Useammat reiät löytyvät Web SSL-suojausprotokollasta

Las Vegasissa torstaina pidetyssä Black Hat -konferenssissa tutkijat paljastivat useita hyökkäyksiä, joita voitaisiin käyttää turvallisten

Tämäntyyppinen hyökkäys voisi antaa hyökkääjän varastaa salasanat, kaapata verkkopankki-istunnon tai jopa purkaa Firefox-selaimen päivityksen, joka sisälsi haittaohjelmia, [

] Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Ongelmia on, että monet selaimet ovat toteuttaneet SSL: n ja X.509-julkisen avaimen infrastruktuurijärjestelmän, jota käytetään hallitsemaan digitaalisia varmenteita SSL: llä sen määrittämiseksi, onko Web-sivusto luotettava vai ei.

Moxie Marlinspike -henkilön tietoturva-tutkija on osoittanut tapaa kuunnella SSL-liikennettä käyttäen mitä hän kutsuu nollaterminaatiotodistukseksi. Jotta hänen hyökkäystyöt toimisivat, Marlinspike joutuu ensin hankkimaan ohjelmistonsa lähiverkkoon. Kun se on asennettu, se tarkkailee SSL-liikennettä ja esittelee null-termination-todistuksensa, jotta voidaan katkaista viestin asiakkaan ja palvelimen välillä.

Marlinspiken hyökkäys on hyvin samanlainen kuin toinen yleinen hyökkäys, joka tunnetaan nimellä SQL-injektio-hyökkäys, joka lähettää erityisesti muotoillut tiedot ohjelmaan, toivottaen sen haastavan sen tekemällä jotain, jota ei tavallisesti pitäisi tehdä. Hän totesi, että jos hän loi todistuksia omalle Internet-verkkotunnukselleen, joka sisälsi nollimerkkejä - usein edustettuna 0 - jotkut ohjelmat vääristävät sertifikaatteja.

Tämä johtuu siitä, että jotkut ohjelmat lopettavat tekstin lukemisen, kun he näkevät nollamerkin. Joten www.paypal.com 0.thoughtcrime.org -sivustolle annettu todistus voidaan lukea kuuluvaksi osoitteeseen www.paypal.com.

Ongelmana on laaja, Marlinspike sanoi, vaikuttaa Internet Explorerin, VPN (virtual private network) -ohjelmiston, sähköpostiasiakkaat ja pikaviestiohjelmat sekä Firefox-versio 3.

Saadakseen asiat pahempaa, tutkijat Dan Kaminsky ja Len Sassaman ilmoittivat löytäneensä, että suuri määrä Web-ohjelmia on riippuvainen todistuksista, jotka on myönnetty vanhentuneella kryptografisella teknologia kutsutaan MD2, joka on pitkään pidetty epävarmana. MD2 ei ole tosiasiallisesti murtautunut, mutta määritellyn hyökkääjän voi murtaa muutaman kuukauden kuluttua.

VeriSign käytti 13 vuotta sitten MD2-algoritmia itsenäiseksi allekirjoittamiseksi " jokainen selain planeetalla ", Kaminsky sanoi.

VeriSign lopetti sertifikaattien allekirjoittamisen MD2: n kanssa toukokuussa, sanoo markkinointipäällikkö Tim Callan, NorthSignissa.

" Useat Web-sivustot käyttävät tätä rootia, joten emme voi itse tappata sitä tai rikkoa verkkoa ", Kaminsky sanoi.

Ohjelmiston valmistajat voivat kuitenkin kertoa tuotteilleen, että he eivät luota MD2-sertifikaatteihin; he voivat myös ohjelmoida tuotteitaan olemaan alttiina nollaterminaalihyökkäykselle. Tähän mennessä Firefox 3.5 on ainoa selain, joka on korjannut ns. Irtisanomisongelman, tutkijat sanoivat.

Tämä on SSL: n tarkkailua viimeisen puolen vuoden aikana. Viime vuoden lopulla tutkijat löysivät keinon luoda väärennöksen varmenteen myöntäjä, joka voisi puolestaan ​​antaa minkä tahansa selaimen luotettavia SSL-sertifikaatteja.

Kaminsky ja Sassaman sanovat, että SSL-sertifikaatteja on useita ongelmia jotka tekevät niistä epävarmoja. Kaikki tutkijat olivat yhtä mieltä siitä, että SSH: n varmenteiden hallintaan käytetty x.509-järjestelmä on vanhentunut ja se on korjattava.