- •Знакомство с ssl
- •Цифровые сертификаты
- •Типы сертификатов
- •Аутентификация на стороне клиента или сервера
- •Файл ключей и файл со списком доверенных источников
- •Ssl и WebSphere Application Server
- •Ssl и Integrated Solutions Console
- •Какие преимущества дает использование ssl?
- •2. От теории к практике: взлом ssl
- •От теории к практике
- •3. Найдена дыра в протоколе ssl
- •4. Взлом ssl. Перехват паролей в зашифрованных соединениях.
- •Руководство
- •5. Войны в песочнице — Часть 2. Обход https
- •Secure Sockets Layer
- •Пассивное наблюдение
- •Man in the middle
- •Пользовательские интерфейсы
- •Как пользователь использует ssl?
- •Завершение истории
- •6. Критическая уязвимость в ssl вышла из разряда теоретических: исследователи выпустили программу для взлома шифрования
- •Криптографический троян
- •Mozilla и OpenSsl: просто ужасно, не так ли?
Mozilla и OpenSsl: просто ужасно, не так ли?
Дуонг и Риццо заявили о том, что уязвимости, которые эксплуатирует BEAST, присутствуют практически во всех приложениях, которые используют TLS 1.0, создавая условия для применения данной техники в области мониторинга частных коммуникаций, отправляемых через программы мгновенного обмена сообщениями и VPN-программами.
Несмотря на то, что TLS 1.1 находится в свободном доступе с 2006 года и является невосприимчивым к атакам BEAST, практически все SSL-соединения полагаются на уязвимый TLS 1.0, согласно последнему исследованию фирмы, занимающейся вопросами безопасности, Qualys, которая проанализировала предложения SSL на 1 миллионе интернет-адресов.
Главными жертвами собственной инертности оказались Network Security Services, используемые для работы SSL в браузерах Mozilla Firefox и Google Chrome, а также OpenSSL, библиотека открытых исходных кодов, которой пользуются миллионы сайтов для поддержки TLS.
"Проблема в том, что люди не хотят ничего менять до тех пор, пока у них не будет на это веской причины, а под веской причиной я подразумеваю вредоносный код", - говорит Иван Ристик, технический директор компании Qualys. "Это ужасно, неправда ли?".
В то время как Mozilla и добровольцы, поддерживающие OpenSSL вообще еще не имели дела с TLS 1.2, Microsoft тоже показала себя не с лучшей стороны. Безопасные версии TLS доступны для их браузера Internet Explorer и сервера IIS, однако не по умолчанию. Opera – единственный браузер, которые использует TLS 1.2 по умолчанию.
Ристик, обнародовавший свои открытия на конференции Black Hat в августе, обнаружил еще одно доказательство тому, что веб-сайты частенько откладывают обновления для исправления ошибок SSL. В ходе исследования он открыл, что 35% веб-сайтов нужно пропатчить уязвимость TLS, обнаруженную еще в ноябре 2009, которая создавала условия для внедрения текста в закодированный трафик, передающийся между двумя конечными точками SSL.
Исследователи заявляют о том, что апгрейд TLS оказывается на удивление трудным, по большей части из-за того, что каждое исправление нарушает широко используемые приложения или технологии.
Дуонг и Риццо утверждают, что существует гораздо больше подобных примеров.
"На самом деле, мы работаем с поставщиками браузеров и SSL с начала мая, и каждое конкретное исправление является несовместимым с существующими приложениями SSL", - пишет Дуонг. "Людей смущает то, что существует слишком много сайтов и браузеров, которые поддерживают только SSL 3.0 и TLS 1.0. Если кто-то переведет свои веб-сайты целиком на 1.1 или 1.2, он потеряет значительную часть своих покупателей и наоборот".
7.