Az ügyfelek titkosítják a hiba javítását a Net biztonságában

A hiba az SSL protokollban rejlik, amelyet leginkább a HTTPS-vel kezdődő webhelyek biztonságos böngészéséhez használnak a támadók az SSL (Secure Sockets Layer) közötti kommunikációt a számítógépek között a közbülső támadást használva használják fel.

Bár a hibát csak bizonyos körülmények között lehet kihasználni, fel lehetne használni a megosztott a számítógépes környezetek, levelezőszerverek, adatbázisok és sok más biztonságos alkalmazás szerint Chris Paget, egy biztonsági kutató, aki tanulmányozta a problémát.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

"Ez egy protokollszintű hiba. " - mondta Paget, a H4rdw4re nevű biztonsági tanácsadó technológiai vezetője. "Rengeteg olyan dolog van, amelyiknek ki kell kapcsolódnia ehhez: webböngészők, webkiszolgálók, webes terheléskiegyenlítők, webes gyorsítók, levelezőszerverek, SQL kiszolgálók, ODBC-illesztőprogramok, peer-to-peer protokollok."

Bár egy támadónak először be kell csapnia az áldozat hálózatába, hogy elindítsa a "mid-to-mid" támadást, az eredmények pusztítóak lesznek - különösen akkor, ha célzott támadásban használják, hogy hozzáférjenek egy adatbázishoz vagy egy levélkiszolgálóhoz, Paget szerint.

Mivel széles körben használják, az SSL folyamatosan a biztonsági kutatók mikroszkópja alatt áll. A múlt év végén a kutatók úgy találták, hogyan hozhatnak létre hamis SSL-tanúsítványokat, amelyek bármely böngészőben megbízhatóak lesznek, és augusztusban a kutatók feltártak egy marék új támadásokat, amelyek veszélyeztethetik az SSL-forgalmat. De az SSL digitális tanúsítványainak kezeléséhez használt infrastruktúrával ellentétben ez a legutóbbi hiba az SSL protokollban rejlik, és sokkal nehezebb megoldást találni.

Az ügyek további bonyolítása az a tény, hogy a hibát véletlenül egy szerencsétlen levéllistán nyilvánosságra került, és a gyártókat őrült ütközésre kényszerítette a termékek javításáért.

A témát Auguust-ban fedezték fel a PhoneFactor mobiltelefonos biztonsági cég kutatói. Az elmúlt két hónapban dolgozták egy technológiai szállító konzorciummal, az úgynevezett ICASI-t (iparági konzorcium az internet biztonságának előmozdítására), hogy koordinálja a problémát a "Project Mogul" szimbólummal.

gondos tervek merültek fel szerencsétlenül, amikor az SAP mérnöke, Martin Rex belebotlott a hibába. Nyilvánvalóan nem volt tudomása a kérdés súlyosságáról, észrevételeit az IETF (Internet Engineering Task Force) beszélgetési listájára tette közzé. A HD Moore biztonsági kutatója nyilvánosságra hozta.

Szerdán délután elég ember beszélt arról a kérdésről, hogy a PhoneFactor úgy döntött, hogy nyilvánosságra hozza megállapításait. "Abban a pontban úgy éreztük, mintha a rosszfiúk tudnák, és úgy éreztük, hogy felelősségünk van a jó fiúknak is, akik tudniuk kell" - mondta Sarah Fender, a PhoneFactor marketing alelnöke.

Fender nem tudta kimondani, a kérdés, de megjegyezte, hogy számos nyílt forráskódú termék "szorongó", hogy kijönni egy javítást. "Azt hiszem, a közeljövőben valami foltot látunk" - mondta.

Az ICASI nem érhető el kommentárra szerdán este.

Bár a biztonsági szakértők szerint a hiba valószínűleg évek óta létezik, nem azt gondolták, hogy bármilyen támadást kihasználtak.

"Miközben anyagi sebezhetőnek tartjuk, ez nem a világ vége," mondta Fender.