SG.hu·2009. február 21.

Black Hat: megkerülhető az SSL-védelem

Nemcsak az email címeket, de akár a bankkártya számokat is meg tudják szerezni a hackerek egy újfajta technológia segítségével. A legtitkosabb adatokhoz - tehát például gmail, PayPal és Facebook információkhoz is - az SSL encryption nevű védőrendszer feltörésével tudnak könnyedén hozzáférni az adattolvajok.

Ennek veszélyeire figyelmeztettek a minden évben megrendezett "Black Hat" konferencián, amely Washingtonban zajlik és legfőbb témája a biztonságtechnika. Az előadásokon biztonságtechnikai szakemberek, hivatásukat már nem űző, vagy a kormány megbízásából jelenleg is dolgozó hackerek beszélnek a legújabb, legveszélyesebb titkos, adatokat feltörő módszerekről.

A csütörtökön zárult konferencián Moxie Marlinspike egy olyan új módszerről beszélt, amelynek segítségével a különböző honlapok SSL encryption védőrendszerét játszi könnyedséggel fel lehet törni. Természetesen ez alól az eddig olyan bombabiztosnak tűnt honlapok sem kivételek, mint a gmail, a Magyarországon is egyre divatosabb Facebook, vagy a PayPal.

Utóbbinál súlyosbítja a helyzetet, hogy egy internetes bankrendszerről van szó, amelynek segítségével vásárolhatunk, pénzt utalhatunk bankszámlánkra, vagy éppen bankszámlánkról máshová, így nem kell hangsúlyozni, mekkora kárt okozhat, ha ez rosszindulatú kezekbe kerül. Másrészről ez alaposan megrendíti az emberek internetes tranzakciókba vetett bizalmát is, ami pedig a világgazdaságra is kihat, hiszen például az online áruház, az Ebay is a PayPal rendszeren keresztül működik kizárólagosan.

Bejelentését az előadó konkrét esetekkel is illusztrálta. Bemutatta a hallgatóságnak, ahogy saját maga próbaképpen 117 gmail címet, 16 bankkártya számot, 7 PayPal logint, 300 másféle belépési kódot tört fel a fent említett módszerrel, tehát azzal, hogy az SSL encryptiont megkerülve könnyedén betört az említett honlapra. Amennyiben az adatvédelmi és vírusvédő szervezetek erre nem találnak záros határidőn belül megfelelő védelmet, az tragikus következményekkel járhat az internetbe vetett bizalomra nézve.

Kapcsolódó cikkek és linkek

Az Egyesült Államok kiberhaderejének ritka nyilvános alkalmazása történt Venezuelában A brit rendőrség letartóztatott egy férfit az európai repülőtereket érintő hackelés miatt Álláshirdetések mögé bújnak az észak-koreai hackerek Visszaéltek a Microsoft biztonsági figyelmeztetéseivel kínai hackerek Négy embert tartóztattak le brit kiskereskedők elleni kibertámadások miatt Olaszország letartóztatott egy kínai hackert A tajvani hackerek nem ijedtek meg Kína fejükre kitűzött vérdíjától Kína vérdíjat tűzött ki tajvani hackerekre

Hozzászólások

Jelentkezz be a hozzászóláshoz.

Nem az SSL kulcs lenyúlásáról/meghamisításáról volt szó (bár ez utóbbi lehetséges, csak trükkösebben, mint gondolnád). Csak arról, hogy Te=Gmail helyett Te-Hacker=Gmail lesz a felállás (ahol az '=' : titkos csatorna, '-' : védtelen csatorna). Szóval ha nem ügyelsz arra, hogy mindig https-en lépsz be akkor gyakorlatilag magadtól adod a hacker kezébe kódolatlanul a loginodat.

Annyit azért hozzátennék, hogy lehet TOR-t is használni, sõt én javasolom, mert a gmail-hoz pl. a magyar cionista zsarnok kormánynak szerintem egyenesben belelátási joga van és kész. Viszont ha kamu IPrõl kamu(pista) néven nyitsz egy account-ot, és mindig a TOR-on keresztül lépsz be, nem nagyon írsz magardól liturgiát a leveleidben (és fõleg ha mindezt azok is betartják akikkel levelezel) akkor SOHA az életben senki nem fogja rajtad kívül tudni, hogy kinek mit, minek kit írsz stb..

A TOR-ral sem lehet kijátszani az SSL handshake-t , mivel maga a handshake (oldalanként változó, de minimun) 1024 bites asszimetrikus elõazonosító publikus kulcsot küld digitálisan aláírva (némely server még többet 2048-4096 bites kulcsot) ... amit _nagyságrendekkel_ lehetetlenebb törni, mint a 128-256 bites szimmetrikus session kulcsokat (!) effektíve NEM HISZEM EL, hogy valaha bárki is SSL premaster key-t fog hamisítani úgy cirka Krisztus után 50ezerig... <#eplus2>
de HOAXolni, blöffölni és ijesztgeni a hozzá nem értõket azt azért lehet... sõt nem is lepõdünk már meg, mert ez a szokás így "felsõbb körökbõl"...

Ez a cikk is bizonyítja, hogy MTI-tõl egy az egyben nem szabad technikai írást átvenni. Az SSL-el titkosított adatforgalom nem törhetõ fel a mai gépekkel, PONT.
Azt viszont meg lehet csinálni, hogy feltörnek/megszereznek egy olyan gépet, amin átmegy a Te adatforgalmad (MITM - man in the middle), és elhitetik veled, hogy titkosított csatornán forgalmazol, pedig közben szépen lenyúlják a password-öd. Tipikus ilyen veszélyforrások az elgépelt webcímek, warez oldalakon talált linkek, a DNS poisoning, a névtelen proxyk és a TOR hálózat (amit a hacker is használt). Ez utóbbi egyébként a legegyszerûbb, hiszen így nem is kell gépet törögetni, csak felrakod a szkriptet a saját gépedre, és várod, hogy öledbe hulljanak a jelszavak. És bármilyen hihetetlen egyeseknek, de gmailes jelszavak is ugyanúgy megszerezhetõk ezzel a módszerrel, mint az összes többi (a Google amúgy sem a felhasználói adatok védelmérõl lett híres/hírhedt, sõt...). Bár az MTI hír itt is pontatlan, 117 email accountról és nem gmail címrõl van szó. De Moxie anyagában pontosabban szerepel: 114 yahoo, 50 gmail, 9 paypal, 9 linkedin és 3 facebook account 24 óra alatt.

Pár tanács a "parázósoknak": Mentsd el könyvjelzõnek az érzékeny weboldalaid https-t is tartalmazó URL-jét és csak ezeken lépj be. A hosts fájlodba rakd be ezeknek az oldalaknak az aktuális IP címét (DNS fertõzés ellen). Ezen oldalak meglátogatására soha ne használj anonim proxyt vagy TOR-t. Kapcsold be a böngészõdben azt az opciót, hogy titkosítatlan jelszóküldésnél figyelmeztessen.
Sajnos a tanácsok közül az elsõ nem mindig járható, gondolok itt például a paypal-es checkoutokra, ebben az esetben nem marad más, mint a tanúsítvány kiadójának manuális ellenõrzése minden alkalommal.

Köszi! Pontosan ezért jó a fórum. THX 😊

feltörésrõl szó sincs. amaz ugyanis, a tudomány mai állása szerint, még a távoljövõben is több, mint lehetetlen volna. amirõl itt szó van az egy régi módszer tökéletesítése, abban az esetben, ha a https oldal üzemeltetõje figyelmetlen volt és rosszul konfigurálta az SSL protokolt.
Ebben az esetben a támadónak lehetõsége nyílik a server által kiállított ideiglenes aláírás meghamisítására és a klienssel elhitetni, mintha õ volna az eredeti server.. a továbbiakban bonyolított adatforgalomból pedig kiderítheti a kliens egyéb személyes adatait, és/vagy a bejelentkezéshez szükséges jelszavát.

Kifogástalanuls beállított https oldalaknál ez a módszer nem használható, továbbá azt is hozzá kell tenni, hogy e módszer alkalmazása rendkívül bonyolult és szinte soha nem jön össze célzott támadásoknál (személyre szabott támadásnál)
csak véletlenszerûen , sokadik próbálkozás után.

A cikknek enyhén fogalmazva is HOAX szaga van és egy kicsit túl akarják ezzel spirázni, paráztatni a jónépet, továbbá nem hiszem, sõt egyenesen kizártnak tartom, hogy GMAIL-os postafiókokat ezzel a módszerrel megtörtek volna, bár a többi felsorolt oldalról még -talán- elhiszem, hogy (véletlenül vagy akár szándékosan könnyen törhetõvé konfigurálták)

Jó, akkor mondok egy még nagyobb csodát. Egy keyloggerrel meg még az a titkosítás is "feltörhetõ" (vagyis megkerülhetõ), amit még ki se találtak. Mekkora dráma.
Tisztán kell tartani a gépeket, meg mindenhez authentikációs tokent használni, vagy SMS-ben kapott egyszer használatos jelszót.

Ami késik nem múlik.

Magyarországon, nem hiszem, hogy akkora lenne a veszély! A Gmail-em nem tartalmaz oly fontos, illetve titkos információkat, a PayPal-em meg bannolták!<#szomoru1>

Pontosan, elkezdtem olvasni és valahogy nem klappolt. A hwsw-n még normálisan szerepel.

"feltörhetõ az SSL-védelem ..... az SSL encryptiont megkerülve"

Na most melyik? Segítek: nem törték fel, megkerülték. Tipikus bulvárhír, ami szépen bejárja a világot és értelmetlen félelmeket kelt. Olyan, mint a wpa feltörés videokártyával: lehet, de nem emberi idõvel mérve.