SSL: Mégsem titkos a titkosított adat

A Las Vegas-i Black Hat biztonságtechnikai konferencián többféle módot is bemutattak arra, hogyan lehet a webszerver és a böngésző közötti titkosított adatokhoz hozzáférni. Az ilyen jellegű támadásokkal jelszavakat, banki kódokat lehet ellopni, de akár még a Firefox böngészőt is rá lehet bírni arra, hogy egy szoftverfrissítés keretében kártékony kódokat telepítsen a gépre, tették hozzá a szakértők. A probléma ott gyökerezik, hogy számos böngészőbe be van építve az SSL protokoll, valamint az X-509 típusú aláírásokba is, ezen digitális tanúsítványokat használja az SSL annak meghatározására, hogy hiteles-e az weboldal.

Null-termination

Egy magát Moxie Marlinspike-nak hívó biztonsági szakértő demonstrálta az SSL adatforgalom ellopását, melyet Null-termination (nullára végződő) hitelesítésnek nevezett el. Ahhoz, hogy mindez működjön, be kell juttatnia kártékony szoftverét a LAN (helyi hálózat) egyik számítógépére. Amint ez megvan, a szoftver azonosítja az SSL forgalmat és a null-termination megoldásával a szerver és a kliens gép közötti kapcsolathoz hozzá tud férni. A szakértő szerint ez a fajta támadás egyszerűen kinyomozhatatlan.

Ez a Marlinspike féle támadás kísértetiesen hasonlít az SQL injection támadásra. Az SQL Injection lényege az, hogy a rosszindulatú felhasználók egy nem megfelelően ellenőrzött adatbeviteli mezőn keresztül hajthatnak végre a helyzettől függően akár bármilyen adatbázis lekérést. Az injection típusú támadásoknak több vállfaja is van, a másik igen ismert az e-mail injection, amikor levélküldő űrlapokat (kapcsolatfelvétel, hozzászólás) használnak fel spam-küldésre.

Az SSL protokoll hibája nagyon sok felhasználót érint, az Explorer, a VPN szoftverek, e-mail kliensek, az azonnali üzenetküldő szoftverek és a Firefox 3-as verziója is veszélyforrást jelenthetnek.

MD2-hiba

További problémát jelenthet az MD2 kriptográfiai technológián alapuló oldalak sokasága. Az MD2-őt már régóta megkapta a nem biztonságos címkét, bár még nem törték fel de a két rábukkanó szakértő szerint ez akár hetek kérdése lehet csak. Az MD2-es algoritmust 13 éve használta először a VeriSign azonosításra az összes böngészőben. A cég VeriSing idén május óta már nem is használja a megoldást – közölte Tim Callan, a VeriSign termékmarketingért felelős alelnöke.

Mivel számtalan weboldal használja ezt kiindulási alapként, nem lehet egyik napról a másikra megszűntetni, mert akkor komoly felfordulásokat okozna a világhálón – közölte Dan Kaminsky biztonsági szakértő. A szoftvergyártók azonban kivédhetik a fent felsorolt támadásokat, egyedül a Firefox 3.5-ös verziója kapott javítófájlt a null-termination problémára, tette hozzá a kutató.

Az elmúlt fél év során ez már a második alkalom, hogy fény derült az SSL protokoll megbízhatatlanságára. Korábban egy olyan módszert mutattak be hackerek, mellyel okostelefonokon használt tanúsítványt lehetett előállítani, melyet bármelyik böngésző elfogad.