Sigurnost na internetu

Zatvori

Internetski stručnjaci hakiraju PayPal

Stručnjaci za sigurnost na internetu, hakirali su SSL enkripciju koju koriste milijuni webova, servisa i aplikacija na internetu.

Sigurnost na internetu u velikoj mjeri ovisi o enkripciji podataka SSL-u (Secure Socket Layers) i TSL-u (Transport Layer Security).

Banke, online servisi za financijske transakcije, e-mail servisi, društvene mreže i brojni drugi internet servisi, svojim korisnicima garantiraju sigurnost zahvaljujući činjenici kako je vrlo teško hakirati SSL.

SSL enkripcija štiti podatke tijekom njihovog tranzita od klijenta ka serveru. Ova enkripcija predstavlja zaštitni tunel za podatke tijekom komunikacije između klijenta i servera.

Poznati svjetski stručnjaci za sigurnost, Thai Duong i Julinao Rizzo, uspješno su ubacili trojanca koji može dekodirati podatke u SSL komunikaciju između servera i klijenta.

Detalje svojeg napada kojim su demonstrirali način na koji se može uspješno hakirati SSL enkripcija, predstavit će 23. rujna na međunarodnoj Ekoparty konferenciji posvećenoj sigurnosti koja se tijekom ovog tjedna održava u Buenos Airesu.

Na konferenciji će prezentirati svoj hakerski alat BEAST (Browser Exploit SSL/TSL), koji omogućuje napadaču da na istoj mreži presretne i dekodira cookiese koji se koriste za pristup PayPal računu, na kojem će biti izveden ovaj "proof-of-concept" napad.

Exploit radi čak i na webovima koji koriste HSTS ili HTTP Strict Transport Security, te pronalazi ključ metodom enkripcije manje količine podataka brute-force tehnikom (plaintext-recovery attack).

Napadači računaju na ranjivost koja postoji u inačicama TSL-a 1.0, nasljedniku SSL tehnologije. Mada inačice TLS 1.1 i 1.2 nisu ranjive, one su gotovo u cijelosti nepodržane na internet preglednicima i web stranicama, pa su enkriptirane transkacije na PayPalu, Gmailu i gotovo svim postojećim web stranicama pogodna meta za hakere koji su u stanju kontrolirati konekciju između krajnjeg korisnika i stranice koju korisnik posjećuje.

„Nakon što smo mi uspjeli probiti stariju inačicu TSL-a, samo je pitanje vremena i motiva kada će ovu metodu početi koristiti hakeri s ciljem krađe informacija“, navode Duong i Rizzo.

"Ovo je ujedno i poziv svima da započnu poboljšavanje SSL enkripcije, usprkos tome što je SSL ažuriranje glomazan, dugotrajan i skup proces", dodaju.