Sprzedawcy wymieniają się, aby naprawić błąd w zabezpieczeniach sieci

Twórcy oprogramowania wokół świat stara się naprawić poważny błąd w technologii służącej do bezpiecznego przesyłania informacji w Internecie.

Wada polega na protokole SSL, najlepiej znanym jako technologia używana do bezpiecznego przeglądania stron internetowych zaczynających się od HTTPS, i pozwala atakujący przechwytują bezpieczną komunikację SSL (Secure Sockets Layer) między komputerami, używając tzw. ataku man-in-the-middle.

Mimo że wada może być wykorzystana tylko w pewnych okolicznościach, może zostać użyta do włamania się do serwerów w udostępnianych środowiska hostingowe, serwery pocztowe, bazy danych i wiele innych bezpiecznych aplikacji, według Chrisa Pageta, badacza bezpieczeństwa, który zbadał problem.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"To jest błąd na poziomie protokołu. " - powiedział Paget, główny technolog ds. technologii w firmie konsultingowej ds. bezpieczeństwa o nazwie H4rdw4re. "Jest wiele rzeczy, które trzeba będzie naprawić: przeglądarkę internetową, serwery WWW, równoważniki obciążenia sieci, akceleratory sieciowe, serwery pocztowe, serwery SQL, sterowniki ODBC, protokoły peer-to-peer."

Chociaż atakujący musiałby najpierw włamać się do sieci ofiary, aby przeprowadzić atak pośredni, wyniki byłyby druzgocące - szczególnie jeśli użyta w ukierunkowanym ataku w celu uzyskania dostępu do bazy danych lub serwera pocztowego - powiedział Paget.

Ponieważ jest on tak szeroko stosowany, protokół SSL jest ciągle pod mikroskopem badaczy bezpieczeństwa. Pod koniec zeszłego roku naukowcy znaleźli sposób na stworzenie fałszywych certyfikatów SSL, którym zaufałaby jakakolwiek przeglądarka, a w sierpniu naukowcy ujawnili garść nowych ataków, które mogłyby zagrozić ruchowi SSL. Ale w przeciwieństwie do tych ataków, które miały związek z infrastrukturą używaną do zarządzania certyfikatami SSL, ten najnowszy błąd leży w samym protokole SSL i będzie trudniejszy do naprawienia.

Kolejne komplikujące sprawy to fakt, że błąd był nieumyślnie ujawnione na niejawnej liście mailingowej w środę, zmuszając sprzedawców do szalonego wyścigu, aby załatać swoje produkty.

Problem został odkryty w sierpniu przez naukowców z PhoneFactor, firmy zajmującej się bezpieczeństwem telefonów komórkowych. Przez ostatnie dwa miesiące pracowali z konsorcjum dostawców technologii zwanym ICASI (Industry Consortium for Advancement of Security w Internecie), aby koordynować ogólną korektę problemu, nazwaną "Project Mogul".

Ale ich Staranne plany zostały w niedzielę wtrącone, gdy mechanik z SAP Martin Rex natknął się na błąd na własną rękę. Pozornie nieświadomy powagi problemu, opublikował swoje spostrzeżenia na ten temat na liście dyskusyjnej IETF (Internet Engineering Task Force). Zostało to nagłośnione przez badacza bezpieczeństwa HD Moore.

W środę po południu, dość ludzi rozmawiało o problemie, który PhoneFactor postanowił opublikować wraz z odkryciami. "W tym momencie czuliśmy się tak, jakby znali się złoczyńcy i czuliśmy, że jesteśmy odpowiedzialni za to, aby dobrzy ludzie również to wiedzieli" - powiedziała Sarah Fender, wiceprezes ds. Marketingu w PhoneFactor.

Fender nie mógł powiedzieć, kto był gotowy na poprawki problem, ale zauważyła, że ​​wiele produktów open source "jest zaniepokojonych" wypychaniem łatki. "Myślę, że w najbliższej przyszłości zobaczymy kilka poprawek", powiedziała.

W środę wieczorem ICASI nie doczekał się komentarza

Chociaż eksperci od bezpieczeństwa twierdzą, że skaza prawdopodobnie istnieje od lat, sądzono, że został wykorzystany podczas ataków.

"Choć uważamy, że jest to luka, to nie koniec świata", powiedział Fender.