A Security Pro azt mondja, hogy az SSL támadás számos webhelyen eltalálhat

A Seattle-i számítógépbiztonsági tanácsadó azt állítja, hogy új módszert fejlesztett ki az SSL protokollban egy nemrégiben közzétett hibának kihasználására. A támadás, bár nehezen végrehajtható, a támadók számára igen erős adathalász támadást jelenthet.

Frank Heidt, a Leviathan Security Group elnök-vezérigazgatója elmondta, hogy "általános" koncepció-kódját felhasználhatják különböző webhelyek támadására. Míg a támadást rendkívül nehéz elhárítani - a hackernek először először ki kell húznia a "mid-közép támadást", amely az áldozat hálózatát veszélyeztető kódot futtat, pusztító következményei lehetnek.

A támadás kihasználja az SSL (Secure Sockets Layer) Authentication Gap hibát, amelyet először jelentettek be november 5-én. Az egyik SSL hiba felfedezője, a Marsh Ray a PhoneFactorban azt mondta, hogy Heidt támadásának bemutatóját látta, és meggyőződése, hogy működhet. "Ő mutatta meg nekem, és ez az igazi" - mondta Ray.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Az SSL hitelesítési hiba megadja a támadónak azt a módját, az SSL szerverre, de még mindig nem lehet olvasni a visszajuttatott információkat. A Heidt olyan adatokat küld, amelyek miatt az SSL-kiszolgáló visszaküldi az átirányító üzenetet, majd elküldi a webböngészőt egy másik oldalra. Ezután az átirányítási üzenetet használja, hogy az áldozatot egy bizonytalan kapcsolatra költözzék, ahol a weboldalak átírhatók Heidt számítógépén, mielőtt az áldozatot elküldenék.

"Frank bemutatta, hogyan használhatja ezt a vak betűkódot teljes kompromisszumot teremtett a böngésző és a biztonságos webhely közötti kapcsolatról "- mondta Ray.

Az internetes cégek konzorciuma dolgozik a hiba kijavításán, mióta a PhoneFactor fejlesztői először néhány hónappal ezelőtt felfedezték. Munkájuk új sürgetést nyert, amikor a hibát véletlenül nyilvánosságra hozták egy beszélgetési listán. A biztonsági szakértők vitatták a legutóbbi SSL-hiba súlyosságát, mivel közismertté váltak.

Az elmúlt héten az IBM kutatója, Anil Kurmus bemutatta, hogy a hibát hogyan használhatják fel a böngészők számára a felhasználói jelszavakat tartalmazó Twitter üzenetek küldésére.

Ez a legutóbbi támadás azt mutatja, hogy a hibát arra használhatják, hogy mindenféle érzékeny információt ellopjanak a biztonságos webhelyekről, "mondta Heidt.

Ahhoz, hogy sebezhető legyen, a webhelyeknek olyannak kell lenniük, amit az SSL alatt újratárgyalnak, biztonságos weboldalak, amelyek egy adott 302 átirányítási üzenetet generálhatnak.

Számos nagy horderejű banki és e-kereskedelmi webhely nem fogja visszaadni ezt a 302 átirányítási üzenetet olyan módon, amelyet kihasználni lehet, de a "hatalmas" Heidt azt mondta: "Olyan sok weboldal, amelyik veszélyezteti a hibát, Heidt azt állítja, hogy nem akarja azonnal kiadni a kódját."

Az áldozat szempontjából az egyetlen észrevehető változás a támadás során az, hogy a böngésző nem lo Az nger úgy néz ki, mintha SSL-hez kapcsolódna. A támadás hasonló az SSL Strip támadáshoz, amelyet egy Moxie Marlinspike [cq] demonstrált az év elején megrendezett biztonsági konferencián.

A Leviathan Security Group létrehozott egy olyan eszközt, amelyet a webmesterek használhatnak annak megvizsgálására, hogy webhelyeik sérülékenyek-e az SSL hitelesítési rés

Mivel az SSL és annak helyettesítő szabványa, a TLS az internetes technológiák széles körében használatos, a hibának messzemenő következményei vannak.

Thierry Zoller, a G-Sec biztonsági tanácsadója szerint elméletileg elmondható, a hibát fel lehet használni a levélkiszolgálók támadására. "A támadó potenciálisan nagy sebességű leveleket küldhet a biztonságos SMTP [Simple Mail Transfer Protocol] kapcsolatokon keresztül, még akkor is, ha hitelesítették őket egy privát tanúsítvánnyal" - mondta egy azonnali üzenetben.

Zoller, aki még nem látta a Leviathan kódját, azt mondta, hogy ha a támadás reklámként működik, csak napok kérdése lesz, mielőtt valaki felmérné, hogyan kell csinálni.