Więcej luk znaleziono w internetowym protokole bezpieczeństwa SSL

Naukowcy zajmujący się bezpieczeństwem znaleźli kilka poważne luki w oprogramowaniu korzystającym z protokołu szyfrowania SSL (Secure Sockets Layer) używanego do zabezpieczania komunikacji w Internecie.

Na konferencji Black Hat w Las Vegas w czwartek naukowcy ujawnili szereg ataków, które mogą być wykorzystane do kompromisu ruch między witrynami sieci Web i przeglądarkami.

Ten rodzaj ataku może pozwolić atakującemu ukraść hasła, przejąć sesję bankowości internetowej lub nawet wypchnąć aktualizację przeglądarki Firefox zawierającą złośliwy kod, stwierdzili naukowcy.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Problem leży w sposobie, w jaki wiele przeglądarek wdrożyło SSL, a także w systemie infrastruktury klucza publicznego X.509 używanym do zarządzania wykorzystywanymi certyfikatami cyfrowymi za pomocą protokołu SSL, aby ustalić, czy witryna sieci Web jest godna zaufania.

Badacz bezpieczeństwa nazywający siebie Moxie Marlinspike pokazał sposób przechwytywania ruchu SSL przy użyciu tego, co nazywa certyfikatem zakończenia zerowego. Aby jego atak zadziałał, Marlinspike musi najpierw uzyskać oprogramowanie w sieci lokalnej. Po zainstalowaniu wykrywa ruch protokołu SSL i przedstawia jego certyfikat zakończenia połączenia w celu przechwycenia komunikacji między klientem a serwerem. Ten typ ataku man-in-the-middle jest niewykrywalny, powiedział.

Atak Marlinspike'a jest zadziwiająco podobny do innego powszechnego ataku znanego jako atak iniekcyjny SQL, który wysyła specjalnie spreparowane dane do programu w nadziei, że zwróci się do niego robić coś, czego normalnie nie powinno robić. Odkrył, że jeśli utworzy certyfikaty dla własnej domeny internetowej zawierającej znaki zerowe - często reprezentowane przez 0 - niektóre programy błędnie zinterpretują certyfikaty.

To dlatego, że niektóre programy przestają czytać tekst, gdy zobaczą znak null. Dlatego certyfikat wydany na www.paypal.com 0.thoughtcrime.org może być odczytywany jako należący do www.paypal.com.

Problem jest powszechny, powiedział Marlinspike, wpływając na Internet Explorer, oprogramowanie VPN (Virtual Private Network), klientów poczty e-mail i komunikatorów internetowych oraz wersji 3. Firefoksa.

Co gorsza, naukowcy Dan Kaminsky i Len Sassaman poinformowali, że odkryli, że duża liczba programów internetowych jest zależna od certyfikatów wydanych przy użyciu przestarzałych kryptograficznych technologii o nazwie MD2, która od dawna uważana jest za niepewną. MD2 nie zostało faktycznie złamane, ale mogło zostać złamane w ciągu kilku miesięcy przez określonego atakującego, powiedział Kaminsky.

Algorytm MD2 był używany 13 lat temu przez VeriSign do samodzielnego podpisania "jednego z podstawowych certyfikatów głównych w każda przeglądarka na świecie "- powiedział Kaminsky.

VeriSign przestał podpisywać certyfikaty za pomocą MD2 w maju, powiedział Tim Callan, wiceprezes ds. marketingu produktów w VeriSign.

Jednak" duża liczba stron internetowych używa tego katalogu głównego, więc nie możemy go zabić, bo inaczej złamiemy sieć "- powiedział Kaminsky.

Twórcy oprogramowania mogą jednak powiedzieć swoim produktom, aby nie ufali certyfikatom MD2; mogą również programować swoje produkty tak, aby nie były podatne na atak kończący. Do tej pory jednak Firefox 3.5 jest jedyną przeglądarką, która załatała problem z terminem zerowym, stwierdzili naukowcy.

Po raz drugi w ostatnim półroczu SSL został poddany kontroli. Pod koniec zeszłego roku naukowcy znaleźli sposób na stworzenie fałszywego urzędu certyfikacji, który mógłby z kolei wydać fałszywe certyfikaty SSL, którym zaufałaby każda przeglądarka.

Kaminsky i Sassaman twierdzą, że istnieje szereg problemów w sposobie, w jaki certyfikaty SSL są wydane, które sprawiają, że czują się niepewnie. Wszyscy badacze zgodzili się, że system x.509 używany do zarządzania certyfikatami SSL jest przestarzały i musi zostać naprawiony.