Найдена дыра в протоколе SSL

Швейцарские специалисты по компьютерной безопасности обнаружили новый способ взлома криптографического протокола SSL, который широко используется для защиты данных в интернете. Помимо прочего, с его помощью часто шифруются конфиденциальные данные при покупках в электронных магазинах, а также во время передачи и приема электронной почты.

Именно реализация SSL при общении компьютера с почтовым сервером и содержит уязвимость. Если почтовый клиент часто (например, каждые пять минут), обращается к серверу за новыми письмами, он отправляет туда одни и те же данные: зашифрованное имя пользователя, пароль и т.д. Хакеру достаточно один раз перехватить эти данные в зашифрованном виде, а затем начать направлять предполагаемые варианты пароля на сервер. Скорее всего, угадать пароль с первого раза не выйдет, и сервер выдаст сообщение об ошибке, также зашифрованное с помощью SSL. Сравнивая сообщения об ошибках, можно достаточно быстро восстановить пароль.

Способ взлома SSL был открыт профессором Швейцарского федерального технологического института в Лозанне (Swiss Federal Institute of Technology in Lausanne) Сержем Воденэ. Практическую реализацию взлома продемонстрировал в своей курсовой работе студент Мартен Вюаню. Он использовал программу Outlook Express, которая обращалась к почтовому серверу по протоколу IMAP каждые пять минут. Более подробную информацию о взломе SSL можно найти здесь.

Кроме взлома почтовых ящиков, описанный метод ни на что не годится. Перехватывать обмен данными между почтовым сервером и клиентом достаточно непросто, так что вряд ли эта уязвимость в SSL будет эксплуатироваться широко. Тем не менее, в некоторых случаях полезно помнить о существовании потенциальной опасности взлома.

Другие новости на эту тему можно найти в разделах Безопасность Дыры и уязвимости в ПО

Источник: LASEC

Статьи

Софт-неделя. 24-30 августа 2002 (Софтерра)

Ломаем “форточки” (Домашний Компьютер)

Беспроводные сети открыты для хакеров (Инфобизнес)

Любимые игрушки хакера (Софтерра)

Ссылки по теме

Найдена дыра в протоколе SSL - 21 февраля 2003 года, 17:10

Серьезные дыры в ПО Oracle и Lotus - 21 февраля 2003 года, 12:29

В компьютеры встроят аварийное ПО для восстановления системы - 19 февраля 2003 года, 11:19

Microsoft открыла почтовую рассылку, посвященную безопасности своих продуктов - 12 февраля 2003 года, 12:09

Взломан сайт компании Кевина Митника - 11 февраля 2003 года, 17:34

Страховщики повышают ставки в ожидании сетевых атак - 10 февраля 2003 года, 16:05

Microsoft предложила средства для профилактики атак на SQL Server - 10 февраля 2003 года, 14:12

Пылившийся на складе компьютер хранил важную информацию - 7 февраля 2003 года, 15:48

Арестован хакер, обрушивший сервер ViewSonic - 7 февраля 2003 года, 14:39

Поправки и комментарии присылайте редактору по адресу kirillt@compulenta.ru.

© "Компьюлента", 2003, при использовании материалов сайта ссылка на "Компьюленту" обязательна. По вопросам размещения рекламы обращайтесь к Алене Шагиной (телефон +7 (095) 232-2263, е-mail reclama@computerra.ru). Контактный адрес info@compulenta.ru

Меню по безопасности

Сайт управляется системой uCoz