Više rupa pronađenih u protokolima SSL sigurnosti

Na konferenciji Black Hat u Las Vegasu u četvrtak su istraživači otkrili niz napada koji bi se mogli upotrijebiti za kompromitiranje sigurnih

Ova vrsta napada mogla bi nekoj napadaču ukrasti lozinke, oteti online bankarsku radnju ili čak ugasiti Firefoxov preglednik koji sadrži zlonamjerni kod, objavili su istraživači.

[

] Problemi leže na način da su mnogi preglednici implementirali SSL, kao i u infrastrukturnom sustavu javnog ključa X.509 koji se koristi za upravljanje digitalnim certifikatima koji se koriste by SSL kako bi utvrdio je li web stranica pouzdana.

Istraživač sigurnosti koji sebe naziva Moxie Marlinspike pokazao je način presretanja SSL prometa pomoću onoga što on naziva certifikatom o prestanku prestanka. Kako bi njegov napad djelovao, Marlinspike najprije mora dobiti svoj softver na lokalnoj mreži. Jednom instaliran, on spotovi SSL prometa i predstavlja njegov null-termination certifikat kako bi presresti komunikacije između klijenta i poslužitelja. Ova vrsta napada čovjeka u sredini je nedetektabilna, rekao je.

Marlinspikeov napad je izuzetno sličan još jednom uobičajenom napadaju poznatom kao napad SQL injekcije, koji šalje posebno oblikovane podatke programu u nadi da će je probiti u raditi nešto što inače ne bi trebalo učiniti. Otkrili su da ako je stvorio certifikate za vlastitu internetsku domenu u kojoj su bili nulti znakovi - često zastupljeni s 0 - neki programi bi pogrešno protumačili certifikate.

To je zato što neki programi prestanu čitati tekst kada vide nulti znak. Dakle, potvrda izdana na www.paypal.com 0.thoughtcrime.org može se pročitati kao da pripada www.paypal.com.

Problem je raširen, rekao je Marlinspike, koji utječe na Internet Explorer, VPN (virtualne privatne mreže) softver, klijente e-pošte i softver za razmjenu trenutnih poruka i Firefox inačica 3.

Kako bi se stvari pogoršale, istraživači Dan Kaminsky i Len Sassaman izvijestili su da su otkrili da veliki broj web programa ovisi o izdanim certifikatima pomoću zastarjele kriptografske tehnologija MD2, koja se odavno smatra nesigurnom. MD2 nije zapravo bio napuknut, ali određeni napadač ga je mogao riješiti u roku od nekoliko mjeseci, rekao je Kaminsky.

Algoritam MD2 koristio se prije 13 godina od strane VeriSigna da samoznaka "jednu od temeljnih certifikata korijena u svaki preglednik na planetu ", rekao je Kaminsky.

VeriSign je u svibnju zaustavio potpisivanje certifikata pomoću MD2, rekao je Tim Callan, potpredsjednik marketinga proizvoda u tvrtki VeriSign.

Međutim," veliki broj web stranica koristi ovaj korijen, pa ne možemo ga zapravo ubiti ili ćemo razbiti web ", rekao je Kaminsky.

Programeri mogu međutim reći svojim proizvodima da ne vjeruju u MD2 potvrde; oni također mogu programirati svoje proizvode da ne budu ranjivi na nul-termination napada. Do sada je, međutim, Firefox 3.5 jedini preglednik koji je zakrpao null-termination problem, navode istraživači.

Ovo je drugi put u proteklih pola godine kada je SSL došao pod pregled. Krajem prošle godine, istraživači su pronašli način stvaranja skrivenog tijela za certifikat, koji bi zauzvrat mogao izdati krhke SSL certifikate kojima bi svaki preglednik vjerovao.

Kaminsky i Sassaman kažu da postoji niz problema u načinu na koji su SSL certifikati koje ih čine nesigurnima. Svi istraživači su se složili da je sustav x.509 koji se koristi za upravljanje certifikatima za SSL zastario i treba biti fiksan.