SSL sa už nedá veriť?
Marek Molnár / 26. 02. 2009, 22:07
Na konferencii Black Hat, predstavil Moxie Marlinspike nástroj SSLstrip, ktorý dokáže užívateľa presvedčiť, že komunikuje cez SSL a tým z cieľového počítača odchytiť citlivé údaje.
Šifrovanie SSL bolo vyvinuté firmou Netscape Communications Corporation a dodnes slúži na poskytovanie overenia a šifrovanú komunikáciu užívateľa so serverom.
Dnes sa na mnohých stránkach, kde sa vyžaduje utajený prenos dát, SSL encryption využíva. V prípade, že ste na takejto stránke, vidíte v adresnom riadku prehliadača HTTPS://, miesto klasického HTTP://.
Mnohí celkom oprávnene veria, že takýto spôsob komunikácie ich ochráni proti prípadnému hacknutiu a následnému zneužitiu. Zdá sa, že táto viera môže byť vážne naštrbená. Vec je o to vážnejšia, že SSL je využívané aj v bankových službách, ako je napríklad PayPal.
Marlinspike vytvoril voľne dostupný program "SSLStrip", ktorý umožňuje hackerovi odstrániť šifrovanie alebo SSL ochranu stránky. Tá tak príde o svoje zabezpečenie a útočník tak môže získať prístup ku všetkým dátam, ktoré sú posielané cez túto stránku.
Na potvrdenie svojich tvrdení uviedol Marlinspike 117 gmailových prístupových dát, 16 čísiel bankových kariet + 7 loginov na Paypal a 300 rôznych iných prihlasovacích údajov na stránky, kde bolo použité SSL.
V konečnom dôsledku sa môže vážne narušiť dôvera, ktorú vkladajú užívatelia do ochrany svojich dát na internete. Dôsledky to môže mať napríklad aj na eBay, ktorý funguje výhradne na platobnom systéme PayPal. Celá prednáška sa nachádza na www.blackhat.com
Zdroj: http://hackinthebox.org/
d3agl3