serwisy tematyczne
Katalog rozwiązań
Newsletter
artykuly

09.01.2009
Spece od bezpieczeństwa znajdują dziurę w systemie zaufanych stron

Międzynarodowa grupa niezależnych badaczy bezpieczeństwa znalazła wadę w technologii SSL (Secure Sockets Layer) wykorzystywanej przez instytucje finansowe, sklepy internetowe oraz strony e-commerce aby zachować bezpieczeństwo swoich transakcji.

Grupa twierdzi, że cyberprzestępcy mogli wykorzystywać wadę do wytwarzania fałszywych certyfikatów cyfrowych, które później mogły być zaakceptowane przez większość znanych przeglądarek internetowych pozwalając hakerom na praktycznie niewykrywalne ataki typu phishing. Cyfrowe certyfikaty pozwalają przeglądarkom potwierdzić ich podpisy wykorzystując standardowe algorytmy szyfrujące, jednak specjaliści zauważyli, iż jeden z takich algorytmów czyli MD5 może być użyty podczas podrabiania certyfikatu, co sprawia iż krytyczna część infrastruktury internetu staje się niebezpieczna. Specjalista z firmy Gartner, Avivah Litan twierdzi, że luka ta znana jest już od przynajmniej czterech lat i użytkownicy powinni zdawać sobie sprawę, że żadna strona nie jest bezpieczna w 100 procentach. Dodaje również, że cyberprzestępcy przeprowadzili wiele ataków phishingowych nie posiadając certyfikatów.

„Przestępcy tak naprawdę nie potrzebują certyfikatów ponieważ cały czas wynajdują coraz to nowe metody, które przedstawiają podstawione strony jako właściwe,” twierdzi Litan. „Podrabianie certyfikatów SSL wymaga bardzo dużo pracy, a daje niewielkie rezultaty. Jednak nie jest to oczywiście dobra wiadomość, że struktura bezpieczeństwa internetu jest wadliwa.”

Czytaj całość - Security Wonks Find Gaping Hole in Trusted Site System (wersja angielska)

 

Autor: Tomasz Sawicki

Źródło: Przegląd prasy zagranicznej przygotowywany przez Mediarecovery



Wszelkie prawa zastrzeżone | Polityka prywatności
Projekt: 2BITS