אבטחה Pro אומר חדש SSL התקפה יכול לפגוע באתרים רבים

יועץ אבטחה של חברת סיאטל אומר שהוא פיתח דרך חדשה לנצל באגים שנחשפו לאחרונה בפרוטוקול SSL, המשמש לאבטחת תקשורת באינטרנט. ההתקפה, אם כי קשה לבצע, עלולה לתת לתוקפים התקפת פישינג חזקה מאוד.

פרנק היידט, מנכ"ל קבוצת האבטחה לויתן, אומר כי ניתן להשתמש בקוד המושג "גנרי" שלו כדי לתקוף מגוון של אתרי אינטרנט. בעוד שההתקפה קשה מאוד להיחלץ - האקר יצטרך קודם כל לסלק התקפה של אדם באמצע, תוך הפעלת קוד המסכן את רשת הקורבן - עלולה להיות לכך השפעה הרסנית.

ההתקפה מנצל את ה- SSL (Secure Sockets Layer) באג גאפ אימות, שנחשף לראשונה ב -5 בנובמבר. אחד ממגלי הבאגים של SSL, מארש ריי בפיינפאקטור, אומר שהוא ראה הפגנה של ההתקפה של היידט, והוא משוכנע שזה יכול לעבוד. "הוא הראה לי את זה וזו העסקה האמיתית", אמר ריי. [

] [קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

הפגם של אימות SSL מעניק לתוקף דרך לשנות נתונים שנשלחו לשרת ה- SSL, אך עדיין אין דרך לקרוא את המידע החוזר. Heidt שולח נתונים שגורמים לשרת SSL להחזיר הודעת הפניה מחדש ולאחר מכן שולח את דפדפן האינטרנט לדף אחר. לאחר מכן הוא משתמש בהפניה מחדש כדי להעביר את הקורבן לחיבור לא מאובטח שבו ניתן לשכתב את דפי האינטרנט על ידי המחשב של Heidt לפני שהם נשלחים לקורבן.

"פרנק הוכיח דרך למנף את ההתקפה הפשוטה הזו של הזרקת טקסט רגיל לתוך פשרה מלאה של הקשר בין הדפדפן לבין האתר המאובטח ", אמר ריי.

קונסורציום של חברות אינטרנט פועל לתקן את הפגם מאז מפתחי PhoneFactor הראשון חשף אותו לפני כמה חודשים. עבודתם זכתה לדחיפות חדשה כאשר הבאג נחשף בטעות ברשימת דיונים. מומחי אבטחה דנו בחומרת הפגם האחרון ב- SSL מאז שהפכו לידיעת הציבור.

בשבוע שעבר, חוקר IBM, Anil Kurmus, הראה כיצד ניתן להשתמש בפגם כדי להערים על דפדפנים לשליחת הודעות Twitter המכילות סיסמאות משתמש. ההתקפה האחרונה מראה כי הפגם יכול לשמש כדי לגנוב כל מיני מידע רגיש מאתרי אינטרנט מאובטחים, אמר Heidt.

כדי להיות פגיעים, אתרים צריכים לעשות משהו שנקרא renegotiation הלקוח תחת SSL וגם כדי לקבל חלק על שלהם דפי אינטרנט מאובטחים שיכולים ליצור הודעת הפניה 302 מסוימת.

אתרי בנקאות רבים ומסחר אלקטרוני לא יחזירו את ההודעה 302 להפניה מחדש באופן שניתן לנצל, אך "מספר עצום" של אתרים יכול, אמר היידט. עם כל כך הרבה אתרי אינטרנט בסיכון לליקוי, היידט אומר שהוא לא מתכוון לשחרר את הקוד שלו באופן מיידי. [

מנקודת המבט של הקורבן, השינוי הבולט היחיד במהלך התקפה הוא שה דפדפן לא nger נראה כאילו הוא מחובר לאתר SSL. ההתקפה דומה להתקפת SSL הרצועה שהפגין Moxie Marlinspike [cq] בוועידת אבטחה בתחילת השנה.

Leviath Security Group יצרה כלי מנהלי אתרים יכולים להשתמש בו כדי לראות אם האתרים שלהם חשופים לפער אימות SSL.

מכיוון ש- SSL והסטנדרט החלופי שלו, TLS, משמשים למגוון רחב של טכנולוגיות אינטרנט, לבאג יש השלכות מרחיקות לכת.

תיירי זולר, יועץ אבטחה ב- G-Sec, אומר כי באופן תיאורטי, את הפגם ניתן להשתמש כדי לתקוף שרתי דואר. "תוקף עלול לשלוח הודעות דואר אלקטרוני באמצעות דואר אלקטרוני מאובטח, גם אם הן מאומתות בתעודה פרטית", הוא אומר בראיון מיידי.

צולר, שלא ראה את הקוד של לווייתן, אמר כי אם ההתקפה פועלת כפי שפורסם, זה יהיה רק ​​עניין של ימים עד שמישהו אחר יודע איך לעשות את זה.