Nasz serwer sponsoruje CJ2 Hosting & Development

 
Szyfrowanie SSL/TLS 1.0 złamane   
Podobne tematy
Szyfrowanie danych - poradnik7
Zamieszanie wokół TrueCrypta 21
NSA łamie lub obchodzi szyfrowanie danych 18
Pokaz wszystkie podobne tematy (6)
Znalazłeś na naszym forum inny podobny temat? Kliknij tutaj!
Ocena:
11 głosów
Napisz nowy temat   Odpowiedz do tematu    Prawda2.Info -> Forum -> Wiadomości Odsłon: 5195
Zobacz poprzedni temat :: Zobacz następny temat  
Autor Wiadomość
Bimi
Site Admin



Dołączył: 20 Sie 2005
Posty: 19725
Post zebrał 0.000 mBTC

PostWysłany: 21:28, 20 Wrz '11   Temat postu: Odpowiedz z cytatem

http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0-zlamane/

Szyfrowanie SSL/TLS 1.0 złamane — koniec poufności w internecie?

BEAST to narzędzie pozwalające atakującemu na rozszyfrowanie danych przesyłanych protokołem TLS w wersji 1.0. Protokół ten jest między innymi składową HTTPS i chroni transmisję pomiędzy webserwerem a przeglądarką.
Cytat:
Na wstępie przypomnijmy, że TLS (Trasport Layer Security) to następca SSL (Secure Socket Layer). Głównym zadaniem TLS jest zapewnienie poufności i integralności transmisji danych oraz możliwość uwierzytelnienia serwera a czasem klienta.

BEAST atakuje, SSL 3.0 i TLS 1.0 rozszyfruje

Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym korzystającym z HTTPS. Według twórców, atak zadziała także na serwery wykorzystujące HSTS (HTTP Strict Transport Security).
Cytat:
BEAST potrzebuje ok. 2 sekund, aby korzystając z ataku plaintext-recovery rozszyfrować każdy bajt zaszyfrowanego ciastka (co daje ok. 10 min. dla przeciętnej wielkości ciasteczka). Ten czas można jednak znacznie skrócić — twierdzą autorzy. Warto też wspomnieć, że BEAST wykorzystuje błąd znany od wczesnych wersji SSL — do tej pory jednak zagrożenie z nim związane uważano jedynie za “teoretyczne”.

Atak jest bardzo medialny, bo pozwala stwierdzić, że “źli hackerzy” są w stanie podsłuchiwać transakcje wykonywane za pomocą PayPala, albo przejąć czyjeś konto na GMailu — mało tego, zauważmy że TLS 1.0 wykorzystywany jest także jako składowa takich usług jak VPN czy komunikatory internetowe. Robi wrażenie, prawda? Ale warto pamiętać, że aby atak doszedł do skutku, atakujący musi najpierw zmusić ofiarę do uruchomienia złośliwego JavaScriptu, a więc warunkiem koniecznym jest np. znalezienie XSS-a lub atak MitM.


TLS 1.1/1.2 na ratunek?

Niestety, pomimo tego, że bezpieczniejsza wersja TLS, czyli 1.1 jest dostępnyaod 2006 roku, praktycznie wszystkie webserwery ciągle korzystają z podatnego na atak TLS 1.0. The Register brak szerszego przyjęcia TLS 1.1 upatruje w przestarzałych implementacjach SSL w Firefoksie i Chromie oraz OpenSSL-u. Bezpieczniejsze wersje TLS są za to dostępne w serwerze IIS (nie domyślnie) oraz Operze (domyślnie). Autorzy BEAST twierdzą, że większość właścicieli serwisów internetowych nie wdroży bezpiecznych protokołów TLS 1.1 lub 1.2, ponieważ nie są one wspierane przez znaczną liczbę klientów i upgrade do bezpieczniejszej wersji TLS oznaczałby spadek dochodów. Być może opublikowanie exploita coś zmieni w tej kwestii — Duong i Rizzo zdradzili, że już od maja współpracują w tej kwestii z producentami przeglądarek, którzy mają wprowadzić obejścia problemu.
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora
King Crimson




Dołączył: 27 Mar 2009
Posty: 1469
Post zebrał 0.000 mBTC

PostWysłany: 21:36, 20 Wrz '11   Temat postu: Odpowiedz z cytatem

Teraz w instrukcjach łączenia się online z kontem bankowym będzie:

"Nie musisz się martwic o kolorowy pasek w okienku nawigacyjnym przeglądarki ponieważ nasz bank ma wyjebane na twoje bezpieczeństwo Smile"
Powrót do góry
Ogląda profil użytkownika Wyślij prywatną wiadomość
Wyświetl posty z ostatnich:   
Napisz nowy temat   Odpowiedz do tematu    Prawda2.Info -> Forum -> Wiadomości Wszystkie czasy w strefie EET (Europa)
Strona 1 z 1

 
Skocz do:  
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz moderować swoich tematów


Szyfrowanie SSL/TLS 1.0 złamane
Powered by phpBB © 2001, 2005 phpBB Group.
Wymuś wyświetlanie w trybie Mobile