Plus de trous trouvé dans le Web du protocole de sécurité SSL
Des chercheurs en sécurité ont trouvé des failles dans le logiciel qui utilise le protocole SSL (Secure Sockets Layer) protocole de chiffrement utilisé pour sécuriser les communications sur Internet.
Lors de la conférence Black Hat à Las Vegas le jeudi, les chercheurs ont dévoilé un certain nombre d'attaques qui pourraient être utilisés pour compromettre sécuriser le trafic circulant entre les sites Web et les navigateurs.
Ce type d'attaque pourrait permettre à un attaquant de voler les mots de passe, pirater une banque en ligne de la session ou de pousser une mise à jour du navigateur Firefox, qui contenait un code malveillant, les chercheurs a dit.
Les problèmes résident dans la façon dont de nombreux navigateurs ont mis en œuvre le protocole SSL, et aussi dans le X. 509 public key infrastructure système qui est utilisé pour gérer les certificats numériques utilisés par le protocole SSL afin de déterminer si oui ou non un site Web est digne de confiance.
Un chercheur en sécurité appelant lui-même Moxie Marlinspike a montré un moyen d'intercepter le trafic SSL à l'aide de ce qu'il appelle un null-résiliation du certificat. Pour faire son attaque, Moulinsart doit d'abord obtenir son logiciel sur un réseau local. Une fois installé, il repère le trafic SSL et présente ses null-résiliation du certificat dans le but d'intercepter les communications entre le client et le serveur. Ce type de " man-in-the-middle attaque est indétectable, dit-il.
Château de moulinsart l'attaque est remarquablement similaire à une autre attaque connu comme une attaque par injection SQL, qui envoie des données spécialement conçues pour le programme dans l'espoir de tromper en quelque chose, il ne devrait pas normalement. Il a constaté que si il a créé des certificats pour son propre domaine Internet qui inclus les caractères null -- souvent représenté avec un \0 -- certains programmes de mal interpréter les certificats.
C'est parce que certains programmes d'arrêter la lecture de texte quand ils voient un caractère nul. Ainsi, un certificat délivré à www.paypal.com\0.thoughtcrime.org peut être lu comme appartenant à www.paypal.com.
Le problème est généralisé, Moulinsart dit, affectant Internet Explorer, VPN (réseau privé virtuel) de logiciels, les clients de messagerie et les logiciels de messagerie instantanée, et Firefox version 3.
Pour aggraver les choses, les chercheurs Dan Kaminsky et Len Sassaman ont déclaré qu'ils avaient découvert qu'un grand nombre de programmes Web sont à charge sur les certificats délivrés à l'aide de l'obsolescence de la technologie de chiffrement appelé MD2, qui a longtemps été considérés comme douteux. MD2 n'a pas été fissuré, mais il pourrait être cassé à l'intérieur d'une affaire de mois par une personne déterminée, Kaminsky a dit.
Le MD2 algorithme a été utilisé il y a 13 ans par VeriSign afin de le signer "l'un des principaux certificats racine dans chaque navigateur sur la planète," Kaminsky a dit.
VeriSign cessé de certificats de signature à l'aide de MD2 en Mai, a déclaré Tim Callan, vice-président du marketing produit chez VeriSign.
Cependant, "le grand nombre de sites Web utilisent cette racine, de sorte que nous ne pouvons pas réellement le tuer ou nous allons briser le Web," Kaminsky a dit.
Fabricants de logiciels peuvent, cependant, dire à leurs produits de ne pas faire confiance MD2 certificats; ils peuvent également le programme de leurs produits pour ne pas être vulnérable à la nulle-résiliation d'attaque. À ce jour, cependant, Firefox 3.5 est le seul navigateur qui a patché le null-résiliation question, les chercheurs ont dit.
C'est la deuxième fois dans le passé la moitié de l'année que le protocole SSL a été scruté. En fin d'année dernière, les chercheurs ont trouvé un moyen de créer un faux certificat de l'autorité, qui pourrait à son tour délivrer de faux certificats SSL qui serait approuvé par n'importe quel navigateur.
Kaminsky et Sassaman dire qu'il y a toute une série de problèmes dans la façon dont les certificats sont émis qui les rendent anxieux. Tous les chercheurs ont convenu que le x.509 système qui est utilisé pour gérer les certificats SSL est out-of-date, et doit être corrigé.
Date de publication: Lors de la conférence Black Hat à Las Vegas le jeudi, les chercheurs ont dévoilé un certain nombre d'attaques qui pourraient être utilisés pour compromettre sécuriser le trafic circulant entre les sites Web et les navigateurs.
Ce type d'attaque pourrait permettre à un attaquant de voler les mots de passe, pirater une banque en ligne de la session ou de pousser une mise à jour du navigateur Firefox, qui contenait un code malveillant, les chercheurs a dit.
Les problèmes résident dans la façon dont de nombreux navigateurs ont mis en œuvre le protocole SSL, et aussi dans le X. 509 public key infrastructure système qui est utilisé pour gérer les certificats numériques utilisés par le protocole SSL afin de déterminer si oui ou non un site Web est digne de confiance.
Un chercheur en sécurité appelant lui-même Moxie Marlinspike a montré un moyen d'intercepter le trafic SSL à l'aide de ce qu'il appelle un null-résiliation du certificat. Pour faire son attaque, Moulinsart doit d'abord obtenir son logiciel sur un réseau local. Une fois installé, il repère le trafic SSL et présente ses null-résiliation du certificat dans le but d'intercepter les communications entre le client et le serveur. Ce type de " man-in-the-middle attaque est indétectable, dit-il.
Château de moulinsart l'attaque est remarquablement similaire à une autre attaque connu comme une attaque par injection SQL, qui envoie des données spécialement conçues pour le programme dans l'espoir de tromper en quelque chose, il ne devrait pas normalement. Il a constaté que si il a créé des certificats pour son propre domaine Internet qui inclus les caractères null -- souvent représenté avec un \0 -- certains programmes de mal interpréter les certificats.
C'est parce que certains programmes d'arrêter la lecture de texte quand ils voient un caractère nul. Ainsi, un certificat délivré à www.paypal.com\0.thoughtcrime.org peut être lu comme appartenant à www.paypal.com.
Le problème est généralisé, Moulinsart dit, affectant Internet Explorer, VPN (réseau privé virtuel) de logiciels, les clients de messagerie et les logiciels de messagerie instantanée, et Firefox version 3.
Pour aggraver les choses, les chercheurs Dan Kaminsky et Len Sassaman ont déclaré qu'ils avaient découvert qu'un grand nombre de programmes Web sont à charge sur les certificats délivrés à l'aide de l'obsolescence de la technologie de chiffrement appelé MD2, qui a longtemps été considérés comme douteux. MD2 n'a pas été fissuré, mais il pourrait être cassé à l'intérieur d'une affaire de mois par une personne déterminée, Kaminsky a dit.
Le MD2 algorithme a été utilisé il y a 13 ans par VeriSign afin de le signer "l'un des principaux certificats racine dans chaque navigateur sur la planète," Kaminsky a dit.
VeriSign cessé de certificats de signature à l'aide de MD2 en Mai, a déclaré Tim Callan, vice-président du marketing produit chez VeriSign.
Cependant, "le grand nombre de sites Web utilisent cette racine, de sorte que nous ne pouvons pas réellement le tuer ou nous allons briser le Web," Kaminsky a dit.
Fabricants de logiciels peuvent, cependant, dire à leurs produits de ne pas faire confiance MD2 certificats; ils peuvent également le programme de leurs produits pour ne pas être vulnérable à la nulle-résiliation d'attaque. À ce jour, cependant, Firefox 3.5 est le seul navigateur qui a patché le null-résiliation question, les chercheurs ont dit.
C'est la deuxième fois dans le passé la moitié de l'année que le protocole SSL a été scruté. En fin d'année dernière, les chercheurs ont trouvé un moyen de créer un faux certificat de l'autorité, qui pourrait à son tour délivrer de faux certificats SSL qui serait approuvé par n'importe quel navigateur.
Kaminsky et Sassaman dire qu'il y a toute une série de problèmes dans la façon dont les certificats sont émis qui les rendent anxieux. Tous les chercheurs ont convenu que le x.509 système qui est utilisé pour gérer les certificats SSL est out-of-date, et doit être corrigé.
Auteur: Keylogger.Org L'Équipe
