Dziura w protokole TLS
Wykryto lukę w protokole kryptograficznym TLS (Transport Layer Security), wykorzystywanym m.in. do zabezpieczania komunikacji ze stronami internetowymi w standardzie HTTPS.
20.09.2011 15:08
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Podatna na atak jest wersja 1.0 protokołu TLS, będącego rozszerzeniem SSL3. Wersje 1.1 i 1.2 są bezpieczne, ale są bardzo mało popularne. Szczegóły na temat luki mają zostać opublikowane podczas rozpoczynającej się jutro konferencji Ekoparty w Buenos Aires. Przedstawione zostanie tam oprogramowanie typu proof-of-concept o nazwie BEAST (Browser Exploit Against SSL/TLS), wykradające ciasteczka serwisu PayPal. Wykorzystuje ono kod JavaScript współpracujący ze snifferem.
Istnienie luki, z której korzysta BEAST, było przewidywane już od jakiegoś czasu, możliwość ataku traktowano jednak jedynie jako teoretyczną słabość protokołu TLS. BEAST potrafi jednak wykonać efektywny atak. Jego wczesna wersja potrafiła dekodować przechwycone dane z szybkością ok. 1 bajta w ciągu dwóch sekund, co pozwalało odszyfrować ciasteczko PayPal w ciągu pół godziny. Obecnie czas ten jest już skrócony do 10 minut. Do działania BEAST potrzebuje zaszyfrowanych danych. Atakujący musi mieć więc możliwość przechwytywania ruchu sieciowego ofiary omijając zabezpieczenia jej sieci lub też instalując na jej komputerze konia trojańskiego.
TLS 1.2 nie jest obsługiwany ani w Chrome ani w Firefoksie. Internet Explorer potrafi go obsługiwać, lecz obsługa tej wersji TLS nie jest w nim włączona domyślnie. Jedyną przeglądarką z obsługiwanym i włączonym domyślnie TLS 1.2 jest Opera.