This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 19 сентября, 2016 - мы добавили новые категории для контроля испытаний продукции: микрофон и веб-камера, запись и т. д... RSS канал

Главная>новости мира>больше дырок нашли в сети безопасности SSL протокол

AnyKeylogger для Mac

Больше дыр в веб-протокол безопасности SSL

Исследователи безопасности обнаружили ряд серьезных недостатков в программном обеспечении, которое использует SSL (защищенных Сокетов) - протокол шифрования, используемый для обеспечения безопасной передачи данных в Интернете.

На конференции Black Hat в Лас-Вегасе в четверг, исследователи обнародовали ряд атак, которые могут быть использованы для нарушения безопасного трафика между веб-сайтов и браузеров.

Данный вид атаки, злоумышленник может украсть пароли, журналы онлайн-банкинга сессии или даже вытолкнуть обновление браузера Firefox, которое содержало вредоносный код, говорят исследователи.

Проблемы кроются в том, что многие браузеры внедрили SSL, а также в открытым ключом X. 509 инфраструктуры система, используемая для управления цифровыми сертификатами используется SSL, чтобы определить, является ли Веб-сайт является заслуживающим доверия.

Исследователь безопасности Мокси даже если вы думаете, называя себя показал способ перехватывать SSL-трафик, используя то, что он называет нулем сертификат. Чтобы сделать свою работу атаки, даже если вы думаете, должно сначала сделать его программного обеспечения по локальной сети. После установки, он пятен SSL-трафика и представляет его нулем сертификат для перехвата Сообщений между клиентом и сервером. Этот тип человека-в-середине атаки обнаружить, - сказал он.

Атака фамильный герб семьи-это удивительно похожие на еще одна распространенная атака известна как SQL-инъекции, которая отправит специально созданные данные в программу в надежде обмануть его делать то, что она не смогла нормально сделать. Он обнаружил, что если он создал сертификаты для своих доменов в Интернете, которая включала символы NULL -- часто представлены с \0-некоторые программы будут перевирать сертификаты.

Это потому, что некоторые программы перестанут читать текст, когда они видят символ NULL. Так, сертификат выдается www.paypal.com\0.thoughtcrime.org может толковаться как принадлежащие www.paypal.com.

Проблема широко распространена, говорит, даже если вы думаете, влияет Интернет Эксплорер, VPN (виртуальные частные сети) программного обеспечения, клиенты электронной почты и обмена мгновенными сообщениями программного обеспечения, и версию Firefox 3.

Чтобы сделать дела хуже, исследователей Дэн Каминский и Лен Sassaman сообщили, что они обнаружили, что большое количество веб-программы зависит от сертификатов, выданных с использованием устаревшей криптографической технологии под названием МВ2, которые уже давно считаются небезопасными. МВ2 на самом деле не был взломан, но это может быть нарушена в течение нескольких месяцев путем решительного атакующего, сказал Каминский.

Алгоритм md2 был использован 13 лет назад verisign для себя-знак "одним из основных корневых сертификатов в каждый браузер на планете", - сказал Каминский.

Компания verisign прекратила подписывать сертификаты с помощью МВ2 в мае, сказал Тим Каллан, вице-президент по маркетингу продукции в компании verisign.

Однако, "большое количество веб-сайтов используют этот корень, и мы не сможем убить его, или мы сломаем интернет", - заявил Каминский.

Производители программного обеспечения может, однако, сообщить свою продукцию, чтобы не доверять сертификатам МВ2; они также могут запрограммировать свою продукцию, чтобы не быть уязвимым на NULL-прекращение атаки. Однако на сегодняшний день, браузер Firefox 3.5 является единственным браузером, который пропатчен нулем проблема, говорят исследователи.

Это второй раз за последние полгода, что SSL пришел под пристальным вниманием. В конце прошлого года исследователи нашли способ создать поддельный сертификат, что в свою очередь проблема фальшивых SSL-сертификатов, которые доверяли бы любого браузера.

Каминский и Sassaman сказать, что существует множество проблем на пути SSL сертификаты выдаются, что делает их небезопасными. Все исследователи согласились с тем, что х.Система 509, который используется для управления сертификатами для SSL является устаревшей и должна быть Исправлена.
Главная>новости мира>больше дырок нашли в сети безопасности SSL протокол
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешение монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод