Većina od 200000 najbolje rangiranih veb sajtova sa HTTPS su nebezbedni

Vesti, 27.04.2012, 11:06 AM

Većina, tačnije 90% najbolje rangiranih HTTPS veb sajtova, su podložni poznatim tipovima SSL napada, pokazuju podaci neprofitne organizacije Trustworthy Internet Movement (TIM). Izveštaj koji je objavio TIM rezultat je korišćenja tehnologije automatizovanog skeniranja koju je razvio Qualys kao podršku novom projektu organizacije pod nazivom SSL Pulse. Cilj projekta je analiza implementacije HTTPS na veb sajtovima koje je kompanija koja se bavi veb analitikom Alexa svrstala u milion najbolje rangiranih veb sajtova.

SSL Pulse proverava protokole koje podržavaju sajtovi sa HTTPS (SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 i dr.), dužinu ključa korišćenog za bezbedne veze (512, 1024, 2048 bita itd.) i jačinu pripadajućih šifarskih ključeva (256, 128 bita ili manje).

Algoritam korišćen za interpretaciju rezultata dobijenih skeniranjem dodeljuje bodove od 0 do 100 svakoj HTTP konfiguraciji. Bodovi se prevode u ocenu, pri čemu je ocena A najveća (preko 80 poena).

Iako je više od polovine 200000 analiziranih veb sajtova dobilo ocenu A, samo 10% njih su zaista i bezbedni. Čak 75% (148000 skeniranih veb sajtova) su podložni napadu poznatom pod nazivom BEAST koji se koristi za dekripciju tokena i kolačića iz HTTPS zahteva.

BEAST su kao proof-of-concept napad na konferenciji posvećenoj bezbednosti održanoj u Buenos Airesu prošle godine demonstrirala dvojica istraživača, Juliano Rizo i Tai Duong. Mogućnost takvog napada uklonjena je objavljivanjem verzije TLS 1.1 protokola, ali mnogi serveri i dalje koriste starije i ranjive protokole kao što je SSL 3.0, zbog kompatibilnosti.

Planovi organizacije Trustworthy Internet Movement su da se SSL Pulse skeniranje sprovodi svakog meseca kako bi se pratio napredak veb sajtova u implementaciji SSL protokola.