Előd
7 °C
17 °C

Néha úgy érzed, mintha két valóság létezne?

Több infó

Támogasd a független újságírást, támogasd az Indexet!

Nincs másik olyan, nagy elérésű online közéleti médiatermék, mint az Index, amely független, kiegyensúlyozott hírszolgáltatásra és a valóság minél sokoldalúbb bemutatására törekszik. Ha azt szeretnéd, hogy még sokáig veled legyünk, akkor támogass minket!

Milyen rendszerességgel szeretnél támogatni minket?

Mekkora összeget tudsz erre szánni?

Mekkora összeget tudsz erre szánni?

A biztonsági protokoll sem védi adatainkat

2011.12.03. 12:05
A biztonságosnak hitt SSL titkosítási rendszert már többször is kijátszották. A Wikileaks új védelmi módszer kiépítésén dolgozik, hogy megvédje a kapcsolatait.

December 1-jén rendezték meg a Wikileaks sajtókonferenciáját, amelyen az adatok nyilvánossága mellett kampányoló weboldal többek között forrásai védelmével foglalkozott.

Hogy az újságírók és emberi jogi aktivisták a romló színvonalú internetes biztonság ellenére se kerüljenek veszélybe, a Wikileaks egy új, titkosításra kihegyezett protokollt készít. A Wikileaks adatkezelő rendszere ennek köszönhetően minden eddiginél fejlettebb és biztonságosabb lesz.

Valóban javíthatatlan az SSL?

A biztonságos böngészéshez fontos SSL (Secure Socket Layer) protokollt a Wikileaks üzemeltetői többé már nem tartják megbízhatónak. Szerintük az SSL további alkalmazása komoly biztonsági kockázatot jelentene, mivel a digitális tanúsítványok és a titkosító algoritmusok többé nem képesek ellátni a feladatukat. Ezt bizonyítja, hogy szervezett bűnözői csoportok több esetben is behatoltak SSL titkosítással védett rendszerekbe. A Wikileaks képviselői szerint az SSL protokoll mára túljutott azon a ponton, hogy javítható legyen.

Peter Eckersley, az Electronic Frontier Foundation prominense a közelmúltban az SSL tanúsítványt kibocsátó cégek megbízhatóságát ellenőrizte. Eckersley arra volt kíváncsi, hogy a hatszáznál is több vállalatot érték-e a közelmúltban hekkertámadások. Mindez azért fontos szempont, mert ez alapjaiban veszélyeztetheti az email- és webszerverek adatbiztonságát.

A vizsgálat rávilágított, hogy legalább 248 esetben az adatbiztonsági kockázatra hivatkozva vonták vissza a tanúsítványt. Ezek az adatok tíz különböző vállalattól származnak. A legfrissebb, idén júniusban végzett felmérés azonban már 15 céget érintett – ezek szerint az elmúlt hónapokban öt tanúsítványkibocsátó biztonsági protokollját sikerült feltörni. Ennek illusztris példája a holland KPN, amely november elején jelentette be, hogy felfüggeszti az SSL-tanúsítványok kibocsátását, mivel olyan DDOS-eszközöket találtak a szerverükön, amik akár négy éve is ott lehettek.

„Az SSL/TLS a való életben inkább az emberi hibák és a népszerűsége miatt jelent potenciális veszélyt. Amennyiben a tanúsítványokat kiállító szervezeteknél nem megfelelő a biztonságszint, hozzájuk betörve hamis tanúsítványok készíthetők” – mondta kérdésünkre Kiss Attila, a Balabit IT Security marketing-vezetője. „A másik potenciális veszély, hogy a felhasználók gondolkodás nélkül fogadják  el a tanúsítványokat, amivel egy ellenőrizetlen csatornát nyitnak a tűzfalon keresztül.”

Közismert a biztonsági kockázat

Az SSL megbízhatatlanságáról szóló hírek nem először látnak napvilágot. Egy 2009-es konferencián egy Moxie Marlinspike művésznéven ismert hekker feltörte a PayPal, a Gmail, a Ticketmaster és a Facebook védelmi rendszerét, eközben pedig temérdek személyes információt kaparintott meg. Kérdés, hogy a biztonsági kockázat mekkorára nőne, ha az adatvédelemre fittyet hányó magyar weboldalakat érné hasonló támadás. Ez ugyanis mindenkit érint: májusban a biztonsági protokolloknak kiemelt figyelmet szentelő Google szervereire is adathalász oldalak kerültek.

Az SSL-fiaskó idén szeptemberben érkezett új fejezethez. Két elismert biztonságtechnikai szakértő, Thai Duong és Juliano Rizzo ekkor mutatta be a Buenos Aires-i Ekoparty konferencián a TLS (Transport Layer Security) és SSL titkosítást feltörni képes BEAST programot (Browser Exploit Against SSL/TLS). Bár a BEAST jelenlegi verziója az 1.1-es és 1.2-es verziószámú SSL protokoll titkosításával már nem tud megbirkózni, a legtöbb weboldal még mindig az 1.0-ás verziót használja, és a legtöbb böngésző is csak ezt támogatja.

„Az SSL/TLS felfedezett sérülékenysége inkább technikai érdekesség, mint valóban kihasználható biztonsági rés. Egy eddig sérthetetlennek hitt rendszeren találtak elméleti hibát, amely azonban csak igen erősen korlátozott feltételek esetén használható ki" – kommentálta az esetet Kiss Attila. „A támadónak a biztonságos kommunikáció valamelyik végét hatalmába kell kerítenie, tehát külső támadók számára továbbra sem törhető fel a forgalom úgynevezett beékelődéses (man-in-the-middle) támadással. Viszont, ha a kommunikáció valamely vége nem megbízható, az egyébként is igen komoly probléma, és rengeteg, akár sokkal jelentősebb veszély forrása is lehet.”