Alaposan megkerülték a biztonságosnak tartott SSL-titkosítást

Hirdetés

A szabadúszó Moxie Marlinspike névre hallgató hacker az Egyesült Államokban mai napon véget érő Black Hat biztonságtechnikai konferencián mutatta be újonnan kifejlesztett technológiáját, melynek segítségével sikeresen kijátszotta a máig legnépszerűbb titkosítási eljárást, az SSL-t. Bizonyítandó metódusa működőképességét, állítása szerint élesben is kipróbálta saját fejlesztésű támadószoftverét, az SSL Strippet: rövid úton feltörte a PayPal, a Gmail, a Ticketmaster és a Facebook védelmi rendszerét, majd lementette 117 különböző e-mail fiók adatait, 16 egyedi hitelkártya számát, 7 PayPal bejelentkezési adatot és 300 egyéb, máshová nem sorolható biztonságos belépéssel kapcsolatos információt.

/>
Interjú a hackerrel

Amennyiben a technológia valóban létezik, úgy többek között az online banki tranzakciók és a különböző weboldalakon eszközölt biztonságos belépések hitelessége, alapvető biztonságossága kérdőjeleződik meg. A hacker közel százoldalas, sajátosan megírt publikációban ismerteti az eljárás részleteit. Röviden összefoglalva arról van szó, hogy a támadó újfajta megközelítésbe helyezte az kiberattakot: olyan lehetőségek után nézett, amelyek segítségével átrághatja magát a Netscape által kifejlesztett https sémán, vagyis a http protokoll és egy hálózatbiztonsági protokoll alkotta kettősön. Nem véletlenül esett a választása a https-re, hiszen ezt a sémát nagyon gyakran használják bizalmas vállalati információcserékre vagy online banki tranzakciókra. Az SSL Stripper segítségével létrehozott egy helyettesítő https oldalt, és ezzel sikerült azt a látszatot keltenie, mintha a felhasználó továbbra is a biztonságos felületen tartózkodna.

Hirdetés

  • Kapcsolódó cégek:

Azóta történt

Előzmények