This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 12 ноября 2016 - мы нашли новый обнаружить клавиатурных шпионов для вас. RSS-канал

Главная>Мировые новости>больше дырок нашли в сети безопасности SSL протокол

AnyKeylogger для Mac

Больше дырок нашли в Интернете по протоколу SSL

Исследователи по безопасности обнаружили ряд серьезных недостатков в программном обеспечении, которое использует SSL (защищенных Сокетов) - протокол шифрования, используемый для обеспечения безопасной передачи данных в Интернете.

На конференции Black Hat в Лас-Вегасе в четверг, исследователи обнародовали ряд атак, которые могут быть использованы для нарушения безопасного трафика между веб-сайтов и браузеров.

Этот вид атаки, злоумышленник может украсть пароли, журналы онлайн-банкинга сессии или даже вытолкнуть обновление браузера Firefox, которое содержало вредоносный код, говорят исследователи.

Проблемы кроются в том, что многие браузеры внедрили SSL, а также в X. 509 инфраструктуры открытых ключей системы, которая используется для управления цифровыми сертификатами используется SSL, чтобы определить, является ли Веб-сайт является заслуживающим доверия.

Исследователь безопасности Мокси даже если вы думаете, называя себя показал способ перехвата SSL-трафика, используя то, что он называет нулем сертификат. Чтобы сделать свою работу атаки, даже если вы думаете, должно сначала сделать его программного обеспечения по локальной сети. После установки, он пятен SSL-трафика и представляет его нулем сертификат для того, чтобы перехватывать сообщения между клиентом и сервером. Этот тип человека-в-середине атаки не обнаруживается, - сказал он.

Атака фамильный герб семьи-это удивительно похожие на еще одна распространенная атака атаки SQL-инъекции, которая отправит специально созданные данные в программу в надежде обмануть его делать то, что она не смогла нормально сделать. Он обнаружил, что если он создал сертификаты для своих доменов в Интернете, которая включала символы NULL -- часто представлены с \0-некоторые программы будут перевирать сертификаты.

Это потому, что некоторые программы перестанут читать текст, когда они видят символ NULL. Так что сертификат выдан www.paypal.com\0.thoughtcrime.org может быть истолкована как принадлежность к www.paypal.com.

Проблема широко распространена, говорит, даже если вы думаете, влияет Интернет Эксплорер, VPN (виртуальные частные сети) программного обеспечения, клиенты электронной почты и обмена мгновенными сообщениями программного обеспечения, и версию Firefox 3.

Чтобы сделать дела хуже, исследователей Дэн Каминский и Лен Sassaman сообщили, что они обнаружили, что большое количество веб-программы зависит от сертификатов, выданных с использованием устаревшей криптографической технологии под названием МВ2, которые уже давно считаются небезопасными. МВ2 на самом деле не был взломан, но она может быть нарушена в течение нескольких месяцев путем решительного атакующего, сказал Каминский.

Алгоритм md2 был использован 13 лет назад verisign для самостоятельной знак "одним из основных корневых сертификатов в каждый браузер на планете", - сказал Каминский.

Компания verisign прекратила подписывать сертификаты с помощью МВ2 в мае, сказал Тим Каллан, вице-президент по маркетингу продукции в компании verisign.

Однако, "большое количество веб-сайтов используют этот корень, и мы не сможем убить его, или мы сломаем интернет", - заявил Каминский.

Производители программного обеспечения может, однако, сообщить свою продукцию не доверять сертификатам МВ2; они также могут запрограммировать свою продукцию, чтобы не быть уязвимым на NULL-прекращение атаки. Однако на сегодняшний день, браузер Firefox 3.5 является единственным браузером, который пропатчен нулем проблема, говорят исследователи.

Это второй раз за последние полгода, что SSL стала предметом пристального внимания. В конце прошлого года исследователи нашли способ создать поддельный сертификат, что в свою очередь проблема фальшивых SSL-сертификатов, которые бы доверяли любом браузере.

Каминский и Sassaman сказать, что существует множество проблем на пути SSL сертификаты выдаются, что делает их небезопасными. Все исследователи согласились с тем, что х.Система 509, который используется для управления сертификатами для SSL является устаревшей и должна быть Исправлена.
Главная>Мировые новости>больше дырок нашли в сети безопасности SSL протокол
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешения для монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод