Istraživači hakovali SSL enkripciju koju koriste milioni sajtova

Vesti, 21.09.2011, 02:12 AM

Istraživači hakovali SSL enkripciju koju koriste milioni sajtova

Bezbednost na internetu se u značajnoj meri oslanja na SSL (Secure Socket Layers) i TSL (Transport Layer Security). Banke, online servisi za finansijske transakcije, email servisi, društvene mreže i brojni drugi internet servisi garantuju svojim korisnicima bezbednost zahvaljujući činjenici da je veoma teško hakovati SSL.

SSL enkripcija štiti podatke tokom njihovog tranzita od klijenta ka serveru. Ova enkripcija predstavlja zaštitni tunel za podatke tokom komunikacije između klijenta i servera.

Istraživači Tai Duong u Hulinao Rizo ubacili su Trojanca u SSL komunikaciju između servera i klijenta koji može da dekodira podatke. Njih dvojica će u petak, 23. septembra na konferenciji posvećenoj bezbednosti, Ekoparty, koja se održava u Buenos Airesu, predstaviti alat nazvan BEAST (Browser Exploit SSL/TSL).

Alat omogućava napadaču da na istoj mreži presretne i dekodira kolačiće (cookies) koji se koriste za pristup PayPal nalogu, na kome će biti izveden ovaj "proof-of-concept" napad. Na taj način se prodire u HTTPS komunikaciju i presreću podaci u tranzitu. Radi se ustvari o skrivenom JavaScript-u koji radi sa mrežnim sniferom na dekodiranju enkriptovanih kolačića napadnutih sajtova koji se koriste za pristup korisničkim nalozima sa ograničenim pristupom. Exploit radi čak i na sajtovima koji koriste HSTS ili HTTP Strict Transport Security koji sprečava učitavanje pojedinih strana osim ukoliko su one zaštićene sa SSL.

BEAST se oslanja na pokusaj nalaženja kljuca metodom enkriptovanja manje porcije podatka brute-force tehnikom (plaintext-recovery attack). Napadači računaju na ranjivost koja postoji verzijama TSL 1.0 i starijim, nasledniku SSL tehnologije. Iako verzije TLS 1.1 i 1.2 nisu ranjive, one su ostale nepodržane skoro u potpunosti kad je reč o browser-ima i veb sajtovima, pa su enkriptovane transkacije na PayPal-u, zatim Gmail i skoro svi postojeći veb sajtovi pogodna meta za hakere koji su u stanju da kontrolišu konekciju između krajnjeg korisnika i veb sajta koji korisnik posećuje.

Hakeru su potrebne dve sekunde za svaki bajt enkriptovanog kolačića. To nije zanemarljivo vreme i ukoliko je dugačak niz podataka hakeru će trebati mnogo vremena i strpljenja ili bar da ima na umu neku veoma određenu metu za napad.

Sada kada su istraživači uspeli da krekuju stariju verziju TSL, samo je pitanje vremena i motiva kada će ovaj metod početi da koriste oni koji zaista žele da ukradu neke informacije. To je i poziv za sve da, uprkos tome što je SSL ažuriranje glomazan, dugotrajan i skup proces, ipak započnu sa unapređenjem SSL enkripcije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje