A bűncselekmény módszerének módszere megmutatta az SSL-protokoll lehetséges sérülékenységét

Az EScan szakemberei elmondták, hogyan védhetik meg számítógépeiket az SSL, TLS és SPDY protokollok új sebezhetőségétől, amelyek védik a kapcsolatokat és továbbítják az adatokat az interneten.

Az SSL, TLS és SPDY protokollok egy másik sebezhetőségét a közelmúltban Giuliano Rizzo és Thai Duong kutatók bizonyították a Buenos Aires Ekoparty konferenciáján. A támadást egy újabb rés felhasználásával CRIME (Compression Ratio Info-szivárgás Made Easy) hívták.

A CRIME támadás során adattömörítési algoritmusokat használnak. Vegyük fontolóra, hogy miként jelenik meg, az SSL protokoll példáján:

Az áldozat számítógépére vonatkozó CRIME támadás végrehajtásához le kell tölteni a rosszindulatú kódot. Ezt például a felhasználó fertőzött weboldalra való átirányításával teheti meg.

Példa egy tömörített POST kérelemre, amelynek méretét cookie-adatok hozzáadásával megváltoztathatja

Korábban ugyanazok a kutatók bizonyították az SSL és TLS protokollok sikeres hackelését egy blokk-titkos biztonsági rés (SSL / TLS támadás, BEAST) használatával.

Az SSL-kapcsolatok biztonságának jelentős érdeklődését elsősorban a felhő technológiák fejlesztése okozza. Egyre több vállalat és otthoni felhasználó használja a felhőalapú szolgáltatásokat fontos információk tárolására és feldolgozására, és az ilyen szolgáltatásokhoz való kapcsolódás többnyire SSL technológiát használó webböngészőn keresztül történik. A védelmi rendszer sebezhetősége potenciálisan a támadók számára szinte korlátlan lehetőségeket kínál a fontos információk ellopásához.

Az alábbiakban az SSL tömörítéssel nem rendelkező böngészők jelenlegi verzióinak listája látható: