Connect with us

technokrata

SSL: Mégsem titkos a titkosított adat

Dotkom

SSL: Mégsem titkos a titkosított adat

Biztonsági szakértők több kritikus hibát is találtak az SSL (Secure Sockets Layer) titkosító protokollban, mely az internetes biztonságos kommunikációt hivatott szolgálni.

A Las Vegas-i Black Hat biztonságtechnikai konferencián többféle módot is bemutattak arra, hogyan lehet a webszerver és a böngésző közötti titkosított adatokhoz hozzáférni. Az ilyen jellegű támadásokkal jelszavakat, banki kódokat lehet ellopni, de akár még a Firefox böngészőt is rá lehet bírni arra, hogy egy szoftverfrissítés keretében kártékony kódokat telepítsen a gépre, tették hozzá a szakértők. A probléma ott gyökerezik, hogy számos böngészőbe be van építve az SSL protokoll, valamint az X-509 típusú aláírásokba is, ezen digitális tanúsítványokat használja az SSL annak meghatározására, hogy hiteles-e az weboldal.

Null-termination

Egy magát Moxie Marlinspike-nak hívó biztonsági szakértő demonstrálta az SSL adatforgalom ellopását, melyet Null-termination (nullára végződő) hitelesítésnek nevezett el. Ahhoz, hogy mindez működjön, be kell juttatnia kártékony szoftverét a LAN (helyi hálózat) egyik számítógépére. Amint ez megvan, a szoftver azonosítja az SSL forgalmat és a null-termination megoldásával a szerver és a kliens gép közötti kapcsolathoz hozzá tud férni. A szakértő szerint ez a fajta támadás egyszerűen kinyomozhatatlan.

Ez a Marlinspike féle támadás kísértetiesen hasonlít az SQL injection támadásra. Az SQL Injection lényege az, hogy a rosszindulatú felhasználók egy nem megfelelően ellenőrzött adatbeviteli mezőn keresztül hajthatnak végre a helyzettől függően akár bármilyen adatbázis lekérést. Az injection típusú támadásoknak több vállfaja is van, a másik igen ismert az e-mail injection, amikor levélküldő űrlapokat (kapcsolatfelvétel, hozzászólás) használnak fel spam-küldésre.

Az SSL protokoll hibája nagyon sok felhasználót érint, az Explorer, a VPN szoftverek, e-mail kliensek, az azonnali üzenetküldő szoftverek és a Firefox 3-as verziója is veszélyforrást jelenthetnek.

MD2-hiba

További problémát jelenthet az MD2 kriptográfiai technológián alapuló oldalak sokasága. Az MD2-őt már régóta megkapta a nem biztonságos címkét, bár még nem törték fel de a két rábukkanó szakértő szerint ez akár hetek kérdése lehet csak. Az MD2-es algoritmust 13 éve használta először a VeriSign azonosításra az összes böngészőben. A cég VeriSing idén május óta már nem is használja a megoldást – közölte Tim Callan, a VeriSign termékmarketingért felelős alelnöke.

Mivel számtalan weboldal használja ezt kiindulási alapként, nem lehet egyik napról a másikra megszűntetni, mert akkor komoly felfordulásokat okozna a világhálón – közölte Dan Kaminsky biztonsági szakértő. A szoftvergyártók azonban kivédhetik a fent felsorolt támadásokat, egyedül a Firefox 3.5-ös verziója kapott javítófájlt a null-termination problémára, tette hozzá a kutató.

Az elmúlt fél év során ez már a második alkalom, hogy fény derült az SSL protokoll megbízhatatlanságára. Korábban egy olyan módszert mutattak be hackerek, mellyel okostelefonokon használt tanúsítványt lehetett előállítani, melyet bármelyik böngésző elfogad.



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés