Istraživači hakovali SSL enkripciju koju koriste milioni sajtova

Vesti, 21.09.2011, 02:12 AM

Istraživači hakovali SSL enkripciju koju koriste milioni sajtova

Bezbednost na internetu se u značajnoj meri oslanja na SSL (Secure Socket Layers) i TSL (Transport Layer Security). Banke, online servisi za finansijske transakcije, email servisi, društvene mreže i brojni drugi internet servisi garantuju svojim korisnicima bezbednost zahvaljujući činjenici da je veoma teško hakovati SSL.

SSL enkripcija štiti podatke tokom njihovog tranzita od klijenta ka serveru. Ova enkripcija predstavlja zaštitni tunel za podatke tokom komunikacije između klijenta i servera.

Istraživači Tai Duong u Hulinao Rizo ubacili su Trojanca u SSL komunikaciju između servera i klijenta koji može da dekodira podatke. Njih dvojica će u petak, 23. septembra na konferenciji posvećenoj bezbednosti, Ekoparty, koja se održava u Buenos Airesu, predstaviti alat nazvan BEAST (Browser Exploit SSL/TSL).

Alat omogućava napadaču da na istoj mreži presretne i dekodira kolačiće (cookies) koji se koriste za pristup PayPal nalogu, na kome će biti izveden ovaj "proof-of-concept" napad. Na taj način se prodire u HTTPS komunikaciju i presreću podaci u tranzitu. Radi se ustvari o skrivenom JavaScript-u koji radi sa mrežnim sniferom na dekodiranju enkriptovanih kolačića napadnutih sajtova koji se koriste za pristup korisničkim nalozima sa ograničenim pristupom. Exploit radi čak i na sajtovima koji koriste HSTS ili HTTP Strict Transport Security koji sprečava učitavanje pojedinih strana osim ukoliko su one zaštićene sa SSL.

BEAST se oslanja na pokusaj nalaženja kljuca metodom enkriptovanja manje porcije podatka brute-force tehnikom (plaintext-recovery attack). Napadači računaju na ranjivost koja postoji verzijama TSL 1.0 i starijim, nasledniku SSL tehnologije. Iako verzije TLS 1.1 i 1.2 nisu ranjive, one su ostale nepodržane skoro u potpunosti kad je reč o browser-ima i veb sajtovima, pa su enkriptovane transkacije na PayPal-u, zatim Gmail i skoro svi postojeći veb sajtovi pogodna meta za hakere koji su u stanju da kontrolišu konekciju između krajnjeg korisnika i veb sajta koji korisnik posećuje.

Hakeru su potrebne dve sekunde za svaki bajt enkriptovanog kolačića. To nije zanemarljivo vreme i ukoliko je dugačak niz podataka hakeru će trebati mnogo vremena i strpljenja ili bar da ima na umu neku veoma određenu metu za napad.

Sada kada su istraživači uspeli da krekuju stariju verziju TSL, samo je pitanje vremena i motiva kada će ovaj metod početi da koriste oni koji zaista žele da ukradu neke informacije. To je i poziv za sve da, uprkos tome što je SSL ažuriranje glomazan, dugotrajan i skup proces, ipak započnu sa unapređenjem SSL enkripcije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika

ClickFix napad: lažni ChatGPT Atlas krade lozinke pomoću “copy-paste” trika

ClickFix napadi beleže dramatičan rast od čak 517%. Iako naizgled jednostavan “copy-paste” trik, ovaj napad je postao je ozbiljna pretn... Dalje

Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja

Ažurirane ekstenzije za Chrome i Edge zarazile 4,3 miliona uređaja

Istraživači iz kompanije Koi Security upozoravaju na opsežnu i izuzetno dobro prikrivenu kampanju koja je zarazila uređaje 4,3 miliona korisnika v... Dalje

Procurelo 1,3 milijarde lozinki i 2 milijarde imejl adresa - proverite da li je i vaša među njima

Procurelo 1,3 milijarde lozinki i 2 milijarde imejl adresa - proverite da li je i vaša među njima

Ako niste skoro proveravali da li su vaše lozinke negde procurele, sada je pravi trenutak. U javnosti se pojavilo 1,3 milijarde jedinstvenih lozinki ... Dalje

OpenAI potvrdio curenje podataka - ChatGPT nalozi bezbedni

OpenAI potvrdio curenje podataka - ChatGPT nalozi bezbedni

OpenAI je potvrdio da je došlo do curenja podataka, ali ne zbog direktnog napada na njihove sisteme, već kompromitovanjem Mixpanel-a, analitičkog ... Dalje

Piratske kopije Battlefield 6 pune malvera

Piratske kopije Battlefield 6 pune malvera

Istraživači iz Bitdefender Labs-a upozorili su na novu kampanju koja cilja gejmere koji su u potrazi za „besplatnim“ ili hakovanim verzi... Dalje