Sigurnosni stručnjak kaže da novi SSL napad može pogoditi mnoge web-lokacije

Seattle savjetnik za računalnu sigurnost kaže da je razvio novi način iskorištavanja nedavno otkrivenog buga u SSL protokolu koji se koristi za osiguranje komunikacija na Internetu. Napad je, premda je teško izvršiti, mogao dati napadačima vrlo moćan napad od krađe identiteta. Frank Heidt, predsjednik Uprave Leviathan Security Group, kaže kako njegov "generički" dokaz o konceptu može se koristiti za napad na različite web stranice, Dok je napad vrlo teško izvaditi - haker bi prvo morao najprije skinuti napad s čovjekom u sredini, pokrenuti kod koji kompromitira mrežu žrtve - može imati razorne posljedice.

Napad eksplodira SSL (Secure Sockets Layer) autentifikacijsku grešku, prvi put objavljen 5. studenog. Jedan od otkrivača SSL bugova, Marsh Ray u PhoneFactoru, kaže da je vidio demonstraciju Heidtovog napada i uvjeren je da to može funkcionirati. "On mi je to pokazao i to je pravi posao", rekao je Ray.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Pogreška SSL autentifikacije daje napadaču način promjene podataka koji se šalju na SSL poslužitelj, ali još uvijek nema načina za čitanje povratnih informacija. Heidt šalje podatke koji uzrokuju da SSL poslužitelj vrati poruku preusmjeravanja koja zatim šalje web preglednik na drugu stranicu. Zatim koristi tu poruku za preusmjeravanje kako bi se žrtva premjestila na nesigurnu vezu gdje se Heidtovo računalo može prepisati web stranice prije nego što se šalju žrtvi.

"Frank je pokazao način iskoristiti ovaj slijepi simbol ubrizgavanja teksta kompletan kompromis veze između preglednika i sigurnog mjesta ", rekao je Ray.

Konzorcij internetskih tvrtki radi na otklanjanju nedostatka, budući da su ih programeri PhoneFactor prvi put otkrili prije nekoliko mjeseci. Njihov je rad stekao novu žurnost kad je buba slučajno otkrivena na popisu rasprava. Sigurnosni stručnjaci raspravljali su o ozbiljnosti ovog najnovijem SSL nedostatkom otkad je postao javno znanje.

Prošlog tjedna IBM istraživač Anil Kurmus pokazao je kako se taj nedostatak može previdjeti preglednicima u slanje Twitter poruka koje sadrže korisničke lozinke.

Ovaj najnoviji napad pokazuje da se taj nedostatak može iskoristiti za kradu svih vrsta osjetljivih informacija s sigurnih web stranica, rekao je Heidt.

Kako bi bili ranjivi, web-lokacije moraju učiniti nešto što se naziva ponovnim pregovaranjem klijenata pod SSL-om, kao i imati neki element na njihovu sigurne web stranice koje bi mogle generirati određenu poruku preusmjeravanja 302.

Mnoge web stranice s visokim profilom bankarstva i e-trgovine neće vratiti ovu 302 poruku preusmjeravanja na način koji se može iskoristiti, ali "ogroman broj" stranica može napadaju se, "rekao je Heidt.

Sa tolikim brojnim web stranicama koje ugrožavaju taj nedostatak, Heidt kaže da ne namjerava odmah objaviti kôd.

Iz perspektive žrtve, jedina zamjetna promjena tijekom napada je da preglednik ne lo Čini se da je povezan s SSL stranicom. Napad je sličan SSL Strip napadu kojeg je Moxie Marlinspike [cq] demonstrirala na sigurnosnoj konferenciji početkom ove godine.

Leviathan Security Group stvorio je alat koji webmasteri mogu koristiti kako bi vidjeli jesu li njihove web lokacije osjetljive na SSL autentifikaciju

Budući da se SSL i njegov zamjenski standard TLS koriste u širokom spektru internetskih tehnologija, bug ima dalekosežne implikacije.

Thierry Zoller, sigurnosni savjetnik s G-Secom, kaže da teoretski, pogreška se može koristiti za napade poslužitelja pošte. "Napadač može potencijalno slati visoke mailove putem sigurnih SMTP protokola [Simple Mail Transfer Protocol], čak i ako su ovjereni privatnim certifikatom", rekao je u intervjuu za razmjenu poruka.

Zoller, koji nije vidio Leviathanov kod, rekao je da ako napad djeluje kao oglašen, to će biti samo pitanje dana prije nego što netko drugi shvati kako to učiniti.