компьютерный форум
Вернуться   Компьютерный форум > IT новости > Новости IT индустрии > Security news (безопасность)

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 14.09.2006, 13:18   #1
Пользователи
 
Регистрация: 03.03.2005
Адрес: Киев
Сообщений: 581
По умолчанию


14 сен 2006

*****

Новая брешь в механизме использования RSA-криптографии некоторыми
разработчиками, делает уязвимым протокол OpenSSL и ряд приложений,
сообщает (http://www.darkreading.com/document.asp?doc_id=103390) сайт
Darkreading.com. Таким образом, у хакеров появляется дополнительная
возможность подделывать цифровые подписи и создавать как фальшивые
сайты, так и SSL-клиентов (обращаться через SSL-протокол к серверу от
имени другого компьютера).

Разработчики OpenSSL, являющегося одним из самых популярных средств
шифрования, первыми заявили о бреши в RSA криптографии, которая
возникает во время работы их протокола. Аналогичные заявления сделали
разработчики проекта Fedora, занимающиеся созданием операционной системы
на базе продуктов с открытым кодом. Между тем, эксперты в области
информационной безопасности ожидают в ближайшее время аналогичных
заявлений как от разработчиков как open source, так и коммерческих
продуктов. Первым брешь обнаружил сотрудник компании Bell Labs Дэниел
Бляйхенбахер (Daniel Bleichenbacher).

Впрочем, исследователи отмечают и положительный момент, связанный с
уязвимостью в RSA криптографии. По их словам, уязвимость не затрагивает
работу браузеров - Internet Explorer, Apple Safari и Mozilla
Firefox. Руководитель направления безопасности группы разработчиков
Mozilla Уиндоу Снайдер (Window Snyder) отметил, что известие о бреши в
RSA вынудило его коллег в качестве превентивной меры более внимательно
изучить собственный код. "Мы относимся к этому очень серьезно и
исследуем нашу базу кода", - отметил Снайдер.

Более всего специалистов беспокоит влияние, которое уязвимость окажет на
компании, использующие для идентификации клиентов SSL-сертификаты.
"Причастность к уязвимости компаний, возможно, хуже причастности
браузеров. Многие организации полагаются на SSL-сертификаты, а
виртуальные частные SSL-сети - основная платформа таких
предприятий", - прокомментировал ситуацию сотрудник компании
Matasano Security Томас Птацек (Thomas Ptacek).

Например, пользователи внутренних финансовых сетей уязвимы перед этой
атакой, а обычные интернет-пользователи - нет. Эксперты пока еще
изучают детали уязвимости и ее потенциального применения, однако уже
сейчас ясно, что она позволяет создавать фальшивые SSL-сертификаты.
"Я уверен, эта уязвимость означает, что преступники могут
создавать фальшивые SSL-сертификаты для любых сайтов, загружать их на
сервер в Болгарии и обходить систему идентификации некоторых браузеров.
Это непохоже на типичную атаку, потому что может быть применено и
оффлайне - любой может наладить торговлю фальшивыми сертификатами
и продавать их как ворованные автомагнитолы. Единственное, что требуется
для такой торговли - это умение настроить веб-сервер",
- заявил Птацек.

"Если у вас есть SSL-сертификаты на клиентской стороне, которые вы
проверяете на сервере, у вас есть и проблема. Она существует только в
рамках клиентских приложений, работающих в среде OpenSSL", -
полагает независимый эксперт Дэн Каминский (Dan Kaminsky). Он сравнил
уязвимость с фотографией с голограммой, которая служит для сравнения
снимка и человека, изображенного на нем: "Фото наклеивается на
обратную сторону фотографии, а система видит его в правильном виде и
думает, что это вы. Однако фото и голограмма уже разъединены".
Хакер, использующий брешь в OpenSSL, аналогичным образом может выдавать
себя за кого угодно с помощью цифровой подписи.

Для использования уязвимости в SSL необходимо обязательное наличие
нескольких условий. Хакеру нужна программа, которая использует
реализацию RSA кода с "экспонентой трех". "Это не та
атака, которую можно провести против кого угодно. Однако ужасно то, что
от кого угодно можно получить сертификат", - заявил
Каминский.




__________________
MVP Consumer Security
Microsoft Security Trusted Advisor
Kaspersky Lab Certified Trainer
CyberCop вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
14.09.2006, 13:18
Техник
реклама
По умолчанию

Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 20:53. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2