Satıcılar Net'in Güvenliğinde Hata Düzeltmek İçin Çığır Açıyor

Yazılım üreticileri Dünya güvenli bir şekilde internette bilgi aktarımı için kullanılan teknolojide ciddi bir hatayı düzeltmek için çabalıyor.

Kusur, HTTPS ile başlayan Web sitelerinde güvenli tarama için kullanılan teknoloji olarak bilinen SSL protokolünde yatıyor ve saldırganlar, bilgisayarlar arasında güvenli SSL (Güvenli Yuva Katmanı) iletişimini, ortadaki adam saldırısı olarak bilinenleri kullanarak engeller.

Kusur, ancak belirli koşullar altında kullanılabilir olsa da, paylaşılan sunuculara saldırmak için kullanılabilir. konuyu araştıran bir güvenlik araştırmacısı olan Chris Paget'e göre, barındırma ortamları, posta sunucuları, veritabanları ve diğer birçok güvenli uygulamaları barındırıyor.

[Daha fazla bilgi için: Windows PC'nizden kötü amaçlı yazılım nasıl temizlenir]

"Bu bir protokol düzeyinde kusur. " H4rdw4re adlı güvenlik danışmanlığı ile baş teknoloji sorumlusu Paget dedi. "Bu konuda düzeltilmesi gereken bir sürü şey var: Web tarayıcıları, Web sunucuları, Web yük dengeleyicileri, Web hızlandırıcıları, posta sunucuları, SQL Server'lar, ODBC sürücüleri, eşler arası protokoller."

Saldırganın ilk olarak ortadaki adam saldırısını başlatmak için kurbanın ağına girmesi gerekmesine rağmen, sonuçlar yıkıcı olabilir - özellikle de bir veritabanına veya posta sunucusuna erişim kazanmak için hedeflenen bir saldırıda kullanılırsa, Paget dedi.

Çok yaygın kullanıldığı için, SSL sürekli olarak güvenlik araştırmacılarının mikroskobu altındadır. Geçtiğimiz yıl, araştırmacılar herhangi bir tarayıcı tarafından güvenilen sahte SSL sertifikaları oluşturmanın bir yolunu buldu ve Ağustos ayında araştırmacılar SSL trafiğini tehlikeye atabilecek yeni bir saldırı başlattı. Ancak, SSL'nin dijital sertifikalarını yönetmek için kullanılan altyapı ile ilgili olan bu saldırıların aksine, bu son hata SSL protokolünün kendisinde yatıyor ve düzeltilmesi çok daha zor olacak.

Daha da karmaşık olan meseleler, hatanın yanlışlıkla yapıldığı gerçeğidir. Çarşamba günü belirsiz bir e-posta listesinde açıklandı ve satıcıları ürünlerini yamaları için deli bir karıştırmaya zorladı.

Sorun, Auguust'ta bir cep telefonu güvenlik şirketi olan PhoneFactor'daki araştırmacılar tarafından keşfedildi. "Proje Mogul."

diye isimlendirilen problem için endüstri çapındaki bir düzeltmeyi koordine etmek üzere ICASI (Internet Güvenliği Geliştirmek için Endüstri Konsorsiyumu) ​​adlı teknoloji satıcıları konsorsiyumu ile son iki aydır çalışıyorlardı. SAP mühendisi Martin Rex, bugüne kadar kendi başına bir hata yaptığında dikkatli planlar Çarşamba'ya dağıtıldı. Görünen o ki, sorunun ciddiyetinden habersiz olarak, konuyla ilgili gözlemlerini bir IETF (İnternet Mühendisliği Görev Gücü) tartışma listesine gönderdi. Daha sonra güvenlik araştırmacısı HD Moore tarafından yayınlandı.

Çarşamba öğleden sonra, PhoneFactor'ın bulgularıyla birlikte kamuoyuna gitmeye karar vermesi konusunda yeterince insan konuştu. PhoneFactor'ın pazarlamadan sorumlu başkan yardımcısı Sarah Fender, “Bu noktada kötü adamların bildiği gibi hissettiklerini ve iyi erkeklerin de bilmesi gerektiğini hissettik” dedi.

Fender, kimlerin yamaya hazır olduğunu söyleyemedi. Sorun, ancak bir dizi açık kaynak ürünün bir yama göndermek için "endişeli" olduğunu kaydetti. “Sanırım yakın gelecekte bir yama göreceğiz” dedi.

Güvenlik uzmanları, kusurun yıllardır var olabileceğini söylese de, ICASI 'ya yorum yapamadık. Her saldırıda sömürüldüğü sanılıyor.

"Maddi bir güvenlik açığı olduğunu düşünürken, dünyanın sonu değil," dedi Fender.