Mark Stockley, független webes tanácsadó, a Sophos NakedSecurity blogból
Egy kutatópár felfedett egy igen komoly, a webbiztonsággal kapcsolatos új támadási módot.
A kutatók a múlt heti Buenos Airesben tartott Ekoparty biztonsági konferencián fedték fel azt az új segédprogramot, amely megtámadja a biztonságos webkapcsolatok létrehozásához szükséges TLS és SSL titkosítási protokollokat.
Ezzel a webforgalom titkosítási feltöréssel megszűnik az a biztonságos szörfözés, amely védi Önt miközben érzékeny online műveleteket hajt végre, mint amilyen az online bankolás vagy a bankkártyák használata.
A BEAST (Browser Exploit Against SSL/TLS) néven ismert segédeszköz a TLS-t egy évek óta ismert, de csak elméleti problémának tartott sérülékenységen keresztül támadja.
Jelenleg a támadás végrehajtása akár fél órába is beletelik. Habár a kutatók szerint ez jelentősen csökkenhet, de ha Ön rendelkezik a támadás végrehajtásához szükséges rosszindulattal, idővel és hozzáféréssel, akkor valószínűleg könnyebb módok is léteznek a bűnözői hajlam kiéléséhez.
Még amikor kormányzatok támadnak fegyvergyártókat, akkor sincs szükségük több high-tech dologra, hanem olyan alapvető trükkök is elégségesek, mint a spear-phishing.
A BEAST TLS elleni támadásának veszélye egyre közelebb van, de valószínűleg elég időnk lesz ahhoz, hogy időben reagáljunk rá, még mielőtt a gyakorlatban is megjelenne.
Jó kezdés lenne, ha a böngésző és szerver forgalmazók elkezdenék végre támogatni a TLS 1.1-es és 1.2-es verzióit. Mindkettő különleges védelemmel rendelkezik az ilyen típusú támadások ellen, de sajnos támogatottságuk elég gyenge.
Duong és Rizzo ezekkel az ismeretekkel már hónapokkal ezelőtt megkereste a legnagyobb böngésző forgalmazókat, de úgy tűnik, hogy csak a Chrome böngészőt gyártó gárdától jött rá válasz. A támadás elleni gyógyír a böngészőjükben jelenleg tesztelés alatt áll.
Ha Ön webszervert üzemeltet és aggódik a fentiek miatt, akkor átállíthatná őket, és előnyben részesíthetné az rc4-sha ciphert. Széleskörben támogatott és nem sérülékeny a fent említett támadásra.
Habár a BEAST támadás a böngészőket célozza meg, sok más egyéb TLS-re épülő alkalmazás létezik, nem utolsósorban a levelezőszerverek. Habár a BEAST nem ezeket veszi célba, biztos vagyok benne, hogy szemöldökfelhúzást eredményez és forgalmazóik érdeklődéssel figyelik. Kövesse figyelemmel a frissítéseket és ajánlásokat.
Ha többet szeretne tudni arról, hogyan is működik a támadás, akkor javaslom, hogy nézzék meg nickm kiváló és elérhető összefoglalóját a Tor projektnél.
További információ angol nyelven