Исследователи подобрали код к SSL-шифрованию

Эксперты в области компьютерной безопасности Тхай Дыонг (Thai Duong) и Джулиано Риццо (Juliano Rizzo) нашли способ расшифровки данных, передаваемых от сервера к пользователю браузера по протоколу SSL. Исследователями было создано приложение BEAST (Browser Exploit Against SSL/TLS), посредством которого будут показаны уязвимости в ненадежных протоколах.

По словам создателей, BEAST позволяет организовать перехват передаваемого в рамках зашифрованного соединения Cookie с параметрами аутентификации пользовательской сессии. А это означает, что многие ресурсы, работающие с денежными транзакциями, социальные сети Google, Facebook и Twitter подвергаются угрозе, ведь именно они чаще всего пользуются шифрованием HTTPS, с помощью которого загружаются только страницы защищенные протоколом SSL.

Атака с использованием браузера является одним из возможных вариантов и может быть переработана для нападения на другие продукты, использующие TLS и SSL, такие как VPN или клиенты для мгновенного обмена сообщениями.

Более подробно о своем достижении эксперты расскажут на конференции Ekoparty Security в Буэнос-Айресе.

ssl