STOP Paying for SSL! | How To Get SSL Certificate On Your Website for Free
Tại hội nghị Black Hat ở Las Vegas hôm thứ Năm, các nhà nghiên cứu đã tiết lộ một số cuộc tấn công có thể được sử dụng để thỏa hiệp Kiểu tấn công này có thể cho phép kẻ tấn công lấy cắp mật khẩu, cướp một phiên ngân hàng trực tuyến hoặc thậm chí đẩy ra một bản cập nhật trình duyệt Firefox có chứa mã độc, các nhà nghiên cứu cho biết. Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn] Các vấn đề nằm ở cách nhiều trình duyệt đã triển khai SSL và cũng có trong hệ thống cơ sở hạ tầng khóa công khai X.509 được sử dụng để quản lý chứng chỉ kỹ thuật số được sử dụng bởi SSL để xác định xem một trang web có đáng tin cậy hay không.
Một nhà nghiên cứu bảo mật tự gọi mình là Moxie Marlinspike đã chỉ ra cách chặn lưu lượng SSL bằng cách sử dụng cái mà anh ta gọi là chứng chỉ hủy bỏ. Để thực hiện công việc tấn công của mình, Marlinspike trước tiên phải lấy phần mềm của mình trên một mạng cục bộ. Sau khi cài đặt, nó sẽ phát hiện lưu lượng SSL và trình bày chứng chỉ chấm dứt null của mình để chặn các liên lạc giữa máy khách và máy chủ. Cuộc tấn công của Marlinspike khá giống với một đòn tấn công thông thường khác gọi là tấn công SQL injection, nó sẽ gửi dữ liệu được tạo đặc biệt đến chương trình với hy vọng sẽ xâm nhập vào nó làm một cái gì đó nó không nên làm bình thường. Anh ta phát hiện ra rằng nếu anh ta tạo chứng chỉ cho tên miền Internet của riêng mình, bao gồm các ký tự null - thường được biểu diễn bằng 0 - một số chương trình sẽ hiểu sai chứng chỉ.
Đó là vì một số chương trình ngừng đọc văn bản khi thấy ký tự rỗng. Vì vậy, một chứng chỉ được cấp cho www.paypal.com 0.thought.org có thể được đọc là thuộc về www.paypal.com.
Vấn đề là phổ biến, Marlinspike nói, ảnh hưởng đến Internet Explorer, phần mềm VPN (mạng riêng ảo) Các nhà nghiên cứu Dan Kaminsky và Len Sassaman báo cáo rằng họ đã phát hiện ra rằng một số lượng lớn các chương trình Web phụ thuộc vào các chứng chỉ được cấp bằng cách sử dụng một mật mã lỗi thời. công nghệ được gọi là MD2, từ lâu đã được coi là không an toàn. MD2 đã không thực sự bị nứt, nhưng nó có thể bị phá vỡ trong vòng vài tháng bởi một kẻ tấn công được xác định, Kaminsky nói.Thuật toán MD2 đã được sử dụng 13 năm trước bởi VeriSign để tự ký "một trong những chứng chỉ gốc cốt lõi trong "Tất cả các trình duyệt trên hành tinh," Kaminsky nói.
VeriSign ngừng ký giấy chứng nhận sử dụng MD2 vào tháng Năm, Tim Callan, phó chủ tịch tiếp thị sản phẩm tại VeriSign cho biết.
Tuy nhiên, "số lượng lớn các trang web sử dụng thư mục gốc này chúng tôi không thể thực sự giết nó hoặc chúng tôi sẽ phá vỡ Web, "Kaminsky nói.
Các nhà sản xuất phần mềm có thể, tuy nhiên, nói với các sản phẩm của họ để không tin tưởng các chứng chỉ MD2; họ cũng có thể lập trình các sản phẩm của họ để không bị tổn thương với cuộc tấn công chấm dứt null. Tuy nhiên, cho đến nay Firefox 3.5 là trình duyệt duy nhất đã vá lỗi về vấn đề chấm dứt null, Đây là lần thứ hai trong nửa năm qua SSL đã được kiểm tra kỹ lưỡng. Cuối năm ngoái, các nhà nghiên cứu đã tìm ra cách để tạo ra một cơ quan chứng nhận giả mạo, có thể lần lượt phát hành chứng chỉ SSL điện thoại sẽ được tin cậy bởi bất kỳ trình duyệt nào.
Kaminsky và Sassaman nói rằng có một số vấn đề trong giấy chứng nhận SSL ban hành khiến họ không an toàn. Tất cả các nhà nghiên cứu đều đồng ý rằng hệ thống x.509 được sử dụng để quản lý chứng chỉ cho SSL đã lỗi thời và cần được sửa.
Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window
Các nhà cung cấp bảo mật bên thứ ba đã xếp hàng để xen kẽ MSE là không đủ và slam Microsoft để ném trọng lượng độc quyền của nó xung quanh. Họ không thể thực sự có cả hai cách. Microsoft đã tạo ra một sản phẩm tốt và sự thống trị của nó đối với hệ điều hành PC là mối đe dọa cho ngành công nghiệp phần mềm bảo mật, hoặc MSE hút và họ không có gì phải lo lắng.
Lỗ hổng trong SSL hoặc Lớp cổng bảo mật được sử dụng để bảo vệ lưu lượng truy cập web cho ngân hàng trực tuyến, mua sắm và bất kỳ kết nối https nào khác, cho phép kẻ tấn công đột nhập vào bất kỳ kết nối an toàn về mặt lý thuyết nào và thêm các lệnh độc hại. truy cập lưu lượng mạng cụ thể giữa một máy khách, chẳng hạn như trình duyệt Web, và Web hoặc máy chủ khác. Điều đó có nghĩa là hầu hết người dùng gia đình có thể sẽ không được nhắm mục tiêu cụ thể bởi một trong những cuộc tấn công trung gian
Tuy nhiên, các doanh nghiệp và tổ chức có thể nhắm mục tiêu. Per Ray, bất kỳ lưu lượng truy cập SSL được bảo vệ nào cũng có thể dễ bị tổn thương, cho dù đó là trang https, bảo mật cơ sở dữ liệu hoặc kết nối e-mail bảo mật. Vấn đề không cho phép giải mã và ăn cắp dữ liệu mã hóa SSL hoàn toàn, mà thay vào đó cho phép chèn bất kỳ lệnh nào vào luồng truyền thông.
Dump Internet Explorer cho đến khi Microsoft phát hành bản vá lỗi, các chuyên gia bảo mật cảnh báo. Nếu bạn sử dụng Internet Explorer 6, 7, 8 hoặc 9 làm trình duyệt mặc định trên PC Windows, các chuyên gia bảo mật khuyên bạn nên sử dụng một trình duyệt Web khác cho đến khi Microsoft vá lỗ hổng nghiêm trọng trong IE. Hôm thứ Hai, Microsoft đã xác nhận rằng tin tặc đã tích cực khai thác lỗ hổng IE có thể cho phép kẻ tấn công chiếm đoạt PC của bạn. Việc khai thác không ảnh hưởng đến người dùng đang
Cho đến nay, Microsoft cho biết họ đã nhận được các báo cáo về "một số lượng nhỏ các cuộc tấn công nhắm mục tiêu" bằng cách sử dụng khai thác này. Các nhà sản xuất phần mềm đang làm việc trên một bản vá bảo mật cho vấn đề, nhưng công ty vẫn chưa nói liệu nó sẽ phát hành một bản cập nhật bảo mật càng sớm càng tốt hoặc là một phần của chu kỳ cập nhật “patch Tuesday” hàng tháng của họ. "Bản vá thứ ba" tiếp theo sẽ là ngày 9 tháng 10.