Уязвимость в SSL-шифровании, недостаток распространяется на миллионы сайтов
Специалисты по безопасности обнаружили серьезную уязвимость, которая на этот раз заключена в недостатке SSL-протокола. Злоумышленники имеют возможность расшифровать информацию, передающуюся от сервера к компьютеру посредством браузера.
Уязвимость актуальна для протоколов TLS 1.0 и предыдущих его версий. Более поздние версии в этом смысле безопасны, но, к сожалению, не всеми браузерами поддерживаются, и тем более не всеми web-ресурсами. Таким образом, зашифрованные сессии Gmail, некоторые платежные системы и др. могут быть доступны хакерам, которые могут контролировать обмен информацией между сервером и конечным клиентом.
Планируется в ближайшем будущем представить приложение BEAST, с помощью которого наглядно можно наглядно продемонстрировать действия злоумышленников, использующие данную уязвимость. Будет продемонстрирована возможность доступа к cookie при помощи JavaScript. Этот эксплоит работает даже на защищенных шифрованием HTTPS сайтах, где загружаются только страницы, защищенные SSL протоколом.
Разработчики Дуонг Таи и Джулиано Риццо утверждают, что обнаружили способ взлома SSL посредством внедрения вредоносного кода, который меняет работу системы шифрования данных, задействованную при передачи личной информации пользователей.
??сследователи заявляют, что BEAST кардинально отличается от всех известных ранее средств для взлома HTTPS. Различие заключается в принципе действия. BEAST основывается на конфиденциальности, используемой протоколом, в то время как известные ранее атаки сосредоточены на подлинности SSL. Также, как заявляют Джулиано и Дуонг, они оптимизировали временные затраты, и теперь расшифровка файла cookie занимает около 10 минут, в то время как ранее BEAST для этого требовалось не менее 30 минут.
BEAST является криптографическим трояном. JavaScript запускается в браузере злоумышленником, после чего начинает снифферить пакеты для расшифровки HTTPS-трафика. Если эксплоит, описываемый исследователями, действительно работает так быстро и его возможности так велики, то на сегодняшний день он представляет собой реальную опасность.