Новый хакерский инструмент может перехватывать сессии PayPal и других сайтов

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 22 сен 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    В предстоящую пятницу двое независимых специалистов по ИТ-безопасности презентуют новый хакерский инструмент, позволяющий дешифровать веб-запросы сайтам при помощи протокола Transport Layer Security 1.0 и SSL 3.0. Разработка, как уверяют ее создатели, позволит человеку или компьютерной программе взламывать сессии с передаваемой на разные сайты финансовой и персональной информацией. Джулиано Риццо и Таи Дуон готовятся представить их решение Browser Exploit Against SSL/TLS (BEAST) на конференции Ekoparty в Буэнос-Айресе (Аргентина).

    Инструмент базируется на адаптивной методике, применяющей известный подход man-in-the-middle. BEAST размещает сегменты обычного текста, отправляемого целевым браузером в зашифрованный запрос, чтобы определить публичный ключ шифрования. Код может быть вставлен в браузер через специальный код на JavaScript, связанный со злонамеренной рекламой, распространяемой через баннерообменную сеть или через iFrame.

    Используя известные текстовые блоки, BEAST может использовать собранную информацию для дешифровки целевых запросов, защищенных с помощью алгоритма AES, в частности, для получения защифрованных файлов cookie, и затем взламывать безопасные сессии. Впрочем, дешифровка происходит достаточно медленно. Нынешняя версия BEAST не может ломать cookie длиной более 1000 символов, и то, затрачивается на это причерно полчаса.

    По словам разработчиков, при помощи их системы можно взломать сессию с платежной системой PayPal и другими сервисами, использующими стандарт TLS 1.0.

    Также разработка позволяет дешифровать HTTPS-запросы, используя вбрасывания из произвольных текстовых блоков.



    источник
     
    1 человеку нравится это.
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Разработчики браузеров готовятся к атакам на SSL

    Очень скоро будут раскрыты подробности работы программы под названием BEAST, которая, по заявлению её создателей, может успешно расшифровывать криптографические протоколы SSL 3.0 и TLS 1.0. В этой связи разработчикам браузеров и владельцам веб-сайтов придётся срочно принимать какие-то меры для сохранения безопасности своих продуктов и сервисов.

    Разработчикам браузеров, на первый взгляд, проще всего было бы реализовать поддержку более новых версий протоколов - TLS 1.1/1.2, поскольку они являются устойчивыми к атаке BEAST. Однако абсолютное большинство веб-сайтов эти версии протоколов шифрования просто не поддерживают.

    Как обнаружили исследователи из компании Opera, только 0.25% сайтов поддерживают TLS 1.1, TLS 1.2 поддерживают 0.02%. Несмотря на то, что спецификации TLS 1.1/1.2 были разработаны достаточно давно, поддержка этих протоколов в некоторых популярных браузерах всё ещё не реализована. Это создаёт проблему для владельцев сайтов, которые хотели бы обновиться, но из-за боязни потерять клиентов делать этого не хотят.

    На сегодняшний день поддержкой TLS 1.1/1.2 обладают лишь браузеры Opera, начиная с десятой версии, и Internet Explorer, начиная с восьмой версии в Windows 7.

    Разработчики Opera уже создали заплатку для своего браузера, которая должна воспрепятствовать атаке BEAST, но затем обнаружили, что из-за этой заплатки некоторые сайты оказались в Opera неработоспособны, и решили не включать эту заплатку в следующую финальную версию. Согласно данным Threat Post, Google также разрабатывает некоторые меры для закрытия уязвимости в браузере Chrome и опасается, что хакерская активность вынудит их произвести принудительный релиз новой версии раньше срока. На данный момент Chrome TLS 1.1/1,2 не поддерживает. Mozilla Firefox также не поддерживает эти протоколы. При этом о планах разработчиков Firefox реализовать их поддержку пока ничего не известно.

    Тьерри Золлер, эксперт по безопасности из компании G-SEC, предлагает разработчикам ряд мер, которые должны обезопасить банковские операции. Среди них упоминаются следующие:
    • в качестве шифра следует использовать метод эллиптических кривых
    • в качестве алгоритма шифрования следует использовать AES
    • минимальная длина ключа для шифрования должна составлять 128 бит
    • поддержку SSL 2.0/3.0 следует полностью исключить

    Простым пользователям на данный момент остаётся только гадать, как скоро хакеры смогут воспользоваться обнаруженной уязвимостью, и ждать своей участи.

    Источник
     
    1 человеку нравится это.

Поделиться этой страницей