Hacker objavil novú bezpečnostnú dieru protokolu SSL

 Ďalšie slabé miesto šifrovania webových stránok odhalil nezávislý hacker Moxie Marlinspike, ktorý ukázal spôsob, ako sa dá prispieť k úniku citlivých informácií. Vďaka nástroju SSLstrip možno oklamať internetových používateľov a uviesť ich do omylu, že sa nachádzajú na zabezpečenej stránke, aj keď to tak nie je. Tým verejne preukázal, že protokol SSL nemá stále dostatočný stupeň ochrany.

Tieto skutočnosti sa nedávno preberali na bezpečnostnej konferencii Black Hat vo Washingtone. Nástroj SSLstrip funguje nielen na verejných bezdrôtových sieťach, ale všade tam, kde útok reálne možno vykonať. Internetové stránky, ktoré by bežne boli chránené protokolom Secure Socket Layer (SSL), sú prostredníctvom nástroja SSLstrip konvertované do ich nezabezpečenej verzie. Zákerné je, že používateľ má stále dojem, že sa nachádza na chránenej šifrovanej lokalite. Vďaka tomu sa vystavuje riziku úniku a zneužitia hesiel, čísel kreditných kariet a iných citlivých informácií, ktoré sa v danej chvíli cez prehliadač odosielajú.

Marlinspike sa vyjadril, že nástroj SSLstrip je schopný plniť svoju funkciu práve preto, že obrovské množstvo stránok využívajúcich SSL je najskôr načítaných v nešifrovanej podobe a ochrana je dostupná len v sekciách, kde sú citlivé informácie odosielané a spracúvané.

Nezávislý hacker úspešne dokázal oklamať používateľov pracujúcich s prehliadačmi Firefox a Safari. Aj keď zatiaľ nástroj SSLstrip netestoval pre Internet Explorer, očakáva, že jeho techniky budú fungovať aj tam. Na potvrdenie funkcionality SSLstrip spustil na serveri siete Tor (URL: http://www.torproject.org/) a v priebehu 24 hodín získal 254 hesiel používateľov, ktorí navštívili stránky portálov Yahoo, Gmail, Ticketmaster, PayPal a LinkedIn.

Najjednoduchšie protiopatrenie zo strany používateľov je priame napísanie (vloženie) celej „https“ URL do prehliadača, čím nástroju SSLstrip nedajú šancu upraviť a zaznamenať nešifrovanú adresu.

Zdroj: www.theregister.co.uk



Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter