SSL Kusuru Twitter'da Kullanılabilirdi

IBM güvenlik araştırmacısına göre, İnternet üzerinden iletişimi güvence altına almak için kullanılan protokoldeki bir kusur, Twitter hesaplarını kesmek için kullanılmış olabilir.

Geçen hafta Anil Kurmus, SSL (Güvenli Yuva Katmanı) protokolündeki bir kusurun nasıl olabileceğini gösterdi. Kurbanları şifre bilgilerini içeren Twitter mesajlarını göndermeye zorlamak için kullanılır. Bir hacker, kullanacakları kusur için, önce kurbanın ağına girmek için bir yol bulmalı ve ortadaki adam saldırısı olarak bilinen şeyi başlatmalı, dolayısıyla çok sayıda Twitter kullanıcısını etkilemek zor olacaktır. bu teknik. Sorun yakında Twitter tarafından yandı, ancak güvenlik uzmanlarının kaç Web sitesinin benzer bir sorundan muzdarip olabileceğini merak ediyor.

İnternet şirketlerinin bir konsorsiyumu, kasıtsız olarak yapıldığında 5 Kasım'dan beri SSL sorununu çözmek için şifreli. bir tartışma listesinde herkese açık. Ancak, kusurun ciddiyeti hakkında bazı tartışmalar olmuştur. Hataların kamuya duyurulmasından kısa bir süre sonra, IBM araştırmacısı Tom Cross, çoğu zaman, büyük Web uygulamalarının konudan etkilenmeyeceğini söyledi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Ancak Cross, fikrini şöyle değiştirdi: “Ne yazık ki, durum düşündüğümden daha kötü.”

Özellikle Webmail uygulamaları bu saldırıdan dolayı risk altında olabilir. Ayrıca güvenlik uzmanları, diğer uygulamaların - örneğin veritabanlarının - risk altında olabileceğinden endişe ediyorlar.

Twitter.com, SSL'ye göre istemci yeniden görüşme adı verilen şeyi yaptıkları için hatayı tehlikeye atıyordu. Müşteri yeniden görüşme, Web sitesine bir kullanıcı zaten siteye bağlı olduktan sonra bir SSL sertifikası için Twitter kullanıcısına sormanın bir yolunu verir. Kullanıcıların akıllı kartları veya önceden tanımlanmış Web gezgini gruplarından birine erişimi kısıtlayan siteler için oturum açmasına izin veren siteler için kullanışlı bir araçtır, ancak hata düzeltilene kadar istemci yeniden anlaşması da SSL saldırısı için kapıyı açar.

Muhtemelen, Twitter'ın yeniden yapılandırılmasına izin veren Twitter gibi pek çok site, SSL protokolüne ve onun halefi TLS'ye (Transport Layer Security) dahil olduğundan, sorunu keşfeden PhoneFactor geliştiricilerinden biri olan Marsh Ray'ı söyledi. “Birçok insan bunu yaptığını bilmiyordu.”

İyi haber şu ki, pek çok site, bunu açıkça devre dışı bırakabilir, bu da Twitter'ın yaptığı gibi. Twitter bu hikayeyle ilgili yorumda bulunan bir mesaja cevap vermedi.

Ray'a göre, insanlar SSL kusuru felaket değilken, "bu ciddi bir hata ve insanların onu düzeltmesi gerekiyor."