A Moxie Marlinspike művésznéven ismert hacker az amerikai Black Hat biztonságtechnikai konferencia utolsó napján mutatta be újonnan kifejlesztett technológiáját, melynek segítségével sikeresen kijátszotta a ma használt legnépszerűbb titkosítási eljárást, az SSL-t.
A módszer működőképességének bizonyítására élesben is kipróbálta saját fejlesztésű támadószoftverét, az SSL Strippet: néhány perc alatt feltörte vele a PayPal, a Gmail, a Ticketmaster és a Facebook védelmi rendszerét, majd lementette 117 e-mail fiók adatait, 16 hitelkártya számát, 7 PayPal bejelentkezési felhasználónév-jelszó párost és 300 egyéb, biztonságos belépéssel kapcsolatos információt.
Ha a technológia valóban működik, az online banki tranzakciók és a weboldalak biztonságos beléptetési rendszereinek hitelessége kérdőjeleződik meg. A hacker közel százoldalas, sajátosan megírt publikációban ismerteti az eljárás részleteit. Röviden összefoglalva arról van szó, hogy a támadó újfajta megközelítésbe helyezte a törést: olyan lehetőségek után nézett, amelyek segítségével átrághatja magát a Netscape által kifejlesztett https sémán, vagyis a http protokoll és egy hálózatbiztonsági protokoll alkotta kettősön. Nem véletlenül esett a választása a https-re, hiszen ezt a sémát nagyon gyakran használják bizalmas vállalati információcserékre vagy online banki tranzakciókra.
Az SSL Stripper azt használja ki, hogy a biztonságos oldalakra belépéshez senki nem gépeli be manuálisan a https:// részt a weboldal címe elé, hanem hagyja hogy a böngészője először a hagyományos http protokollal próbálkozzon, majd miután az érzékeli a titkosított weboldalt, automatikusan átvált https-re. A hacker ez az algoritmust támadja meg, és úgy manipulálja a böngészőt, hogy az elhitesse a júzerrel, hogy létrejött a biztonságos kapcsolat, de az adatokat valójában titkosítás nélkül forgalmazza.
Szakértők szerint a net vezető hatalmainak, a Microsoftnak, Mozillának, Apple-nek, és a Google-nek kellene összefognia, és új, biztonságosabb titkosításokat kidolgozni az internetre, mert ha az SSL Stripper fenyegetését meg is szüntetik,valószínűleg egyre több olyan trükk fog megjelenni a közeljövőben, ami a túlhaladott webes szabványok gyengeségeit használja ki.
Kövesse az Indexet Facebookon is!
Követem!
