FŐOLDAL
  Mobil
  Digitális TV
  Internet
  Informatika
  PR
  Marketing
  Reklám
  Vezetés
  Menedzser
  Projektmenedzsment
  Kontrollig
  ERP
  Munka
  Gazdaság
  Pályázat
  Piackutatás
  Megújuló energia
  Lakás
  Autó Motor Kerékpár
  GPS
  Információs társadalom
     - Információs
       társadalom
     - Virtuális Vállalat
     - eKereskedelem
     - Távmunka
     - Önkormányzatok
     - eÜgyintézés
     - eBevallás
     - eKultúra
     - Menedzser oktatás
     - Távoktatás
     - Oktatás
  Képgyűjtemény
  Autók
  Motorok
  Repülők
  Hajók
  Lovak
  EU
  Európai Unió
  Egyéb
  Hálókatalógus menű 
  Rendezvény
  Archívum
  Oldaltérkép
  Blog
  eMemedzser Blog

Kijátszható az SSL

Hirdessen Ön is itt eTarget linkek létrehozása  

Kijátszható a web legelterjedtebb titkosítási módszere az SSL

A Moxie Marlinspike művésznéven ismert hacker az amerikai Black Hat biztonságtechnikai konferencia utolsó napján mutatta be újonnan kifejlesztett technológiáját, melynek segítségével sikeresen kijátszotta a ma használt legnépszerűbb titkosítási eljárást, az SSL-t.

A módszer működőképességének bizonyítására élesben is kipróbálta saját fejlesztésű támadószoftverét, az SSL Strippet: néhány perc alatt feltörte vele a PayPal, a Gmail, a Ticketmaster és a Facebook védelmi rendszerét, majd lementette 117 e-mail fiók adatait, 16 hitelkártya számát, 7 PayPal bejelentkezési felhasználónév-jelszó párost és 300 egyéb, biztonságos belépéssel kapcsolatos információt.

Ha a technológia valóban működik, az online banki tranzakciók és a weboldalak biztonságos beléptetési rendszereinek hitelessége kérdőjeleződik meg. A hacker közel százoldalas, sajátosan megírt publikációban ismerteti az eljárás részleteit. Röviden összefoglalva arról van szó, hogy a támadó újfajta megközelítésbe helyezte a törést: olyan lehetőségek után nézett, amelyek segítségével átrághatja magát a Netscape által kifejlesztett https sémán, vagyis a http protokoll és egy hálózatbiztonsági protokoll alkotta kettősön. Nem véletlenül esett a választása a https-re, hiszen ezt a sémát nagyon gyakran használják bizalmas vállalati információcserékre vagy online banki tranzakciókra.

Az SSL Stripper azt használja ki, hogy a biztonságos oldalakra belépéshez senki nem gépeli be manuálisan a https:// részt a weboldal címe elé, hanem hagyja hogy a böngészője először a hagyományos http protokollal próbálkozzon, majd miután az érzékeli a titkosított weboldalt, automatikusan átvált https-re. A hacker ez az algoritmust támadja meg, és úgy manipulálja a böngészőt, hogy az elhitesse a júzerrel, hogy létrejött a biztonságos kapcsolat, de az adatokat valójában titkosítás nélkül forgalmazza.

Szakértők szerint a net vezető hatalmainak, a Microsoftnak, Mozillának, Apple-nek, és a Google-nek kellene összefognia, és új, biztonságosabb titkosításokat kidolgozni az internetre, mert ha az SSL Stripper fenyegetését meg is szüntetik,valószínűleg egyre több olyan trükk fog megjelenni a közeljövőben, ami a túlhaladott webes szabványok gyengeségeit használja ki. (Index)
2009.02.27.

Hírlevél  

eMenedzser
Tel.: 06/62/314-692, 06/62/449-783
Mobil: 06/30/380-7333
E-mail: emenedzser@emenedzser.hu
Copyright © eMenedzser.