További furatok találhatók a Web SSL biztonsági protokolljában

komoly hibákat okoz az SSL (Secure Sockets Layer) titkosítási protokollt használó szoftverekben, amelyek az internetes kommunikáció biztosítását szolgálják.

A Las Vegas-i Black Hat konferencián csütörtökön a kutatók számos támadást ismertetnek, a webhelyek és a böngészők között közlekedő forgalom.

Ez a fajta támadás lehetővé teheti a támadók számára, hogy ellopják a jelszavakat, kidobják az on-line banki munkameneteket, vagy akár egy rosszindulatú kódot tartalmazó Firefox-böngésző frissítését is megnyilják. További információk: A rosszindulatú programok eltávolítása Windows számítógépről]

A problémák abban állnak, hogy sok böngésző végrehajtotta az SSL-t, valamint az X.509-es nyilvános kulcsú infrastrukturális rendszert, amelyet a használt digitális tanúsítványok kezelésére használnak az SSL segítségével megállapíthatja, hogy egy webhely megbízható-e vagy sem.

Egy biztonsági kutató, aki magát Moxie Marlinspike-nak nevezte, mutatott módot az SSL-forgalom lehallgatására, amit null-termination-tanúsítványt használ. Ahhoz, hogy megtámadja a támadást, a Marlinspike-nek először szoftverét egy helyi hálózatra kell vinnie. A telepítés után az SSL forgalmat futtatja, és bemutatja a null-termination tanúsítványát, hogy megszakítsa az ügyfél és a kiszolgáló közötti kommunikációt. Ez a fajta ember-in-the-middle támadás nem észrevehető, azt mondta.

A Marlinspike támadása rendkívül hasonlít egy másik gyakori támadásra, amit SQL injekciós támadásnak neveznek, ami speciálisan létrehozott adatokat küld a programnak abban a reményben, olyasmit csinál, amit általában nem. Megállapította, hogy ha a saját internetes domainjéhez olyan tanúsítványokat hozott létre, amelyek null karaktereket tartalmaznak - gyakran egy 0-mal képviselve - egyes programok félreértelmeznék a tanúsítványokat.

Ez azért van, mert egyes programok leállítják a szöveg olvasását, amikor nulla karaktert látnak. Így a www.paypal.com 0.thoughtcrime.org-nak kiadott tanúsítvány a www.paypal.com weboldalon olvasható.

A probléma széles körben elterjedt, mondta Marlinspike az Internet Explorer, a VPN (virtuális magánhálózat) szoftver, az e-mail kliensek és az azonnali üzenetküldő szoftverek, valamint a Firefox 3-as verziója.

Annak érdekében, hogy a dolgok még rosszabbak legyenek, a kutatók, Dan Kaminsky és Len Sassaman közölték, hogy felfedezték, hogy számos internetes program függ attól a tanúsítványtól, amelyet elavult kriptográfiai az MD2 nevű technológia, amelyet régóta bizonytalannak tartanak. Az MD2-t nem törölték meg, de egy hónap múlva egy meghatározott támadó megtörheti, mondta Kaminsky.

Az MD2 algoritmust 13 évvel ezelőtt a VeriSign használta az "önmagát" minden böngésző a bolygón "- mondta Kaminsky.

A VeriSign májusban megszüntette a tanúsítványok aláírását az MD2 használatával, mondta Tim Callan, a VeriSign termékmarketingért felelős alelnöke.

Ugyanakkor" nagyszámú webhely használja ezt a gyökeret nem tudjuk megölni, vagy megtörjük a weben "- mondta Kaminsky.

A szoftvergyártók azonban megmondhatják termékeiknek, hogy nem bíznak az MD2 tanúsítványokban; programozhatják termékeiket is, hogy ne legyenek kiszolgáltatva a null-termination támadással szemben. A mai napig azonban a Firefox 3.5 az egyetlen böngésző, amely a null-termination problémát javította, a kutatók szerint.

Ez az utóbbi félévben ez a második alkalom, amikor az SSL ellenőrzés alá került. A tavalyi év végén a kutatók találtak egy módot arra, hogy hozzanak létre egy gazember bizonyítvány-hatóságot, amely viszont megadhatja a phoney SSL tanúsítványokat, melyeket minden böngésző bízik.

Kaminsky és Sassaman azt állítják, hogy az SSL-tanúsítványok kiadták, ami bizonytalanná teszi őket. A kutatók egyetértettek abban, hogy az SSL-tanúsítványok kezelésére használt x.509-es rendszer elavult és ki kell javítani.