Image
10.9.2012 0 Comments

Výskumníci znovu prelomili ochranu SSL

https.jpeg Nový útok nazvaný CRIME dokáže dešifrovať komunikáciu vedenú prostredníctvom protokolu HTTPS.

Webové stránky používajú cookies, aby si zapamätali overených používateľov. V prípade ich zneužitia preto môžu útočníci získať prístup k používateľským účtom. Dlhý čas sa za účinnú ochranu proti takýmto útokom považoval protokol HTTPS, ktorý citlivú komunikáciu šifruje. Nový útok, s ktorým prišla známa dvojica bezpečnostných výskumníkov Juliano Rizzo a Thai Duong, však prekonáva aj túto poslednú prekážku.

Rizzo a Duong svoj útok nazvali CRIME a chcú ho podrobne predstaviť koncom tohto mesiaca na bezpečnostnej konferencii Ekoparty v argentínskom Buenos Aires.

Útok využíva nedostatky v určitej časti kryptografických protokolov TLS (Transport Layer Security) a SSL (Secure Sockets Layer), používaných na realizáciu komunikácie cez HTTPS. "Zraniteľné sú všetky verzie TLS a SSL," povedal Rizzo, ktorý zároveň prezradil, že chyba vo funkcii je spoločná pre oba protokoly. Konkrétnejší však pred svojím vystúpením na Ekoparty nechcel byť.

Škodlivý kód používaný na realizáciu útoku musí byť spustený vnútri webového prehliadača obete. To sa dá dosiahnuť buď navedením používateľa na návštevu infikovanej webovej stránky, alebo vložením kódu priamo do existujúceho pripojenia cez HTTP. CRIME pritom na svoju prácu nepotrebuje žiadny plugin. Podľa Rizza síce na urýchlenie celej operácie možno použiť JavaScript, ale útok sa dá vraj vykonať aj bez neho.

Útočník musí mať ďalej prístup k danej komunikácii cez HTTPS. Na to mu poslúžia nechránené bezdrôtové siete, siete LAN, prípadne sa môže pokúsiť dostať do domáceho routera zneužitím nejakej zraniteľnosti či získaním hesla. Vôbec najdôležitejšia podmienka je však podľa Rizza to, aby prehliadač obete aj server hosťujúci chránenú webovú stránku podporovali onú zraniteľnú funkciu v SSL/TLS.

Rizzo potvrdil, že zraniteľné sú aj implementácie HTTPS chrániace niektoré populárne webové stránky. Ani v tomto prípade však nechcel byť konkrétnejší. Realizovateľnosť útoku CRIME bola úspešne otestovaná na prehliadačoch Firefox a Chrome, je však vraj pravdepodobné, že ani ostatné prehliadače proti nemu nie sú rezistentné.

Duong a Rizzo sa zúčastnili už na vlaňajšom ročníku konferencie Ekoparty. Vtedy vzbudili pozornosť predstavením útoku BEAST (Browser Exploit Against SSL/TLS), ktorý bol tiež schopný dešifrovať komunikáciu vedenú cez HTTPS. Útok sa vtedy týkal protokolov SSL 3.0 a TLS 1.0.

Zdroj: computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Hacking kreditky za šesť sekúnd. Zločinci môžu bez problémov získať všetky údaje o platobnej karte

08.12.2016 00:13

Vedci z Newcastle University prišli na spôsob, ako môžu zločinci za menej ako 6 sekúnd zistiť číslo, dátum platnosti a bezpečnostný kód na kreditnej alebo debetnej karte Visa. Je to vraj „nebezpečne ľ ...

Bezpečnosť

Čísla kreditiek už nelákajú. Kyberzločinci sa zameriavajú na lekárske záznamy, čísla sociálneho zabezpečenia a útoky DDoS.

07.12.2016 00:12

V dnešnej modernej a čoraz viac prepojenej dobe sú dáta používateľov, korporácií či štátnych inštitúcií pod neustále rastúcim tlakom. Tieto dáta predstavujú poklad v rukách kyberkriminálnikov a  trend ...

Bezpečnosť 2

Ovplyvnilo Rusko americké prezidentské voľby? Podľa expertov boli niektoré hlasovacie prístroje infikované

06.12.2016 00:16

Podľa kyberbezpečnostnej firmy FireEye ruská vláda počas kampane pred americkými prezidentskými voľbami nielen vykonávala hackerské útoky, ale využívala aj sociálne siete na ovplyvňovanie názorov. Šír ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá