Feltörték a legelterjedtebb webes titkosítást

A tervek szerint a Buenos Aires-i Ekoparty konferencián mutatja be két elismert online biztonságtechnikai szakértő, Thai Duong és Juliano Rizzo azt a megoldást, amivel feltörhető a weben széles körben használt TLS (Transport Layer Security) és SSL (Secure Sockets Layer) titkosítás. Ezt a kódolást milliónyi weboldal használja a biztonságos adatátvitelhez a Paypaltól a Gmailig - ha a böngésző címsorában a https rövidítést látjuk, szinte biztosak lehetünk benne, hogy a TLS titkosítás valamelyik verziója dolgozik a háttérben.

Hogy a BEAST (Browser Exploit Against SSL/TLS) nevű törőprogram pontosan hogyan működik, és hol van a biztonsági rés a titkosításban, azt nem árulják el, a konferencián viszont élőben demózzák a képességeit. A programozók szerint a titkosított adatfolyam egyetlen bájtjának megfejtése nagyjából két másodpercet vesz igénybe, vagyis egy 1000-2000 karakter hosszú PayPal autentikációs adatcsomag feltörése legalább fél órát vesz igénybe. Ráadásul az adatfolyamhoz valahogyan hozzá is kell férni, vagyis vagy a megtámadott felhasználó gépén, vagy az adatok útjában valahol, például egy internetszolgáltató szerverén kell olyan jogosultságokkal rendelkeznie a támadónak, hogy belenézzen az adatcsomagokba.

A titkosításnak már 2006 óta létezik az 1.1-es, és 2008-óta 1.2-es verziója, ezek ellen használhatatlan a BEAST - azonban az átállás annyira körülményes, hogy ezek a megoldások nem terjedtek el, gyakorlatilag mindenki az 1.0-t használja a neten, és ezt támogatják a böngészők is. Duong és Rizzo már május óta dolgozik együtt a böngészők, és maga az SSL megoldás fejlesztőivel a biztonsági rés bezárásán, az, hogy most nyilvánosságra hozták a sérülékenység létét vagy arra utal, hogy már közel vannak a megoldáshoz, vagy arra, hogy attól tartanak, más is rájött arra, amire ők, és itt az idő a figyelmeztetésre, mielőtt rosszindulatú kezekbe kerül a BEAST.