Навигация

Популярные статьи

Авторские и переводные статьи

Пресс-релизы

Регистрация на сайте


Опрос
Какие телеканалы вы смотрите чаще?







SSL-шифрование ненадежно, брешь распространяется на миллионы сайтов


21 сентября 2011 | Интернет / На русском языке / Мир | Добавил: Ольга Кравцова
Исследователи обнаружили серьезный недостаток в SSL-протоколе, который позволяет злоумышленникам расшифровывать данные, который передаются от сервера конечному пользователю браузера.

Уязвимость была обнаружена в протоколе TLS 1.0 и более ранних версиях. Протоколы TLS версий 1.1. и 1.2 более надежны, однако они не поддерживаются большинством браузеров и web-сайтов, поэтому зашифрованные транзакции на PayPal, Gmail и других сайтах могут быть перехвачены хакерами, которые способны контролировать обмен данными между пользователем и web-сайтом, который он посещает.

На конференции Ekoparty security в Буэнос-Айресе, исследователи Таи Дуонг (Thai Doung) и Джулиано Риццо (Juliano Rizzo) планируют представить приложение BEAST (Browser Exploit Against SSL/TLS), с помощью которого они покажут, как поэксплуатировать уязвимость в ненадежных протоколах. Исследователи продемонстрируют, как используя javascript сценарий можно расшифровать зашифрованные файлы cookie, которые используются сайтом для предоставления пользователю доступа к учетным записям. Эксплоит действует даже на сайтах, которые используют шифрование HTTPS, с помощью которого загружаются только страницы защищенные протоколом SSL.

Дуонг и Риццо заявляют, что они нашли способ взломать SSL, вызывая сбой в системе шифрования, которую использует протокол для защиты личной информации пользователей.

«Эксплоит BEAST отличается от всех ранее разработанных инструментов для взлома HTTPS, - пишет Дуонг. - В то время как другие атаки нацелены на подлинность протокола SSL, BEAST сосредотачивается на конфиденциальности, которую предоставляет протокол.».

Изначально BEAST требовалось две секунды, чтобы расшифровать каждый байт зашифрованного файла cookie. Расшифровка файлов cookie, которые содержат от 1000 до 2000 символов, занимала около получаса. Сейчас же исследователи заявляют, что им удалось сократить требуемое для расшифровки время до 10 минут.

«BEAST похож на криптографического трояна – хакер запускает javascript в вашем браузере. javascript взаимодействует с сетевым анализатором пакетов, чтобы расшифровать HTTPS-данные», - сообщает Тревор Перрин (Trevor Perrin), независимый исследователь в сфере информационной безопасности. «Если эксплоит действует так быстро и широко, как описывают Дуонг и Риццо, то он представляет реальную угрозу».

Источник: SecurityLab
Комментарии (0) | Распечатать | | Добавить в закладки:  

Другие новости по теме:


 



Телепрограммы для газет и сайтов.
25-ть лет стабильной работы: телепрограммы, анонсы, сканворды, кроссворды, головоломки, гороскопы, подборки новостей и другие дополнительные материалы. Качественная работа с 1997 года. Разумная цена.

Форум

Фоторепортажи

Авторская музыка

Погода

Афиша

Кастинги и контакты ТВ шоу

On-line TV

Партнеры

Друзья

Реклама

Статистика
Главная страница  |  Регистрация  |  Добавить новость Copyright © 2002-2012 Все о ТВ и телекоммуникациях. Все права защищены.