Продавцы скремблируют ошибку в безопасности Net

Производители программного обеспечения вокруг мир скремблирует, чтобы исправить серьезную ошибку в технологии, используемой для безопасной передачи информации в Интернете.

Недостаток лежит в протоколе SSL, наиболее известном как технология, используемая для безопасного просмотра на веб-сайтах, начинающихся с HTTPS, и позволяет злоумышленники перехватывают безопасную связь SSL (Secure Sockets Layer) между компьютерами, используя так называемую атаку «человек-в-середине».

Хотя этот недостаток можно использовать только при определенных обстоятельствах, его можно использовать для взлома серверов в общих хостинг, почтовые серверы, базы данных и многие другие безопасные приложения, по словам Криса Пагета, исследователя безопасности, который изучил эту проблему.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

«Это ошибка на уровне протокола ". сказал Paget, главный технический директор службы безопасности под названием H4rdw4re. «На этом нужно будет многое сделать: веб-браузеры, веб-серверы, балансировщики веб-нагрузки, веб-ускорители, почтовые серверы, серверы SQL, драйверы ODBC, одноранговые протоколы».

Хотя злоумышленнику сначала нужно взломать сеть жертвы, чтобы запустить атаку «человек в середине», результаты тогда будут разрушительными - особенно если они используются в целевой атаке для получения доступа к базе данных или почтовому серверу, Сказал Paget.

Поскольку он настолько широко используется, SSL постоянно находится под микроскопом исследователей безопасности. В конце прошлого года исследователи нашли способ создания поддельных сертификатов SSL, которым доверяют любой браузер, а в августе исследователи представили несколько новых атак, которые могут скомпрометировать трафик SSL. Но в отличие от тех атак, которые связаны с инфраструктурой, используемой для управления цифровыми сертификатами SSL, эта последняя ошибка заключается в самом протоколе SSL и будет намного сложнее исправить.

Дальнейшим осложнением является тот факт, что ошибка была непреднамеренно раскрытый в неясном списке рассылки в среду, заставляя продавцов совершать безумную схватку, чтобы исправить свои продукты.

Проблема была обнаружена в Auguust исследователями компании PhoneFactor, компании по обеспечению безопасности мобильных телефонов. Они работали в течение последних двух месяцев с консорциумом поставщиков технологий под названием ICASI (отраслевой консорциум по обеспечению безопасности в Интернете), чтобы координировать широкомасштабное решение проблемы, получившее название «Project Mogul».

Но их осторожные планы были брошены в беспорядки в среду, когда инженер SAP Мартин Рекс наткнулся на ошибку самостоятельно. Очевидно, не подозревая о серьезности проблемы, он опубликовал свои замечания по этому вопросу в дискуссионном списке IETF (Internet Engineering Task Force). Затем он был опубликован исследователем по безопасности HD Moore.

К половине дня в среду достаточно людей говорили о проблеме, которую PhoneFactor решил опубликовать с выводами. «В тот момент мы чувствовали, что плохие парни знали, и мы чувствовали, что у нас есть ответственность за хороших парней, которые тоже знают», - сказала Сара Фендер, вице-президент PhoneFactor по маркетингу.

Fender не мог сказать, кто был готов заплатить но она отметила, что ряд продуктов с открытым исходным кодом «стремятся» выпустить патч. «Я думаю, что мы увидим некоторые исправления в ближайшем будущем», - сказала она.

В среду вечером ICASI не может быть достигнута для комментариев.

Хотя эксперты по безопасности говорят, что этот недостаток, вероятно, существовал годами, это не считалось, что они были использованы во всех атаках.

«Хотя мы считаем, что это существенная уязвимость, это еще не конец света», - сказал Фендер.