Web'in SSL Güvenlik Protokolünde Bulunan Daha Fazla Delik

Güvenlik araştırmacıları bazı İnternette iletişimi sağlamak için kullanılan SSL (Güvenli Yuva Katmanı) şifreleme protokolünü kullanan yazılımdaki ciddi kusurlar.

Perşembe günü Las Vegas'taki Black Hat konferansında, araştırmacılar güvenliğini tehlikeye atmak için kullanılabilecek bir dizi saldırıyı açıkladı. Web siteleri ve tarayıcılar arasında seyahat eden trafik.

Araştırmacılar, bu saldırının bir saldırganın şifreleri çalmasına, çevrimiçi bir bankacılık oturumunu ele geçirmesine veya hatta kötü amaçlı kod içeren bir Firefox tarayıcısı güncellemesine izin vermesine izin verebilir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz?

Sorunlar, birçok tarayıcının SSL uyguladığı şekilde ve aynı zamanda kullanılan dijital sertifikaları yönetmek için kullanılan X.509 ortak anahtar altyapısı sisteminde de yatar. Bir Web sitesinin güvenilir olup olmadığını belirlemek için SSL ile.

Kendisine Moxie Marlinspike adını veren bir güvenlik araştırmacısı, null sonlandırma sertifikası dediği şeyi kullanarak SSL trafiğini engellemenin bir yolunu gösterdi. Saldırısını yapmak için, Marlinspike ilk olarak yazılımını yerel bir alan ağında almalıdır. Yüklendikten sonra, SSL trafiğini belirler ve istemci ile sunucu arasındaki iletişimi kesmek için boş sonlandırma sertifikasını sunar. Bu tür ortadaki adam saldırısı tespit edilemez, dedi.

Marlinspike'ın saldırısı, bir SQL enjeksiyon saldırısı olarak bilinen bir diğer saldırıya çok benziyor, bu da programa özel olarak hazırlanmış veriyi kandırmak umuduyla programa gönderiyor. normalde yapmaması gereken bir şey yapıyor. Kendi Internet etki alanı için null karakterleri içeren sertifikalar oluşturduysa (çoğu zaman bir 0 ile temsil edilirse) bazı programlar sertifikaları yanlış yorumlayabilirdi.

Bunun nedeni, bazı programların boş karakter gördüğünde metni okumayı bırakmasıdır. Bu yüzden www.paypal.com 0.thoughtcrime.org'a verilen bir sertifika www.paypal.com'a ait olarak okunabilir.

Sorun yaygın, Marlinspike Internet Explorer, VPN (sanal özel ağ) yazılımını etkilediğini söyledi, e-posta istemcileri ve anlık mesajlaşma yazılımı ve Firefox sürüm 3.

Araştırmacılar Dan Kaminsky ve Len Sassaman, sorunları daha da kötüleştirmek için, çok sayıda Web programının eski bir şifreleme kullanılarak verilen sertifikalara bağlı olduğunu keşfettiklerini bildirdi. uzun süredir güvensiz kabul edilen MD2 adlı teknoloji. MD2'nin aslında kırılmadığı, ancak bir saldırgan tarafından aylar içinde bozulabileceğini söyleyen Kaminsky, şöyle devam etti:

MD2 algoritması, 13 yıl önce VeriSign tarafından kendi kendine imzalamak için kullanıldı Gezegendeki her tarayıcı, "Kaminsky dedi.

VeriSign, Mayıs ayında MD2 kullanarak sertifika imzalamayı durdurdu, dedi VeriSign'in ürün pazarlamacılığını yürüten Tim Callan.

Ancak," Çok sayıda Web sitesi bu kökü kullanıyor. " Aslında onu öldüremiyoruz ya da Web'i kıracağız, ”dedi Kaminsky.

Yazılım üreticileri, ürünlerinin MD2 sertifikalarına güvenmediklerini söyleyebilir; Ayrıca ürünlerini sıfır sonlandırma saldırısına karşı savunmasız olmayacak şekilde programlayabilirler. Ancak bugüne kadar, Firefox 3.5, boş sonlandırma sorununu yayan tek tarayıcıdır. Araştırmacılar.

Geçtiğimiz yarım yılda SSL'nin incelemeye girdiği ikinci kez. Geçtiğimiz yıl, araştırmacılar sahte bir sertifika yetkilisi oluşturmanın bir yolunu buldular, bu da herhangi bir tarayıcı tarafından güvenilen phoney SSL sertifikaları verebilirdi.

Kaminsky ve Sassaman SSL sertifikalarının yolunda bir sorun olduğunu söylüyorlar. Bu onları güvensiz hale getirdi. Tüm araştırmacılar, SSL sertifikalarını yönetmek için kullanılan x.509 sisteminin güncel olmadığını ve düzeltilmesi gerektiğini kabul etti.