Hackerii au spart criptarea SSL utilizata pe milioane de siteuri - Securitatea Informatica

Hackerii au spart criptarea SSL utilizata pe milioane de siteuri

Cercetatorii au descoperit un neajuns serios în aproape toate site-urile protejate prin protocolul Secure Sockets Layer, care permite atacatorilor sa decripteze datele între un server de web şi un browser al utilizatorului final.

Vulnerabilitatea este prezenta în versiunile 1.0 şi anterioare de TLS, sau stratul de securitate de transport, succesorul la tehnologia Secure Sockets Layer. Deşi versiunile 1.1 şi 1.2 din TLS, nu sunt vulnerabile, ele rămân aproape în întregime neacceptate în browser şi siteuri deopotrivă.

La conferinţa de securitate Ekoparty în Buenos Aires, cercetătorii Thai Duong şi Rizzo Juliano au demonstrat un proof-of-concept de cod numit BEAST, care este prescurtarea pentru Browser Exploit Against SSL/TLS. O bucată de JavaScript ascuns lucrează cu un sniffer de reţea pentru a decripta cookie-uri criptate. Exploatarea functioneaza chiar împotriva site-urilor care utilizează HSTS, sau HTTP Strict Transport Security, care previne anumite pagini de la încărcare, dacă acestea nu sunt protejate prin SSL.

Demo-ul va decripta un cookie folosit la autentificare pentru a accesa un cont PayPal, a spus Duong.

Calul troian criptografic

Atacul recent expune fracturi grave în sisteme prin faptul că practic toate entităţile on-line utilizează SSL pentru a proteja datele impotriva interceptarii prin reţelelor nesigure şi pentru a dovedi site-ul lor este autentic. De-a lungul ultimilor ani, Marlinspike Moxie şi alţi cercetători au documentat modalităţi de obţinere a certificatelor digitale care pacalesc sistemul de validare al site-urilor.

La începutul acestei luni, atacatorii au obţinut certificate digitale pentru Google.com şi cel puţin 10 alte site-uri după încălcarea securitatii DigiNotar. Falsurile au fost apoi folosite pentru a spiona oameni în Iran care accesează serverele protejate GMail.

“Fiara este diferit de cele mai multe atacuri împotriva HTTPS,” Duong a scris într-un e-mail. “In timp ce alte atacuri se concentreze asupra proprietăţii autenticitatea SSL, BEAST atacurile caracterul confidenţial al protocolului. BEAST pune în aplicare primul atac care decriptează de fapt, cererile HTTPS. ”

Duong şi Rizzo sunt aceiaşi cercetători care anul trecut a lansat un instrument de tip point-and-click, care expune datele criptate şi executa cod arbitrar pe site-urile care utilizează un cadru de dezvoltare utilizat pe scara larga (JSF).

În schimb, BEAST exploatează o vulnerabilitate în TLS, care a fost mult timp considerata ca fiind in principal o slăbiciune teoretică. În timpul procesului de criptare, protocolul amestecă de bloc după bloc de date folosind blocul criptat precedent. S-a presupus mult timp faptul că, teoretic, atacatorii pot manipula procesul pentru a face presupuneri educate cu privire la conţinutul blocurilor plaintext.

Dacă presupunerea atacatorului este corectă, cifru bloc va primi aceeasi intrare pentru un bloc nou ca pentru un bloc vechi, fapt care produce un cifru identic.

În momentul de faţă, BEAST nevoie de aproximativ doua secunde pentru a decripta fiecare octet dintr-un cookie criptat. Asta înseamnă că pentru cookie-urile de autentificare de 1.000 până la 2.000 de caractere va dura un minim de o jumătate de oră pentru atacul lor (ex.: asupra PayPal). Cu toate acestea, tehnica reprezintă o ameninţare pentru milioane de site-uri care utilizează versiuni anterioare de TLS, în special din cauza că acest timp poate fi drastic scurtat.

Într-un e-mail trimis la scurt timp după ce acest articol a fost publicat, Rizzo a declarat ca rafinarile din ultimele zile au redus timpul necesar la mai puţin de 10 minute.

Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro