MTI

Black Hat: megkerülhető az SSL-védelem

Nemcsak az email címeket, de akár a bankkártya számokat is meg tudják szerezni a hackerek egy újfajta technológia segítségével. A legtitkosabb adatokhoz - tehát például gmail, PayPal és Facebook információkhoz is - az SSL encryption nevű védőrendszer feltörésével tudnak könnyedén hozzáférni az adattolvajok.

Ennek veszélyeire figyelmeztettek a minden évben megrendezett "Black Hat" konferencián, amely Washingtonban zajlik és legfőbb témája a biztonságtechnika. Az előadásokon biztonságtechnikai szakemberek, hivatásukat már nem űző, vagy a kormány megbízásából jelenleg is dolgozó hackerek beszélnek a legújabb, legveszélyesebb titkos, adatokat feltörő módszerekről.

A csütörtökön zárult konferencián Moxie Marlinspike egy olyan új módszerről beszélt, amelynek segítségével a különböző honlapok SSL encryption védőrendszerét játszi könnyedséggel fel lehet törni. Természetesen ez alól az eddig olyan bombabiztosnak tűnt honlapok sem kivételek, mint a gmail, a Magyarországon is egyre divatosabb Facebook, vagy a PayPal.

Utóbbinál súlyosbítja a helyzetet, hogy egy internetes bankrendszerről van szó, amelynek segítségével vásárolhatunk, pénzt utalhatunk bankszámlánkra, vagy éppen bankszámlánkról máshová, így nem kell hangsúlyozni, mekkora kárt okozhat, ha ez rosszindulatú kezekbe kerül. Másrészről ez alaposan megrendíti az emberek internetes tranzakciókba vetett bizalmát is, ami pedig a világgazdaságra is kihat, hiszen például az online áruház, az Ebay is a PayPal rendszeren keresztül működik kizárólagosan.

Bejelentését az előadó konkrét esetekkel is illusztrálta. Bemutatta a hallgatóságnak, ahogy saját maga próbaképpen 117 gmail címet, 16 bankkártya számot, 7 PayPal logint, 300 másféle belépési kódot tört fel a fent említett módszerrel, tehát azzal, hogy az SSL encryptiont megkerülve könnyedén betört az említett honlapra. Amennyiben az adatvédelmi és vírusvédő szervezetek erre nem találnak záros határidőn belül megfelelő védelmet, az tragikus következményekkel járhat az internetbe vetett bizalomra nézve.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • redgreen #10
    Nem az SSL kulcs lenyúlásáról/meghamisításáról volt szó (bár ez utóbbi lehetséges, csak trükkösebben, mint gondolnád). Csak arról, hogy Te=Gmail helyett Te-Hacker=Gmail lesz a felállás (ahol az '=' : titkos csatorna, '-' : védtelen csatorna). Szóval ha nem ügyelsz arra, hogy mindig https-en lépsz be akkor gyakorlatilag magadtól adod a hacker kezébe kódolatlanul a loginodat.
  • gettoharcos2 #9
    Annyit azért hozzátennék, hogy lehet TOR-t is használni, sőt én javasolom, mert a gmail-hoz pl. a magyar cionista zsarnok kormánynak szerintem egyenesben belelátási joga van és kész. Viszont ha kamu IPről kamu(pista) néven nyitsz egy account-ot, és mindig a TOR-on keresztül lépsz be, nem nagyon írsz magardól liturgiát a leveleidben (és főleg ha mindezt azok is betartják akikkel levelezel) akkor SOHA az életben senki nem fogja rajtad kívül tudni, hogy kinek mit, minek kit írsz stb..

    A TOR-ral sem lehet kijátszani az SSL handshake-t , mivel maga a handshake (oldalanként változó, de minimun) 1024 bites asszimetrikus előazonosító publikus kulcsot küld digitálisan aláírva (némely server még többet 2048-4096 bites kulcsot) ... amit _nagyságrendekkel_ lehetetlenebb törni, mint a 128-256 bites szimmetrikus session kulcsokat (!) effektíve NEM HISZEM EL, hogy valaha bárki is SSL premaster key-t fog hamisítani úgy cirka Krisztus után 50ezerig...
    de HOAXolni, blöffölni és ijesztgeni a hozzá nem értőket azt azért lehet... sőt nem is lepődünk már meg, mert ez a szokás így "felsőbb körökből"...
  • redgreen #8
    Ez a cikk is bizonyítja, hogy MTI-től egy az egyben nem szabad technikai írást átvenni. Az SSL-el titkosított adatforgalom nem törhető fel a mai gépekkel, PONT.
    Azt viszont meg lehet csinálni, hogy feltörnek/megszereznek egy olyan gépet, amin átmegy a Te adatforgalmad (MITM - man in the middle), és elhitetik veled, hogy titkosított csatornán forgalmazol, pedig közben szépen lenyúlják a password-öd. Tipikus ilyen veszélyforrások az elgépelt webcímek, warez oldalakon talált linkek, a DNS poisoning, a névtelen proxyk és a TOR hálózat (amit a hacker is használt). Ez utóbbi egyébként a legegyszerűbb, hiszen így nem is kell gépet törögetni, csak felrakod a szkriptet a saját gépedre, és várod, hogy öledbe hulljanak a jelszavak. És bármilyen hihetetlen egyeseknek, de gmailes jelszavak is ugyanúgy megszerezhetők ezzel a módszerrel, mint az összes többi (a Google amúgy sem a felhasználói adatok védelméről lett híres/hírhedt, sőt...). Bár az MTI hír itt is pontatlan, 117 email accountról és nem gmail címről van szó. De Moxie anyagában pontosabban szerepel: 114 yahoo, 50 gmail, 9 paypal, 9 linkedin és 3 facebook account 24 óra alatt.

    Pár tanács a "parázósoknak": Mentsd el könyvjelzőnek az érzékeny weboldalaid https-t is tartalmazó URL-jét és csak ezeken lépj be. A hosts fájlodba rakd be ezeknek az oldalaknak az aktuális IP címét (DNS fertőzés ellen). Ezen oldalak meglátogatására soha ne használj anonim proxyt vagy TOR-t. Kapcsold be a böngésződben azt az opciót, hogy titkosítatlan jelszóküldésnél figyelmeztessen.
    Sajnos a tanácsok közül az első nem mindig járható, gondolok itt például a paypal-es checkoutokra, ebben az esetben nem marad más, mint a tanúsítvány kiadójának manuális ellenőrzése minden alkalommal.
  • god25 #7
    Köszi! Pontosan ezért jó a fórum. THX :)
  • gettoharcos2 #6
    [b]feltörésről szó sincs. amaz ugyanis, a tudomány mai állása szerint, még a távoljövőben is több, mint lehetetlen volna. amiről itt szó van az egy régi módszer tökéletesítése, abban az esetben, ha a https oldal üzemeltetője figyelmetlen volt és rosszul konfigurálta az SSL protokolt.
    Ebben az esetben a támadónak lehetősége nyílik a server által kiállított ideiglenes aláírás meghamisítására és a klienssel elhitetni, mintha ő volna az eredeti server.. a továbbiakban bonyolított adatforgalomból pedig kiderítheti a kliens egyéb személyes adatait, és/vagy a bejelentkezéshez szükséges jelszavát.

    Kifogástalanuls beállított https oldalaknál ez a módszer nem használható, továbbá azt is hozzá kell tenni, hogy e módszer alkalmazása rendkívül bonyolult és szinte soha nem jön össze célzott támadásoknál (személyre szabott támadásnál)
    csak véletlenszerűen , sokadik próbálkozás után.

    A cikknek enyhén fogalmazva is HOAX szaga van és egy kicsit túl akarják ezzel spirázni, paráztatni a jónépet, továbbá nem hiszem, sőt egyenesen kizártnak tartom, hogy GMAIL-os postafiókokat ezzel a módszerrel megtörtek volna, bár a többi felsorolt oldalról még -talán- elhiszem, hogy (véletlenül vagy akár szándékosan könnyen törhetővé konfigurálták)
  • Komolytalan #5
    Jó, akkor mondok egy még nagyobb csodát. Egy keyloggerrel meg még az a titkosítás is "feltörhető" (vagyis megkerülhető), amit még ki se találtak. Mekkora dráma.
    Tisztán kell tartani a gépeket, meg mindenhez authentikációs tokent használni, vagy SMS-ben kapott egyszer használatos jelszót.
  • Narxis #4
    Ami késik nem múlik.
  • BB7 #3
    Magyarországon, nem hiszem, hogy akkora lenne a veszély! A Gmail-em nem tartalmaz oly fontos, illetve titkos információkat, a PayPal-em meg bannolták!
  • bakagaijin #2
    Pontosan, elkezdtem olvasni és valahogy nem klappolt. A hwsw-n még normálisan szerepel.
  • Spectrum #1
    "feltörhető az SSL-védelem ..... az SSL encryptiont megkerülve"

    Na most melyik? Segítek: nem törték fel, megkerülték. Tipikus bulvárhír, ami szépen bejárja a világot és értelmetlen félelmeket kelt. Olyan, mint a wpa feltörés videokártyával: lehet, de nem emberi idővel mérve.