srijeda, 28. rujna 2011.

Probijeni protokoli SSL i TLS 1.0

Prošlog je petka tijekom konferencije o računalnoj sigurnosti uspješno demonstriran postupak dekriptiranja PayPal-ovog cookiea iz web preglednika, čime su sigurnosni istraživači Juliano Rizzo i Thai Duong pokazali kako zaobići SSL, najkorišteniji sigurnosni protokol na webu. Programski kod koji to radi nazvali su BEAST (Browser Expolit Against SSL/TLS).

Zbog činjenice da većina današnjih web servisa koristi SSL ili TLS 1.0 u najboljem slučaju, riječ je o golemom problemu za cijelu globalnu mrežu.Većina implementacija navedenih protokola koristi CBC (cipher block chaining) metodu kriptiranja podataka koja se, prema ovome, pokazala ranjivom. Naime, napadač može doći do štićenih podataka, ukoliko ima kontrolu nad mrežom u kojoj se nalazi žrtva te uspije ubaciti svoj sadržaj unutar njezine zaštićene komunikacije. Prethodno, napadač mora žrtvu navesti na posjećivanje maliciozno izrađene web stranice i pronaći način za izbjegavanje "same-origin-policy" zaštite koju koriste svi noviji web preglednici.
Istraživači su to postigli pomoću Java appleta. Microsoft i Mozilla su objavili kako pripremaju zakrpe za svoje proizvode. Važno je istaknuti kako napad ne pogađa implementacije SSL-a koje koriste RC4 tehniku kriptiranja koju, između ostalih, koristi Google. Napadom također nisu pogođene novije inačice TLS-a, 1.1 i 1.2.

Nema komentara:

Objavi komentar

Poruka će biti vidljiva nakon provjere.