Įsilaužėlis privertė suabejoti SSL technologijos patikimumu (9)
Po to, kai „Black Hat“ kompiuterinio saugumo problemų konferencijoje vienas jos dalyvis pademonstravo, kaip galima lengvai apeiti SSL (Secure Sockets Layer) technologijos barjerus, plačiai elektroninėje prekyboje naudojami SSL protokolai, užtikrinantys transakcijų saugumą, ėmė kelti dar didesnių abejonių, skelbia „Vnunet.com“.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Moxie Marlinspike pasivadinęs „Black Hat“ konferencijos dalyvis susirinkusiesiems pateikė pristatymą, skambiai pavadintą „Nauji praktiniai SSL įveikimo būdai“. Jis pademonstravo, kaip jo sukurta „SSLstrip“ programinė įranga įvairiais metodais gali apeiti SSL šifravimą. Šio metodo esmė – vadinamoji tarpinė ataka, kai įsilaužėlis identifikuoja HTTPS protokolu perduodamus duomenis ir „įsiterpia“ tarp serverio siunčiamų duomenų ir galutinio vartotojo.
Nors vykdant šią ataką vartotojai naršyklės adreso laukelyje vietoj HTTPS mato HTTP, M. Marlinspike‘o teigimu, nė vienas iš tų asmenų, su kuriais buvo išbandyta „SSLstrip“, to nepastebėjo. Ši programa net leidžia vartotojo naršyklėje rodyti įprastą spynos – t. y. saugios transakcijos – piktogramą.
Pasak „Vnunet“, šią saugumo spragą dar labiau padidina vartotojų įprotis naršyklės adreso laukelyje nerinkti pilnų adresų, pradedant nuo HTTP ar HTTPS, o apsiriboti naršyklės sufleruojamais adresų užbaigimais.
Įsilaužėlio teigimu, per 24 „SSLstrip“ bandymų valandas jis surinko 16 kredito kortelių numerių, prisijungimo duomenis prie 117 el. pašto paskyrų, 7 „Paypal“ paskyrų prisijungimo duomenis ir informaciją apie 300 kitų slaptažodžiais apsaugotų interneto paslaugų.
Savo programos kodą Moxie Marlinspike‘as planuoja paskelbti šią savaitę.