Internet

BEAST napada PayPal

Prošle nedelje, tokom konferencije o informatičkoj bezbednosti uspešno je demonstriran postupak dekriptovanja PayPal-ovog cookie-a iz web browsera, čime su sigurnosni istraživači Juliano Rizzo i Thai Duong pokazali kako zaobići SSL, najkorišćeniji sigurnosni protokol na webu.

Programski kod koji to radi nazvali su BEAST (Browser Expolit Against SSL/TLS). Zbog činjenice da većina današnjih web servisa koristi SSL ili TLS 1.0 u najboljem slučaju, reč je o velikom problemu za celu globalnu mrežu. Većina implementacija navedenih protokola koristi CBC (cipher block chaining) metodu kriptovanja podataka koja se, prema ovome, pokazala ranjivom.

Naime, napadač može da dođe do štićenih podataka, ukoliko ima kontrolu nad mrežom u kojoj se nalazi žrtva te uspe da ubaci svoj sadržaj unutar njene zaštićene komunikacije. Prethodno, napadač mora žrtvu navesti na posećivanje maliciozne web stranice i pronaći način za izbegavanje “same-origin-policy” zaštite koju koriste svi noviji web browseri.

Istraživači su to postigli pomoću Java appleta. Microsoft i Mozilla su objavili da pripremaju zakrpe za svoje proizvode. Važno je istaknuti da napad ne pogađa implementacije SSL-a koje koriste RC4 tehniku zaštite koju, između ostalih, koristi Google. Napadom takođe nisu pogođene novije verzije TLS-a, 1.1 i 1.2, a detalje o ovome možete promaći u izveštaju The Register magazina.

Leave a Reply