Περισσότερες οπές που βρέθηκαν στο πρωτόκολλο ασφαλείας SSL του Web

Στο συνέδριο Black Hat στο Λας Βέγκας την Πέμπτη, οι ερευνητές αποκάλυψαν διάφορες επιθέσεις που θα μπορούσαν να χρησιμοποιηθούν για να θέσουν σε κίνδυνο την ασφάλεια ()

Αυτός ο τύπος επίθεσης θα μπορούσε να επιτρέψει σε έναν εισβολέα να κλέψει κωδικούς πρόσβασης, να καταλάβει μια σε απευθείας σύνδεση τραπεζική σύνοδο ή ακόμα και να στείλει μια ενημερωμένη έκδοση του προγράμματος περιήγησης Firefox που περιέχει κακόβουλο κώδικα. Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows

Τα προβλήματα βρίσκονται στον τρόπο με τον οποίο πολλά προγράμματα περιήγησης έχουν ενσωματώσει το SSL και επίσης στο σύστημα υποδομής δημόσιου κλειδιού X.509 που χρησιμοποιείται για τη διαχείριση των ψηφιακών πιστοποιητικών που χρησιμοποιούνται από το SSL για να διαπιστωθεί εάν ένας ιστότοπος είναι αξιόπιστος.

Ένας ερευνητής ασφαλείας που ονομάζεται ο ίδιος ο Moxie Marlinspike έδειξε έναν τρόπο υποκλοπής της επισκεψιμότητας SSL χρησιμοποιώντας αυτό που ονομάζει πιστοποιητικό μηδενικής τερματισμού. Για να κάνει την επίθεσή του, ο Marlinspike πρέπει πρώτα να πάρει το λογισμικό του σε ένα τοπικό δίκτυο. Μόλις εγκατασταθεί, επισημαίνει την επισκεψιμότητα SSL και παρουσιάζει το πιστοποιητικό μηδενικής τερματισμού προκειμένου να παρακολουθήσει τις επικοινωνίες μεταξύ του πελάτη και του διακομιστή. Η επίθεση του Marlinspike είναι εντυπωσιακά παρόμοια με μια άλλη κοινή επίθεση γνωστή ως επίθεση κατά της έγχυσης SQL, η οποία αποστέλλει ειδικά επεξεργασμένα δεδομένα στο πρόγραμμα με την ελπίδα να το ξεγελάσει κάνοντας κάτι που κανονικά δεν πρέπει να κάνει. Διαπίστωσε ότι εάν δημιουργούσε πιστοποιητικά για τον δικό του τομέα του Διαδικτύου που περιελάμβανε μηδενικούς χαρακτήρες - συχνά αντιπροσωπεύονται με ένα 0 - ορισμένα προγράμματα θα παρερμήνευαν τα πιστοποιητικά.

Αυτό συμβαίνει επειδή ορισμένα προγράμματα σταματούν να διαβάζουν κείμενα όταν βλέπουν ένα μηδενικό χαρακτήρα. Έτσι το πιστοποιητικό που εκδίδεται στο www.paypal.com 0.thoughtcrime.org μπορεί να θεωρηθεί ότι ανήκει στο www.paypal.com

Το πρόβλημα είναι ευρέως διαδεδομένο, δήλωσε ο Marlinspike, που επηρεάζει το Internet Explorer, το λογισμικό VPN (virtual private network), οι πελάτες ηλεκτρονικού ταχυδρομείου και το λογισμικό άμεσων μηνυμάτων και ο Firefox έκδοσης 3.

Για να χειροτερέψουν τα ζητήματα, οι ερευνητές Dan Kaminsky και Len Sassaman ανέφεραν ότι είχαν ανακαλύψει ότι ένας μεγάλος αριθμός προγραμμάτων Web εξαρτάται από πιστοποιητικά που εκδίδονται με παρωχημένη κρυπτογράφηση τεχνολογία που ονομάζεται MD2, η οποία από καιρό θεωρείται ανασφαλής. Ο MD2 δεν χρησιμοποιήθηκε πριν από 13 χρόνια από την VeriSign για να υπογράψει "ένα από τα βασικά πιστοποιητικά ρίζας κάθε πρόγραμμα περιήγησης στον πλανήτη ", δήλωσε ο Kaminsky.

Η VeriSign σταμάτησε να υπογράφει πιστοποιητικά χρησιμοποιώντας το MD2 τον Μάιο, δήλωσε ο Tim Callan, αντιπρόεδρος του μάρκετινγκ προϊόντων στο VeriSign. δεν μπορούμε πραγματικά να το σκοτώσουμε ή θα σπάσουμε τον Παγκόσμιο Ιστό ", δήλωσε ο Kaminsky.

Οι κατασκευαστές λογισμικού μπορούν, ωστόσο, να πείτε στα προϊόντα τους ότι δεν έχουν εμπιστοσύνη στα πιστοποιητικά MD2. μπορούν επίσης να προγραμματίσουν τα προϊόντα τους ώστε να μην είναι ευάλωτα στην επίθεση μηδενικού τερματισμού. Μέχρι σήμερα, όμως, το Firefox 3.5 είναι το μόνο πρόγραμμα περιήγησης που έχει καλύψει το πρόβλημα null-termination, σύμφωνα με τους ερευνητές.

Αυτή είναι η δεύτερη φορά στο τελευταίο εξάμηνο που η SSL έχει εξεταστεί. Τέλη του περασμένου έτους, οι ερευνητές βρήκαν έναν τρόπο να δημιουργήσουν μια αρχή πιστοποίησης απατεώνων, που θα μπορούσε με τη σειρά του να εκδώσει ψεύτικα πιστοποιητικά SSL που θα ήταν αξιόπιστα από οποιοδήποτε πρόγραμμα περιήγησης.

Οι Kaminsky και Sassaman λένε ότι υπάρχει μια σειρά προβλημάτων στον τρόπο που τα πιστοποιητικά SSL που εκδίδονται που τους καθιστούν ανασφαλείς. Όλοι οι ερευνητές συμφώνησαν ότι το σύστημα x.509 που χρησιμοποιείται για τη διαχείριση πιστοποιητικών για SSL είναι παρωχημένο και πρέπει να διορθωθεί