Колку е сигурен SSL протоколот?

{mosimage}Сигурноста на SSL (Secure Sockets Layer) протоколите, кои широко се користат во онлајн трговијата, повторно е ставена под знак прашалник, откако еден еден делегат на Black Hat конференцијата за компјутерска безбедност, покажа колку лесно системот може да биде компромитиран. Во неговата презентација, наречена “Нови техники за компромитирање на SSL во пракса,” делегатот на конференцијата кој себеси се нарекува Мокси Марлинспајк (Moxie Marlinspike), покажа неколку начини како SSL системот може да биде нападнат со помош на софтверот што тој самиот го креирал и е наречен SSLstrip.

Овој софтвер создава еден вид на
"човек помеѓу" (MITM), напад кој го идентификува HTTPS сообраќајот и се
инфилтрира меѓу дојдовните податоци и крајниот корисник. Според Марлинспајк, што се однесува до
нападот, корисниците преферираат HTTP, наместо HTTPS во нивните прелистувачи и
никој од тестираните субјекти не го забележал тоа. Дел од проблемот лежи во тоа
што луѓето не ја внесуваат целосната адреса на сајтот заедно со HTTP или HTTPS
таговите, туку едноставно внесуваат директно WWW. и останатото го оставаат да
го заврши прелистувачот.

Софтверот дури може и да остави заклучена
икона која дополнително може да ги измами корисниците. Во 24 часовниот тест, тој успеал да прибере
16 броеви од кредитни картички, лични податоци за логирање од 117 е-меил
клиенти, 7 логин податоци за PayPal и над 300 лични податоци за логирање на
најразлични сервиси .

“Ви објаснив неколку работи кои можат да се
направат, но навистина постои еден цел еко-систем од напади,” вели Марлинспајк во интервјуто со Џеф Мос, основачот на Black Hat. Тој најави дека
деновиве планира да го објави и кодот од неговиот софтвер.

SSL протоколот е постојана цел на напади
бидејќи ги содржи финансиски највредните податоци. Минатиот месец VeriSign
изјавија дека преземаат мерки за подобрување на сигурноста на овој протокол.

Secure Sockets Layer (SSL) се криптографски протоколи кои овозможуваат сигурност и интегритет на информациите кои се пренесуваат преку TCP/IP мрежи како интернет. Поновата верзија на овој протокол е наречена Transport Layer Security (TLS). Прочитајте повеќе за SSL и TLS на Wikipedia.



Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments