LINUX.ORG.RU

Проблемы с безопасностью в протоколе SSL

 


0

0

Эксперты Дан Каминский и Лен Сассман (Dan Kaminsky, Len Sassaman) обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете, сообщает ITNews.

Эти дыры дают возможность хакерам похищать пароли и перехватывать проводимые через Интернет платежи, объявили эксперты на проходящей в Лас-Вегасе конференции по компьютерной безопасности Black Hat.

По утверждению экспертов, подобное проникновение подвергшийся атаке пользователь обнаружить не может.

Проблема существует для пользователей браузеров IE и Firefox 3, а также мессенджеров, предупреждают специалисты.

>>> Скопировано с iToday.ru - http://www.itoday.ru/news/21767.html

>>> Подробности на английском

в talks уже (вяло) обсуждали

ничего в самом протоколе нет, просто ряд программ могут быть одурачены символами NULL в теле сертификата, ну и для реализации перехвата, нужно иметь валидный, подписаный rootCA сертификат с NULL (интересно какой CA это подпишет?) и возможность man in the middle атаки

вообщем как всегда. много шума из ничего... а вендоры пусть исправляют парсинг сертификатов

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

Сильви, спасибо. вот так вот надо в новостях писать, по делу!
насчет где взять такой сертификат, я так понял не обязательно подписанный рут СА, можно любым по цепочке, либо даже сторонним, если пользователь проигнорирует предупреждение браузера.

val-amart ★★★★★
()

Лично я бы рекомендовал повесил эту новость на главную страничку, все-таки не флейм какой-то. Более того, встречал уже отголоски этой новости на других авторитетных новостных лентахю Это, конечно, не супер-сенсация, но пусть народ почитает и выскажется. ИМХО не все в толксах тусуются.

Acid_Scorpion
() автор топика
Ответ на: комментарий от val-amart

не обязательно root CA, но нужно чтобы пользователь его принял, к тому же исследователями не указано что именно будет отображаться в предупреждении браузера, IM клиенты обычно мало показывают по сертификату, но там и область применения уже

Sylvia ★★★★★
()

шаман вновь зааппрувил коллекцию баянов?

Somewho ★★
()


господи, молю тебя, убей этих ламерюг, которые не в состоянии отличить слово 'протокол' от 'браузер'! ;-E

заипали, чес слово. афтар, ты сам то читал то, что там написано, а?

// wbr

klalafuda ★☆☆
()

Фамилия переведа неверно.

>Len Sassaman

Не Сассман, а Сассаман, или даже Сазаман.

Camel ★★★★★
()

> существует для пользователей браузеров IE и Firefox 3

Два сапога пара. Используйте оперу и таких проблем не будет!

Reset ★★★★★
()
Ответ на: комментарий от Sylvia

Согласен. Каким надо быть ,,,,, чтобу, собираясь что-то оплатить через инет, проигнорировать предупреждение браузера о кривом сертификате.

vada ★★★★★
()
Ответ на: комментарий от vada

> Согласен. Каким надо быть ,,,,, чтобу, собираясь что-то оплатить через инет, проигнорировать предупреждение браузера о кривом сертификате.

Дык предупреждения не будет. Браузер пропарсит сертификат, найдет там paypal.com\0.hacksite.com и будет убежден, что этот сертификат валиден и выдан для paypal.com.

mutley
()

А лору как всегда ничего не угрожает, ибо HTTP :-/

af5 ★★★★★
()
Ответ на: комментарий от Sylvia

> просто ряд программ могут быть одурачены символами NULL
null characters - это символы \0, а не строка "NULL".

> подписаный rootCA сертификат
Не обязательно.

> и возможность man in the middle атаки
В локалке это не сложно.

> вообщем как всегда. много шума из ничего...
Хм, ну не факт.

anonmyous ★★
()
Ответ на: комментарий от val-amart

> а что, MiM уже проблема?
imho
по обстоятельствам Сударь...

sda00 ★★★
()
Ответ на: комментарий от mutley

>> FF 3 уже излечен от проблемы \0.

>И давно? Вроде изначально не болеет только 3.5, или я чото п?

Да, 3.5 не болеет с первого же релиза, а 3.0 полечили в 3.0.13.

MATPOCKUH
()
Ответ на: комментарий от anonmyous

>> подписаный rootCA сертификат

>Не обязательно.

Боюсь что обязательно. Если в цепочке нет рут-сертификата, который подписан trusted СА, то ни один браузер в здравом уме такому сертификату доверять не будет.

mutley
()

где технические подробности? зачем эти предупреждения для домохозяек?

UlrichDrepper
()
Ответ на: комментарий от mutley

> Дык предупреждения не будет. Браузер пропарсит сертификат, найдет там paypal.com\0.hacksite.com и будет убежден, что этот сертификат валиден и выдан для paypal.com.

Неправда. Браузер отобразит пользователю, что сертификат от www.paypal.com, но сам будет знать, что сертификат от paypal.com\0.hacksite.com

И вот тут самое интересное. Необходимо, чтобы paypal.com\0.hacksite.com был подписан trusted CA, иначе обязательно будет предупреждение (неизвестный CA) И какой же CA это подпишет?

Фокс реагирует однозначно - покажет страничку, где предупредит пользователя о потенциальной проблеме и заставит его втянуть серт.

А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

PAL
()

ПРОБЛЕМЫ С БЕЗОПАСНОСТЬЮ В ПРОТОКОЛЕ WI-FI

Эксперты Василий Пупкин и Густ Анонимус(Vasya pupkin, Guest Anonimous) обнаружили проблемы с безопасностью в шифровальном протоколе Wi-Fi (Wireless Fidelity, IEEE-802.11), который используется для безопасных соединений в Локальной Сети через воздушное пространство, сообщает ITPoNows.

Эти дыры дают возможность хакерам проникать на подключённые устройства (компьютеры, телефоны, ...) и получать на ними полный контроль, объявили эксперты на проходящей в Лас-Вегасе конференции по компьютерной безопасности Black Hard.

По утверждению экспертов, подобное проникновение подвергшийся атаке пользователь обнаружить не может.

Проблема существует для пользователей Apple iPhone, а также компьютеров, предупреждают специалисты.

mkfifo
()

> Эксперты Дан Каминский и Лен Сассман (Dan Kaminsky, Len Sassaman) обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете

Каминский как всегда дунул и понёс....
Помниться он а прошлом году писал про свой метод атаки на ДНС, который по его словам мог сложить тучу серверов, в итоге только обещания и остались......

Boy_from_Jungle ★★★★
()
Ответ на: комментарий от PAL

>А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

где-то на webmoney.ru браузер помню, ругался
(судя по http://yandex.ru/yandsearch?rpt=rad&text=www.webmoney.ru%20%D0%B1%D1%80%D...
на https://banking.webmoney.ru/ глюки были, сейчас исправили)

Anonymous ★★★★★
()
Ответ на: комментарий от Reset

> Два сапога пара. Используйте оперу и таких проблем не будет!

Могу и оперу надуть

Boy_from_Jungle ★★★★
()
Ответ на: комментарий от Reset

>> существует для пользователей браузеров IE и Firefox 3
> Используйте оперу и таких проблем не будет!


Ага, в 9.62 под линухом добавление сертификатов тупо не работает. Потому и проблем нет. А чтоб в WM лайт зайти, приходится фаирфокс запускать.

xintrea
()
Ответ на: комментарий от mutley

>>> подписаный rootCA сертификат
>>Не обязательно.
> Боюсь что обязательно.
Думаю, когда речь идёт о man-in-the-middle, то ничего уже
не обязательно. Подписал чем угодно, потом перехватил обращение
к хранилищу и подсунул при проверке липовый корневой сертификат,
и тд.

anonmyous ★★
()
Ответ на: комментарий от Reset

>Два сапога пара. Используйте оперу и таких проблем не будет

оперы нет в списке потому что про нее исследователи даже не догадываются.

r ★★★★★
()
Ответ на: комментарий от mutley

>Если в цепочке нет рут-сертификата, который подписан trusted СА, то ни один браузер в здравом уме такому сертификату доверять не будет.

Если он не подписан - бровзер выдаст предупреждение а если подписан, но первый раз - бровзер все равно спросит. Половина юзеров на автомате жимают "ok". Уж не говоря о том что эти диалоги с диалогами про куки рядом лежат.

r ★★★★★
()
Ответ на: комментарий от PAL

>А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

Если сертификат не "accepted permanently" ранее - бровзер всегда показывает предупреждение.

r ★★★★★
()

при чем тут SSL?? парсинг сертификатов это одно? SSL - другое, зачем так людей пугать??

programmist
()
Ответ на: комментарий от Boy_from_Jungle

ЕМНИП в тот раз Каминский как раз нашел уязвимость в DNS, он просто не раскрывал суть уязвимости пока не выпустили обновление.

m16a1
()
Ответ на: комментарий от m16a1

> Каминский как раз нашел уязвимость в DNS, он просто не раскрывал суть уязвимости пока не выпустили обновление.

не а, он просто предположил, реально уязвимость нашел Крис.

Boy_from_Jungle ★★★★
()
Ответ на: комментарий от Reset

>Используйте оперу и таких проблем не будет!

Опера - нет интернета, нет проблем!

S_wine
()
Ответ на: комментарий от Sylvia

> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408

> а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Странно, а changelog на 3.5.0 и 3.0.13 говорят, что все уже исправлено. Криокамера? Вылезайте!

PS: http://www.mozilla.org/security/announce/2009/mfsa2009-42.html

MATPOCKUH
()

Автор и подтвержающий, так вас и так, я от вашего заголовка чуть корпоративный OpenVPN от греха подальше не отключил!

sv75 ★★★★★
()
Ответ на: комментарий от Sylvia

>а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Откуда эта чушь про 3.5.3? По ссылке же написано: "Mozilla Firefox before 3.5 and NSS before 3.12.3". С NSS не путаем, ага?

X-Pilot ★★★★★
()
Ответ на: комментарий от really_localhost

> Спроси лучше, что у юзера будет установлено в роли rootCA.

Если троян залез на машину юзера, то все эти криптования до одного места, можно клавиатуру перехватить :D

А если man-in-middle, то root CA не подменить - сертификаты-то лежат в пользовательской системе, соотвественно подделать root CA не получится никак - подпись не пройдет проверку

PAL
()
Ответ на: комментарий от PAL

> Если троян залез на машину юзера, то все эти криптования до одного места, можно клавиатуру перехватить

А ещё все в строго обязательном порядке все эти rootCA проверяют после установки системы :) Это такой тонкий, но тяжелый камень в огород пиратов-виндузятников...

really_localhost
()
Ответ на: комментарий от Acid_Scorpion

>Лично я бы рекомендовал повесил эту новость на главную страничку, все-таки не флейм какой-то.

Из погреба вылезай, а? Боянист сельский, блин. Ты что, последний год в погребе от армии прятался?

Led ★★★☆☆
()

Вообще-то, за "хакера" в уничижительном смысле в приличном обществе по репе дают:-D

sinister666 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.