Più fori trovato nel Web il protocollo di sicurezza SSL
I ricercatori di sicurezza hanno scoperto alcuni gravi difetti nel software che utilizza il protocollo SSL (Secure Sockets Layer), il protocollo di crittografia utilizzato per comunicazioni sicure su Internet.
Alla Black Hat conference di Las Vegas, giovedì, i ricercatori hanno svelato una serie di attacchi che potrebbero essere utilizzate per compromettere la protezione del traffico in viaggio tra i siti Web e i browser.
Questo tipo di attacco potrebbe consentire a un utente malintenzionato di rubare le password, dirottare un on-line banking sessione o anche far uscire un aggiornamento del browser Firefox che conteneva il codice malevolo, i ricercatori hanno detto.
I problemi che si trovano nel modo che molti browser hanno implementato il protocollo SSL, e anche in X. 509 public key infrastructure sistema che viene utilizzato per gestire i certificati digitali utilizzati dai SSL per determinare se un sito è affidabile.
Un ricercatore di sicurezza che si chiama Moxie Marlinspike ha mostrato un modo di intercettare il traffico SSL utilizzando ciò che egli chiama una terminazione null certificato. Per rendere il suo attacco, Marlinspike, devono prima ottenere il suo software su una rete locale. Una volta installato, punti di traffico SSL e presenta la sua terminazione null certificato per intercettare le comunicazioni tra il client e il server. Questo tipo di " man-in-the-middle attack non è rilevabile, ha detto.
Marlinspike attacco è molto simile ad un altro attacco noto come un attacco di SQL injection, che invia dati appositamente predisposti per il programma, nella speranza di ingannare nel fare qualcosa che normalmente non dovrebbe fare. Ha scoperto che se ha creato i certificati per il suo proprio dominio Internet che comprendeva i caratteri null -- spesso rappresentato con un \0 -- alcuni programmi avrebbe violato i certificati.
Questo perché alcuni programmi di interrompere la lettura del testo quando vedono un carattere null. Così un certificato rilasciato a www.paypal.com\0.thoughtcrime.org potrebbe essere letto come appartenenti a www.paypal.com.
Il problema è diffuso, Marlinspike, ha detto, che colpisce Internet Explorer, VPN (virtual private network) è un software client di posta elettronica e software di messaggistica istantanea, e la versione di Firefox 3.
A peggiorare le cose, i ricercatori Dan Kaminsky e Len Sassaman riferito che avevano scoperto che un gran numero di programmi Web sono dipendenti certificati emessi utilizzando un obsoleti con crittografia tecnologia chiamata MD2, che è stato a lungo considerato insicuro. MD2 in realtà non è stato rotto, ma potrebbe essere rotto nel giro di pochi mesi da un aggressore è, Kaminsky ha detto.
Il MD2 algoritmo di 13 anni fa da VeriSign per auto-segno "uno dei principali certificati di origine in tutti i browser sul pianeta," Kaminsky ha detto.
VeriSign smesso di certificati di firma utilizzando MD2 a Maggio, ha detto Tim Callan, vice presidente del marketing di prodotto a VeriSign.
Tuttavia, "il gran numero di siti Web utilizzano questo root, quindi in realtà noi non possiamo uccidere o saremo noi a rompere il Web," Kaminsky ha detto.
I produttori di Software può, tuttavia, dire che i loro prodotti non fiducia MD2 certificati; si può anche programmare i loro prodotti per non essere vulnerabili al di terminazione null attacco. Ad oggi, tuttavia, Firefox 3.5 è l'unico browser che ha patchato la terminazione null problema, i ricercatori hanno detto.
Questa è la seconda volta in passato metà anno che SSL è venuto sotto esame. Alla fine dello scorso anno, i ricercatori hanno trovato un modo per creare un falso certificato di autorità, che potrebbe a sua volta problema fasulla certificati SSL che vorresti essere attendibile in qualsiasi browser.
Kaminsky e Sassaman dire che ci sono una serie di problemi nel modo in cui i certificati SSL emessi che li rendono insicuri. Tutti i ricercatori hanno convenuto che la x.509 sistema che viene utilizzato per gestire i certificati SSL è out-of-data e deve essere risolto.
Data di pubblicazione: Alla Black Hat conference di Las Vegas, giovedì, i ricercatori hanno svelato una serie di attacchi che potrebbero essere utilizzate per compromettere la protezione del traffico in viaggio tra i siti Web e i browser.
Questo tipo di attacco potrebbe consentire a un utente malintenzionato di rubare le password, dirottare un on-line banking sessione o anche far uscire un aggiornamento del browser Firefox che conteneva il codice malevolo, i ricercatori hanno detto.
I problemi che si trovano nel modo che molti browser hanno implementato il protocollo SSL, e anche in X. 509 public key infrastructure sistema che viene utilizzato per gestire i certificati digitali utilizzati dai SSL per determinare se un sito è affidabile.
Un ricercatore di sicurezza che si chiama Moxie Marlinspike ha mostrato un modo di intercettare il traffico SSL utilizzando ciò che egli chiama una terminazione null certificato. Per rendere il suo attacco, Marlinspike, devono prima ottenere il suo software su una rete locale. Una volta installato, punti di traffico SSL e presenta la sua terminazione null certificato per intercettare le comunicazioni tra il client e il server. Questo tipo di " man-in-the-middle attack non è rilevabile, ha detto.
Marlinspike attacco è molto simile ad un altro attacco noto come un attacco di SQL injection, che invia dati appositamente predisposti per il programma, nella speranza di ingannare nel fare qualcosa che normalmente non dovrebbe fare. Ha scoperto che se ha creato i certificati per il suo proprio dominio Internet che comprendeva i caratteri null -- spesso rappresentato con un \0 -- alcuni programmi avrebbe violato i certificati.
Questo perché alcuni programmi di interrompere la lettura del testo quando vedono un carattere null. Così un certificato rilasciato a www.paypal.com\0.thoughtcrime.org potrebbe essere letto come appartenenti a www.paypal.com.
Il problema è diffuso, Marlinspike, ha detto, che colpisce Internet Explorer, VPN (virtual private network) è un software client di posta elettronica e software di messaggistica istantanea, e la versione di Firefox 3.
A peggiorare le cose, i ricercatori Dan Kaminsky e Len Sassaman riferito che avevano scoperto che un gran numero di programmi Web sono dipendenti certificati emessi utilizzando un obsoleti con crittografia tecnologia chiamata MD2, che è stato a lungo considerato insicuro. MD2 in realtà non è stato rotto, ma potrebbe essere rotto nel giro di pochi mesi da un aggressore è, Kaminsky ha detto.
Il MD2 algoritmo di 13 anni fa da VeriSign per auto-segno "uno dei principali certificati di origine in tutti i browser sul pianeta," Kaminsky ha detto.
VeriSign smesso di certificati di firma utilizzando MD2 a Maggio, ha detto Tim Callan, vice presidente del marketing di prodotto a VeriSign.
Tuttavia, "il gran numero di siti Web utilizzano questo root, quindi in realtà noi non possiamo uccidere o saremo noi a rompere il Web," Kaminsky ha detto.
I produttori di Software può, tuttavia, dire che i loro prodotti non fiducia MD2 certificati; si può anche programmare i loro prodotti per non essere vulnerabili al di terminazione null attacco. Ad oggi, tuttavia, Firefox 3.5 è l'unico browser che ha patchato la terminazione null problema, i ricercatori hanno detto.
Questa è la seconda volta in passato metà anno che SSL è venuto sotto esame. Alla fine dello scorso anno, i ricercatori hanno trovato un modo per creare un falso certificato di autorità, che potrebbe a sua volta problema fasulla certificati SSL che vorresti essere attendibile in qualsiasi browser.
Kaminsky e Sassaman dire che ci sono una serie di problemi nel modo in cui i certificati SSL emessi che li rendono insicuri. Tutti i ricercatori hanno convenuto che la x.509 sistema che viene utilizzato per gestire i certificati SSL è out-of-data e deve essere risolto.
Autore: Keylogger.Org Team
