec světa," řekl Fender.