Security Pro twierdzi, że nowy atak SSL może trafić w wiele witryn

Konsultant bezpieczeństwa komputerowego w Seattle twierdzi, że opracował nowy sposób wykorzystania niedawno ujawnionego błędu w protokole SSL, używanego do zabezpieczenia komunikacji w Internecie. Atak, choć trudny do wykonania, może dać atakującym bardzo silny atak phishingowy.

Frank Heidt, dyrektor generalny Leviathan Security Group, twierdzi, że jego "generyczny" kod dowodu koncepcji mógł zostać wykorzystany do ataku na różne witryny internetowe. Podczas gdy atak jest niezwykle trudny do zniesienia - haker musiałby najpierw wykonać atak typu "człowiek w środku", uruchamiając kod, który zagraża sieci ofiary - może to mieć druzgocące konsekwencje.

Atak wykorzystuje błąd SSL (Secure Sockets Layer) Błąd uwierzytelniania, ujawniony po raz pierwszy 5 listopada. Jeden z odkrywców błędów SSL, Marsh Ray z PhoneFactor, mówi, że widział demonstrację ataku Heidta i jest przekonany, że to może zadziałać. "Pokazał mi to i to jest prawdziwa okazja" - powiedział Ray.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Usterka SSL umożliwia atakującemu zmianę sposobu wysyłania danych do serwera SSL, ale nadal nie ma możliwości odczytania informacji wracających. Heidt wysyła dane, które powodują, że serwer SSL zwraca komunikat przekierowania, który następnie przesyła przeglądarkę do innej strony. Następnie wykorzystuje tę wiadomość przekierowującą, aby przenieść ofiarę do niebezpiecznego połączenia, gdzie strony internetowe mogą być przepisane przez komputer Heidta zanim zostaną wysłane do ofiary.

"Frank pokazał sposób na wykorzystanie tego ataku polegającego na wstrzykiwaniu niewidocznego tekstu do kompletny kompromis pomiędzy połączeniem przeglądarki i bezpiecznej witryny ", powiedział Ray.

Konsorcjum firm internetowych pracowało nad naprawieniem błędu, odkąd twórcy PhoneFactor odkryli go kilka miesięcy temu. Ich praca nabrała nowego impulsu, gdy błąd został nieumyślnie ujawniony na liście dyskusyjnej. Eksperci ds. Bezpieczeństwa debatowali na temat wagi tej ostatniej luki w zabezpieczeniach protokołu SSL, odkąd została ona publicznie dostępna.

W zeszłym tygodniu badacz IBM Anil Kurmus pokazał, w jaki sposób można wykorzystać tę lukę do oszukiwania przeglądarek w wysyłaniu wiadomości na Twitterze zawierających hasła użytkownika.

Ten najnowszy atak pokazuje, że wada ta może zostać wykorzystana do wykradzenia wszelkiego rodzaju poufnych informacji z bezpiecznych witryn sieci Web, powiedział Heidt.

Aby być podatnym na atak, witryny muszą wykonywać operacje o nazwie renegocjacja klienta w ramach protokołu SSL, a także mieć element na ich temat. bezpieczne strony sieci Web, które mogą generować określoną wiadomość przekierowania 302.

Wiele wysokoprofilowych witryn bankowych i e-commerce nie zwróci tej przekierowanej wiadomości 302 w sposób, który można wykorzystać, ale "ogromna liczba" witryn mogłaby być zaatakowanym, powiedział Heidt.

Przy tak wielu stronach internetowych narażonych na ryzyko, Heidt twierdzi, że nie zamierza natychmiast ujawnić swojego kodu.

Z punktu widzenia ofiary, jedyną zauważalną zmianą podczas ataku jest to, że przeglądarka nie lo nger wygląda tak, jakby był połączony z witryną SSL. Atak jest podobny do ataku z użyciem protokołu SSL, który wykazał Moxie Marlinspike [cq] na konferencji bezpieczeństwa na początku tego roku.

Leviathan Security Group utworzyło narzędzie, za pomocą którego webmasterzy mogą sprawdzić, czy ich witryny są podatne na lukę uwierzytelniania SSL atak.

Ponieważ SSL i jego zastępczy standard, TLS, są używane w szerokim zakresie technologii internetowych, błąd ma daleko idące konsekwencje.

Thierry Zoller, konsultant bezpieczeństwa z G-Sec, twierdzi, że teoretycznie, wada może zostać wykorzystana do ataku na serwery pocztowe. "Osoba atakująca może potencjalnie wysyłać wiadomości e-mail przez zabezpieczone połączenia SMTP [Simple Mail Transfer Protocol], nawet jeśli są uwierzytelniane przez prywatny certyfikat" - powiedział w wywiadzie dla wiadomości błyskawicznych.

Zoller, który nie widział kodu Lewiatana, powiedział, że jeśli atak działa tak, jak jest reklamowany, to tylko kilka dni zanim ktoś inny zorientuje się, jak to zrobić.