Някои сериозни пролуки в софтуера, използващ криптиращия протокол SSL (Secure Sockets Layer) бяха посочени днес на конференцията Black Hat в Лас Вегас.
Експерти по сигурността показаха серия атаки, тип man-in-the-middle (човек по средата), които дори могат да останат незабелязани и да компрометират сериозно сигурността на трафика между уеб сайтовете и потребителския браузър. Опасността идва от там, че с подобен вид атаки кракера може да краде пароли, да “завземе” незавършена сесия от онлайн банкиране, дори да накара Firefox да направи автоматичен ъпдейт със зловреден код.
Проблема с пролуките се дължи на начина, по който много браузъри имплементират протокола SSL, както и на системата за публични ключове X.509, която управлява дигиталните сертификати, определящи дали даден уеб сайт е сигурен и надежден.
Един от начините за използване на дупките в сигурността на SSL, който позволява подслушване на трафика, се базира на т.нар. “нулево-терминиращ” сертификат (null-termination certificate). Начина е дело на експерт по сигурността с псевдоним Мокси Марлинспайк (Moxie Marlinspike), който обяснява, че за да работи атаката, кракера трябва да качи софтуера си в локалната мрежа. След инсталацията му, той набелязва SSL трафик и предоставя своя нулево-терминиращ сертификат, с което прихваща комуникацията между сървъра и клиента. Атаката остава незабелязана.
Интересното при този начин на кибер атака е, че той е доста сходен с друг вид атаки – SQL инжекциите, които изпращат специално зададени данни към програмата в опит да я накарат да изпълни задача, която нормално не би изпълнила. Marlinspike открива, че ако създаде сертификати за собствения си интернет домейн, които да съдържат символа “0”, някои програми или сайтове могат да разчетат кода погрешно, тъй като спират четенето на сертификата при срещане на този символ (или на “\0”). Така например сертификата
http://www.paypal.com\0.thoughtcrime.org може погрешно да се определи като принадлежащ на
http://www.paypal.com.
Според експерта, този проблем е широко разпространен и засяга Internet Explorer, софтуер за VPN мрежи, мейл и чат клинти, Firefox v3.
За да усложнят още повече ситуацията, Дан Камински (Dan Kaminsky) и Лен Сасаман (Len Sassaman) съобщиха по време на конференцията, откритието си, че огромен брой уеб програми са зависими от сертификати, ползващи остарялата криптографска технология MD2, смятана от специалистите в областта на онлайн сигурността за ненадеждна. Макар този метод да не е бил кракван, той може да бъде разбит за няколко месеца упорита работа.
MD2 започва да се използва като ядро за подписване на сертификати преди 13 години от корпорацията VeriSign. И макар те да спряха подписването с MD2 още през Май на практика не могат да спрат използването му, тъй като действително огромен брой сайтове продължават да ползват това ядро.
Дан Камински, ескперт по сигурностт в IOActive
Софтуерните разработчици, обаче могат да кажат на програмите си да не се доверяват на MD2 сертификати. Освен това могат да програмират продуктите си така, че да не бъдат уязвими от “нулево-терминиращата” атака. Оказва се, че засега Firefox 3.5 е единственият браузър, пуснал пач за отстраняване на горния проблем.
Повечето експерти по сигурността са на мнение, че системата x.509, която управлява сертификатите за SSL е остаряла и трябва или да се обнови или сериозно да се поработи върху поправянето и.
източник: IDG News Service
Влез
Въпроси/Отговори
Търсене
Потребители
