04:22 05.11.2009 Уязвимость в протоколах TLS и SSL | |
Серьезная уязвимость была обнаружена в протоколах TLS и SSL,
используемых для криптографической защиты веб-страниц и данных,
передаваемых на сервер. Информация об уязвимостях уже доступна
публично. Специалисты по ИТ-безопасности Марш Рей и Стив Диспенса
представили сегодня представили данные об уязвимостях в обеих
протоколах. Напомним, что TLS и его "веб-партнер" SSL, как правило,
используются интернет-магазинами и банками для защиты
интернет-транзакций. Оба специалиста, обнаруживших уязвимости, работают в компании
PhoneFactor, создающей технологии двухфакторной аутентификации. По
словам исследователей, уязвимость в SSL была найдена ими еще в августе,
а в TLS - в начале сентября. В технических данных, представленных
сегодня, сказано, что уязвимость в TLS кроется в процессе
аутентификации. Потенциальный злоумышленник может вторгнуться в сессию
легитимного пользователя и успешно перехватывать данные от пользователя
и сервера. Проблема кроется в так называемой "дыре аутентификации": во время
процесса криптографической аутентификации происходит серия электронных
обменов контрольными данными между клиентом и сервером. Однако
злоумышленник может подменить пакеты и нарушить процесс аутентификации,
в дальнейшем пропуская пакеты данных через свой компьютер. В дополнение к этому, уязвимость позволяет реализовать практическую
атаку против защищенного протокола https, представляющего собой
комбинацию базового веб-протокола и TLS. Эксперты говорят, что проблема
для большинства крупных пользователей довольно серьезная, так как
популярность SSL и TLS очень и даже если сейчас обновить данные
протоколы, то обновление многочисленного программного обеспечения с
поддержкой данных технологий займет какое-то время. "Как насчет тысяч программ, в которых механизм SSL встроен как механизм
внутренней связи с сетью?", - говорят специалисты британской
TomBom.co.uk. Марш Рей и Стив Диспенса говорят, что уже некоторое время назад
предоставили данные об уязвимости в консорциум ICASI (Industry
Consortium for the Advancement of Security on the Internet), куда
входят компании Cisco, IBM, Intel, Juniper, Microsoft и Nokia. Полные данные об уязвимости доступны по адресу http://extendedsubset.com/Renegotiating_TLS.pdf | |
|
Всего комментариев: 0 | |