Istraživači hakovali SSL enkripciju koju koriste milioni sajtova
Vesti, 21.09.2011, 02:12 AM
Bezbednost na internetu se u značajnoj meri oslanja na SSL (Secure Socket Layers) i TSL (Transport Layer Security). Banke, online servisi za finansijske transakcije, email servisi, društvene mreže i brojni drugi internet servisi garantuju svojim korisnicima bezbednost zahvaljujući činjenici da je veoma teško hakovati SSL.
SSL enkripcija štiti podatke tokom njihovog tranzita od klijenta ka serveru. Ova enkripcija predstavlja zaštitni tunel za podatke tokom komunikacije između klijenta i servera.
Istraživači Tai Duong u Hulinao Rizo ubacili su Trojanca u SSL komunikaciju između servera i klijenta koji može da dekodira podatke. Njih dvojica će u petak, 23. septembra na konferenciji posvećenoj bezbednosti, Ekoparty, koja se održava u Buenos Airesu, predstaviti alat nazvan BEAST (Browser Exploit SSL/TSL).
Alat omogućava napadaču da na istoj mreži presretne i dekodira kolačiće (cookies) koji se koriste za pristup PayPal nalogu, na kome će biti izveden ovaj "proof-of-concept" napad. Na taj način se prodire u HTTPS komunikaciju i presreću podaci u tranzitu. Radi se ustvari o skrivenom JavaScript-u koji radi sa mrežnim sniferom na dekodiranju enkriptovanih kolačića napadnutih sajtova koji se koriste za pristup korisničkim nalozima sa ograničenim pristupom. Exploit radi čak i na sajtovima koji koriste HSTS ili HTTP Strict Transport Security koji sprečava učitavanje pojedinih strana osim ukoliko su one zaštićene sa SSL.
BEAST se oslanja na pokusaj nalaženja kljuca metodom enkriptovanja manje porcije podatka brute-force tehnikom (plaintext-recovery attack). Napadači računaju na ranjivost koja postoji verzijama TSL 1.0 i starijim, nasledniku SSL tehnologije. Iako verzije TLS 1.1 i 1.2 nisu ranjive, one su ostale nepodržane skoro u potpunosti kad je reč o browser-ima i veb sajtovima, pa su enkriptovane transkacije na PayPal-u, zatim Gmail i skoro svi postojeći veb sajtovi pogodna meta za hakere koji su u stanju da kontrolišu konekciju između krajnjeg korisnika i veb sajta koji korisnik posećuje.
Hakeru su potrebne dve sekunde za svaki bajt enkriptovanog kolačića. To nije zanemarljivo vreme i ukoliko je dugačak niz podataka hakeru će trebati mnogo vremena i strpljenja ili bar da ima na umu neku veoma određenu metu za napad.
Sada kada su istraživači uspeli da krekuju stariju verziju TSL, samo je pitanje vremena i motiva kada će ovaj metod početi da koriste oni koji zaista žele da ukradu neke informacije. To je i poziv za sve da, uprkos tome što je SSL ažuriranje glomazan, dugotrajan i skup proces, ipak započnu sa unapređenjem SSL enkripcije.
Izdvojeno
Korisnici iPhonea mete napada upitima za resetovanje lozinke
Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje
Mobi Banka upozorava na pokušaje prevare na društvenim mrežama
Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje
Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare
Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje
Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare
Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje
Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji
Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje
Pratite nas
Nagrade