This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Мировые новости> > Больше дыр найдено в протоколе безопасности SSL Web
Лучшие кейлоггеры
Посмотреть еще...

Еще больше дыр найдено в протоколе безопасности SSL Web

  •  
Рейтинг пользователя: нет отзывов. Будьте первым, кто рассмотрит его! 0-1 голос
Исследователи безопасности обнаружили некоторые серьезные недостатки в программном обеспечении, использующем протокол шифрования SSL (Secure Sockets Layer), используемый для защиты коммуникаций в Интернете.

На конференции Black Hat в Лас-Вегасе в четверг исследователи представили ряд атак, которые могут быть использованы для компрометации безопасного трафика, перемещающегося между веб-сайтами и браузерами.

Этот тип атаки может позволить злоумышленнику украсть пароли, захватить онлайн-банковскую сессию или даже вытолкнуть обновление браузера Firefox, содержащее вредоносный код, говорят исследователи.

Проблемы заключаются в том, что многие браузеры внедрили SSL, а также в системе инфраструктуры открытых ключей X. 509, которая используется для управления цифровыми сертификатами, используемыми SSL для определения того, является ли веб-сайт надежным.

Исследователь безопасности, называющий себя Мокси Марлинспайк, показал способ перехвата SSL-трафика, используя то, что он называет сертификатом нулевого завершения. Чтобы его атака сработала, Марлинспайк должен сначала получить свое программное обеспечение в локальной сети. После установки он обнаруживает SSL-трафик и представляет свой сертификат null-termination для перехвата связи между клиентом и сервером. Этот тип атаки "человек в середине" не поддается обнаружению, сказал он.

Атака Marlinspike удивительно похожа на другую распространенную атаку, известную как атака SQL-инъекции, которая отправляет специально созданные данные в программу в надежде обманом заставить ее делать то, что она обычно не должна делать. Он обнаружил, что если бы он создал сертификаты для своего собственного интернет-домена, которые включали бы нулевые символы-часто представленные с \0-некоторые программы неправильно интерпретировали бы сертификаты.

Это происходит потому, что некоторые программы перестают читать текст, когда видят нулевой символ. Таким образом, сертификат, выданный www.paypal.com\0.thoughtcrime.org может быть прочитано как принадлежащее к www.paypal.com.

Эта проблема широко распространена, сказал Марлинспайк, затрагивая Internet Explorer, программное обеспечение VPN (virtual private network), почтовые клиенты и программное обеспечение для обмена мгновенными сообщениями, а также Firefox версии 3.

Что еще хуже, исследователи Дэн Камински и лен Сассаман сообщили, что они обнаружили, что большое количество веб-программ зависит от сертификатов, выданных с использованием устаревшей криптографической технологии MD2, которая долгое время считалась небезопасной. MD2 на самом деле не был взломан, но он может быть сломан в течение нескольких месяцев решительным злоумышленником, сказал Каминский.

Алгоритм MD2 был использован VeriSign 13 лет назад для самоподписки "одного из основных корневых сертификатов в каждом браузере на планете", сказал Каминский.

VeriSign прекратила подписывать сертификаты с использованием MD2 в мае, сказал Тим Каллан, вице-президент по маркетингу продуктов VeriSign.

Однако "большое количество веб-сайтов используют этот корень, поэтому мы не можем его убить, иначе мы сломаем сеть", - сказал Каминский.

Производители программного обеспечения могут, однако, сказать своим продуктам, чтобы они не доверяли сертификатам MD2; они также могут запрограммировать свои продукты, чтобы они не были уязвимы для атаки null-termination. Однако на сегодняшний день Firefox 3.5-Единственный браузер, который исправил проблему нулевого завершения, говорят исследователи.

Это уже второй раз за последние полгода, когда SSL подвергается тщательному изучению. В конце прошлого года исследователи нашли способ создать мошеннический центр сертификации, который, в свою очередь, может выдавать поддельные сертификаты SSL, которым будет доверять любой браузер.

Камински и Сассаман говорят, что существует множество проблем в том, как выдаются SSL-сертификаты, которые делают их небезопасными. Все исследователи согласились с тем, что система x.509, используемая для управления сертификатами SSL, устарела и нуждается в исправлении.
Дата публикации:
Автор:
Главная> > Мировые новости> > Больше дыр найдено в протоколе безопасности SSL Web
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.