Была найдена уязвимость в протоколах TLS версии 1.0 и младше . Существуют более надежные, модифицированные протоколы TLS 1.1 и 1.2, однако, большая часть сайтов и браузеров пока что не поддерживает их. По этой причине на сегодняшний день подвергается опасности подавляющее большинство зашифрованных транзакций на PayPal, Gmail, Facebook, Twitter, а также в других социальных сетях и ресурсах, работающих с денежными операциями.
Исследователи Таи Дуонг (Thai Doung) и Джулиано Риццо (Juliano Rizzo) представят на конференции Ekoparty security в Буэнос-Айресе разработанное ими приложение BEAST –Browser Exploit Against SSL/TLS. Приложение представляет собой модель взломщика SSL, вызывающего сбой в системе шифрования. Созданный исследователями JavaScript сценарий способен перехватывать и расшифровывать файлы cookie, при помощи которых сайт предоставляет пользователю доступ к учетным записям.
Дуонг отмечает, что BEAST использует принципиально новую схему по отношению к уже существующим инструментам для взлома HTTPS. Его атака нацелена не на подлинность протокола SSL, а на конфиденциальность, предоставляемую протоколом. Для расшифровки файла cookie, содержащего до 2 000 символов, эксплоиту BEAST нужно всего 10 минут.
"Если BEAST действительно работает так, как это описывают его создатели, то существует реальная угроза информационной безопасности", – отмечает Тревор Перрин (Trevor Perrin), независимый исследователь в сфере информационной безопасности.
*Facebook признан экстремистской организацией на территории РФ.
 |
|
