Совершать покупки в Интернете снова опасно // 02 Декабря 2012

Кодировка данных - это краеугольный камень безопасности в Интернете. Каждый раз, когда человек заходит в свой почтовый аккаунт или подключается к онлайн-магазину, браузер скорее всего будет использовать соединение с сервером, защищенное с помощью технологии шифрования TLS (Transport Layer Security). Однако недавно в ней была найдена серьезная уязвимость.

Этот способ был изобретен как версия 3.0 предыдущего криптографического протокола - SSL (Secure Socket Layer). TLS 1.0 использовался как часть HTTPS, и в наше время он стал веб-стандартом защиты данных. Практически все интернет-ресурсы и браузеры используют TLS для обеспечения безопасности информации, передаваемой между сайтом и пользователем.

И вот, исследователи в области безопасности Тай Дуонг (Thai Duong) и Джулиано Риццо (Juliano Rizzo) утверждают, что взломали эту технологию с помощью сниффера и простого куска кода JavaScript. Специалисты устроили демонстрацию своего «подвига» (они назвали его BEAST) в режиме реального временина конференции по безопасности в Буэнос-Айресе.

Начинается все с того, что фрагмент JavaScript заражает браузер пользователя, если тот пройдет по подозрительной ссылке или посетит вредоносный вебсайт. После этого BEAST контролирует все данные, передаваемые с зашифрованных веб-сайтов. Он вставляет блоки некодированного текста в поток данных и начинает расшифровывать эти уже знакомые ему куски, пытаясь подобрать ключ. Через 5-10 минут ему это удается, после чего он использует эту информацию для расшифровки персональных данных, хранящихся в куки.

Перед тем, как провести демонстрацию, «взломщики» уведомили создателей всех популярных браузеров. кроме того, они надеются, что поднятая вокруг этой уязвимости шумиха заставит большеее количество серверов и разработчиков обновить их системы шифрования.Ведь несмотря на то, что уже давно существуют более поздние версии TLS, которые, теоретически, не имеют подобной уязвимости, но большинство сайтов все еще используют TLS 1.0.

По материалам сайта pcworld.com.