Перейти к содержанию

Техника успешного внедрения в SSL соединение

Материал из Викиновостей, свободного источника новостей

20 февраля 2009 года

На конференции Black Hat была продемонстрирована успешная атака по перехвату или подстановке данных в защищенную SSL сессию, для сайтов на которых присутствует как защищенный, так и не защищенный контент. Атака походит через организацию промежуточного звена для прохождения SSL запросов (атака класса man-in-the-middle, через вклинивание прокси злоумышленника между пользователем и сайтом), манипулируя неосведомленностью пользователей (вместо HTTPS пользователю прокси отдает данные по HTTP) и используя недоработки интерфейса браузеров.

Несмотря на очевидность для пользователя подмены HTTPS на HTTP, эксперимент исследователей показал, что данная атака очень эффективна - разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитных карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail. При этом ни один из пользователей не заподозрил проблемы и не прекратил процесс аутентификации. Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.

Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели.

Источники

[править]


Creative Commons
Creative Commons
Эта статья содержит материалы из статьи «Техника успешного внедрения в SSL соединение», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.