Image
10.9.2012 0 Comments

Výskumníci znovu prelomili ochranu SSL

https.jpeg Nový útok nazvaný CRIME dokáže dešifrovať komunikáciu vedenú prostredníctvom protokolu HTTPS.

Webové stránky používajú cookies, aby si zapamätali overených používateľov. V prípade ich zneužitia preto môžu útočníci získať prístup k používateľským účtom. Dlhý čas sa za účinnú ochranu proti takýmto útokom považoval protokol HTTPS, ktorý citlivú komunikáciu šifruje. Nový útok, s ktorým prišla známa dvojica bezpečnostných výskumníkov Juliano Rizzo a Thai Duong, však prekonáva aj túto poslednú prekážku.

Rizzo a Duong svoj útok nazvali CRIME a chcú ho podrobne predstaviť koncom tohto mesiaca na bezpečnostnej konferencii Ekoparty v argentínskom Buenos Aires.

Útok využíva nedostatky v určitej časti kryptografických protokolov TLS (Transport Layer Security) a SSL (Secure Sockets Layer), používaných na realizáciu komunikácie cez HTTPS. "Zraniteľné sú všetky verzie TLS a SSL," povedal Rizzo, ktorý zároveň prezradil, že chyba vo funkcii je spoločná pre oba protokoly. Konkrétnejší však pred svojím vystúpením na Ekoparty nechcel byť.

Škodlivý kód používaný na realizáciu útoku musí byť spustený vnútri webového prehliadača obete. To sa dá dosiahnuť buď navedením používateľa na návštevu infikovanej webovej stránky, alebo vložením kódu priamo do existujúceho pripojenia cez HTTP. CRIME pritom na svoju prácu nepotrebuje žiadny plugin. Podľa Rizza síce na urýchlenie celej operácie možno použiť JavaScript, ale útok sa dá vraj vykonať aj bez neho.

Útočník musí mať ďalej prístup k danej komunikácii cez HTTPS. Na to mu poslúžia nechránené bezdrôtové siete, siete LAN, prípadne sa môže pokúsiť dostať do domáceho routera zneužitím nejakej zraniteľnosti či získaním hesla. Vôbec najdôležitejšia podmienka je však podľa Rizza to, aby prehliadač obete aj server hosťujúci chránenú webovú stránku podporovali onú zraniteľnú funkciu v SSL/TLS.

Rizzo potvrdil, že zraniteľné sú aj implementácie HTTPS chrániace niektoré populárne webové stránky. Ani v tomto prípade však nechcel byť konkrétnejší. Realizovateľnosť útoku CRIME bola úspešne otestovaná na prehliadačoch Firefox a Chrome, je však vraj pravdepodobné, že ani ostatné prehliadače proti nemu nie sú rezistentné.

Duong a Rizzo sa zúčastnili už na vlaňajšom ročníku konferencie Ekoparty. Vtedy vzbudili pozornosť predstavením útoku BEAST (Browser Exploit Against SSL/TLS), ktorý bol tiež schopný dešifrovať komunikáciu vedenú cez HTTPS. Útok sa vtedy týkal protokolov SSL 3.0 a TLS 1.0.

Zdroj: computerworld.cz


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Bezpečnosť

Koniec autosedačkám? Smart Kid Belt - šikovné riešenie na ochranu detí v aute

19.11.2019 00:00

Na trh prichádza novinka pre väčšiu bezpečnosť detí v automobiloch. Detský pás Smart Kid Belt dokáže nahradiť detskú autosedačku alebo podsedák a dodá vám aj dieťaťu pocit pohodlia a bezpečia. Smart K ...

Bezpečnosť 4

ESET uvoľnil nástroj na šifrovanie celého disku na ochranu pred neoprávneným prístupom k údajom

17.11.2019 00:00

ESET vydal nový produkt ESET Full Disk Encryption. Riešenie je určené na ochranu pred neoprávneným prístupom k údajom uloženým na firemných počítačoch a laptopoch v prípade ich straty alebo krádeže. P ...

Bezpečnosť

Klimatické zmeny urobia mestá neobývateľnými. Je čas utiahnuť sa do podzemia

13.11.2019 00:20

Podzemné mestá sú už dávno témou sci-fi, no teraz sa o nich uvažuje celkom vážne. Mestská rada vo fínskych Helsinkách schválila v roku 2010 Podzemný územný plán, ktorý bol dokončený v roku 2019 a pokr ...

Žiadne komentáre

Vyhľadávanie

ACER_122019

Najnovšie videá