Šibke točke varnostnega protokola SSL
Raziskovalci so ugotovili mnoge varnostne pomanjkljivosti v programski opremi, ki za šifriranje uporablja protokol SSL, ki naj bi omogočal varno komunikacijo prek interneta. Razkrili so, da uporabnikom grozi množica nevarnosti, ki lahko ogrozijo varen prenos podatkov med spletnimi stranmi in brskalniki.
Splet ni tako varen kot se morda zdi na prvi pogled.
Protokol SSL (Secure Sockets Layer) in prav tako sporni in zastarel sistem X.509, ki se uporablja za upravljanje SSL certifikatov, uporabljajo mnogi spletni brskalniki. To lahko izkoristijo spletni nepridipravi, ki z uporabo tako imenovanega null-termination certifikata, ki ga namestijo na lokalno omrežje, presežejo SSL komunikacijo med porabnikom in strežnikom ter se tako polastijo različnih gesel, bančnih in drugih pomembnih podatkov, poleg tega pa tovrstnih napadov ni mogoče zaznati.
Na podoben način je izveden tudi SQL napad, ki programu pošilja posebej prirejene podatke v upanju, da bo ta odreagiral drugače kot navadno. Do tega pride, ker program, ko naleti na nični znak (\0) preneha preverjati sledeči tekst, kar lahko spletni kriminalci izkoristijo za izdelavo lažnih certifikatov.
Problem je zelo razširjen in lahko prizadene tako Internet Explorer, zasebna omrežja in Firefox 3, kot tudi e-pošto in programsko opremo za takojšnje sporočanje.
Poleg tega je veliko število spletnih programov odvisnih od certifikatov, ki so izdelani s pomočjo zastarele šifrirne tehnologije MD2, ki že dolgo velja za ne najbolj varno. Programerji lahko zato začnejo razvijati programe, ki ne bodo zaupali MD2 certifikatom in ne bodo dovzetni za null-termination napade, vendar je za zdaj na to odporen le brskalnik Firefox 3,5.
To je že drugi primer možne zlorabe SSL protokola, saj so raziskovalci konec lanskega leta našli način za izdelavo lažnih SSL certifikatov.
Vir: InfoWorld
