Οι προμηθευτές προσπαθούν να επιδιορθώσουν ένα σφάλμα στο πρωτόκολλο SSL

Το ελάττωμα έγκειται στο πρωτόκολλο SSL, γνωστό ως τεχνολογία που χρησιμοποιείται για την ασφαλή περιήγηση σε τοποθεσίες Web που ξεκινούν με HTTPS, και επιτρέπει οι επιτιθέμενοι παρεμποδίζουν την ασφαλή επικοινωνία SSL (Secure Sockets Layer) μεταξύ υπολογιστών με τη χρήση της γνωστής ως επίθεση κατά του ανθρώπου.

Παρόλο που το ελάττωμα μπορεί να εκμεταλλευτεί μόνο υπό ορισμένες συνθήκες, θα μπορούσε να χρησιμοποιηθεί για να σπάσει στους διακομιστές σε κοινόχρηστο τα περιβάλλοντα φιλοξενίας, τους διακομιστές αλληλογραφίας, τις βάσεις δεδομένων και πολλές άλλες ασφαλείς εφαρμογές, σύμφωνα με τον Chris Paget, ερευνητή ασφάλειας που μελέτησε το θέμα.

σφάλμα σε επίπεδο πρωτοκόλλου. " δήλωσε ο Paget, ο επικεφαλής της τεχνολογίας με συμβούλους ασφάλειας που ονομάζονται H4rdw4re. "Υπάρχουν πάρα πολλά πράγματα που πρέπει να επιδιορθωθούν σε αυτό: Περιηγητές ιστού, διακομιστές Web, ισορροπημένα φορτία ιστού, επιταχυντές Web, διακομιστές αλληλογραφίας, διακομιστές SQL, προγράμματα οδήγησης ODBC, πρωτόκολλα peer-to-peer."

Παρόλο που ένας επιτιθέμενος θα χρειαζόταν πρώτα να εισέλθει στο δίκτυο του θύματος για να ξεκινήσει την επίθεση στον άνθρωπο στη μέση, τότε τα αποτελέσματα θα ήταν καταστροφικά - ειδικά εάν χρησιμοποιήθηκαν σε στοχευμένη επίθεση για να αποκτήσουν πρόσβαση σε βάση δεδομένων ή διακομιστή αλληλογραφίας, Δήλωσε ο Paget

Επειδή χρησιμοποιείται τόσο ευρέως, το SSL είναι συνεχώς κάτω από το μικροσκόπιο των ερευνητών ασφαλείας. Τέλη του περασμένου έτους, οι ερευνητές βρήκαν έναν τρόπο να δημιουργήσουν ψεύτικα πιστοποιητικά SSL τα οποία θα ήταν αξιόπιστα από οποιοδήποτε πρόγραμμα περιήγησης και τον Αύγουστο οι ερευνητές αποκάλυψαν μια σειρά από νέες επιθέσεις που θα μπορούσαν να θέσουν σε κίνδυνο την κυκλοφορία SSL. Αλλά αντίθετα με τις επιθέσεις που σχετίζονται με την υποδομή που χρησιμοποιείται για τη διαχείριση των ψηφιακών πιστοποιητικών SSL, αυτό το τελευταίο σφάλμα βρίσκεται στο ίδιο το πρωτόκολλο SSL και θα είναι πολύ πιο δύσκολο να διορθωθεί.

Περαιτέρω περιπλοκές είναι το γεγονός ότι το σφάλμα ήταν ακούσια που αποκαλύφθηκαν σε τετριμμένη λίστα αλληλογραφίας την Τετάρτη, αναγκάζοντας τους πωλητές σε ένα τρελό αγωνιστικό για να καλύψουν τα προϊόντα τους.

Το θέμα ανακαλύφθηκε στην Auguust από τους ερευνητές της PhoneFactor, εταιρείας κινητής τηλεφωνίας. Είχαν εργαστεί τους τελευταίους δύο μήνες με μια κοινοπραξία προμηθευτών τεχνολογίας, που ονομάζεται ICASI (Κοινοπραξία για την προώθηση της ασφάλειας στο Διαδίκτυο), για να συντονίσει μια βιομηχανική λύση για το πρόβλημα, που ονομάζεται Project Mogul.

προσεκτικά σχέδια ρίχτηκαν σε αταξία την Τετάρτη όταν ο μηχανικός της SAP, Martin Rex, σκόνταψε το σφάλμα μόνος του. Προφανώς αγνοώντας τη σοβαρότητα του θέματος, δημοσίευσε τις παρατηρήσεις του σχετικά με το θέμα σε έναν κατάλογο συζητήσεων του IETF (Task Force Internet Engineering Task Force). Στη συνέχεια δημοσιοποιήθηκε από τον ερευνητή ασφαλείας HD Moore.

Μέχρι την Τετάρτη το απόγευμα, αρκετοί άνθρωποι μιλούσαν για το θέμα που η PhoneFactor αποφάσισε να δημοσιεύσει με τα ευρήματά της. "Σε εκείνο το σημείο αισθανόμασταν ότι οι κακοί γνώριζαν και αισθανόμασταν ότι είχαμε ευθύνη και για τους καλούς να γνωρίζουν κι εγώ", δήλωσε η Sarah Fender, αντιπρόεδρος μάρκετινγκ της PhoneFactor.

Η Fender δεν μπόρεσε να πει ποιος ήταν έτοιμος να επιδιορθώσει το θέμα, αλλά σημείωσε ότι ορισμένα προϊόντα ανοιχτής πηγής είναι "ανήσυχοι" για να σπρώξουν ένα έμπλαστρο. «Νομίζω ότι θα δούμε κάποια επισκευή στο εγγύς μέλλον», δήλωσε.

Το ICASI δεν μπορούσε να προσεγγιστεί για σχόλια το βράδυ της Τετάρτης

Παρόλο που οι ειδικοί της ασφάλειας λένε ότι το ελάττωμα πιθανότατα υπήρχε εδώ και χρόνια, δεν είναι που πιστεύεται ότι έχουν εκμεταλλευτεί σε οποιεσδήποτε επιθέσεις

«Ενώ θεωρούμε ότι πρόκειται για ουσιώδη αδυναμία, δεν είναι το τέλος του κόσμου», δήλωσε ο Fender