Security Pro заявляет, что новая атака SSL может поразить многие сайты

Консультант по компьютерной безопасности в Сиэтле говорит, что он разработал новый способ использования недавно обнаруженной ошибки в протоколе SSL, используемого для защиты сообщений в Интернете. Фрэнк Хейдт (Frank Heidt), генеральный директор Leviathan Security Group, говорит, что его «общий» код доказательной концепции может использоваться для атаки на различные веб-сайты, В то время как атака крайне затруднительна - хакеру сначала нужно сначала снять атаку «человек в середине», запуская код, который ставит под угрозу сеть жертвы - это может иметь разрушительные последствия.

Атака использует уязвимость SSL (Secure Sockets Layer) Authentication Gap, впервые раскрытую 5 ноября. Один из открывателей SSL-ошибок Marsh Ray в PhoneFactor говорит, что он видел демонстрацию атаки Хайдта, и он убежден, что это может сработать. «Он показал это мне, и это реальная сделка», сказал Рэй.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Недостаток аутентификации SSL дает злоумышленнику способ изменить отправленные данные на сервер SSL, но до сих пор нет возможности прочитать информацию, возвращающуюся обратно. Heidt отправляет данные, которые заставляют сервер SSL возвращать сообщение переадресации, которое затем отправляет веб-браузер на другую страницу. Затем он использует это сообщение переадресации, чтобы переместить жертву в небезопасное соединение, где веб-страницы могут быть переписаны компьютером Хайдта до того, как они будут отправлены жертве.

«Фрэнк продемонстрировал способ использовать эту атаку слепой текстовой инъекции в полный компромисс между браузером и защищенным сайтом », - сказал Рэй.

Консорциум интернет-компаний работает над устранением недостатка, так как разработчики PhoneFactor впервые обнаружили его несколько месяцев назад. Их работа приобрела новую актуальность, когда ошибка была непреднамеренно раскрыта в списке обсуждений. Эксперты по безопасности обсуждают серьезность этого последнего недостатка SSL, так как он стал общедоступным.

На прошлой неделе исследователь IBM Анил Курмус показал, как этот недостаток можно использовать для обмана браузеров при отправке сообщений Twitter, содержащих пароли пользователей.

Эта последняя атака показывает, что этот недостаток можно использовать для кражи всех видов конфиденциальной информации с защищенных веб-сайтов, сказал Хайдт.

Чтобы быть уязвимыми, сайты должны сделать что-то, называемое клиентским пересмотром под SSL, а также иметь некоторый элемент на своих защищенные веб-страницы, которые могли бы генерировать конкретное сообщение перенаправления 302.

Многие высокопоставленные веб-сайты банковской и электронной коммерции не вернут это сообщение перенаправления 302 способом, который может быть использован, но «огромное количество» сайтов может на него нападают, сказал Хайдт.

С таким количеством веб-сайтов, подверженных риску этого недостатка, Хайдт говорит, что он не намерен немедленно выпускать свой код.

С точки зрения жертвы, только заметное изменение во время атаки заключается в том, что браузер no lo nger выглядит так, как будто он подключен к сайту SSL. Атака похожа на атаку SSL Strip, продемонстрированную Moxie Marlinspike [cq] на конференции по безопасности в начале этого года.

Leviathan Security Group создала инструмент, который веб-мастера могут использовать, чтобы узнать, уязвимы ли их сайты к разрыву SSL-аутентификации атака.

Поскольку SSL и его стандарт замены TLS используются в широком спектре интернет-технологий, ошибка имеет далеко идущие последствия.

Тьерри Золлер, консультант по безопасности с G-Sec, говорит, что теоретически, этот недостаток можно использовать для атаки на почтовые серверы. «Злоумышленник может потенциально перенаправлять почтовые сообщения по защищенным SMTP-соединениям [Simple Mail Transfer Protocol], даже если они аутентифицированы частным сертификатом», - сказал он в интервью с мгновенным сообщением.

Золлер, который не видел кода Левиафана, сказал, что если атака будет работать как реклама, это будет всего лишь за несколько дней до того, как кто-то еще выяснит, как это сделать.