Студент Анил Курмус (Anil Kurmus) подтвердил теорию о потенциальной уязвимости в протоколе SSL (secure sockets layer protocol). Незадолго до этого, стало известно, что существует возможность с помощью перехвата трафика, вставить сообщение в SSL пакет, что впоследствии может привести к дешифровке пароля и логина пользователя.

Автор предположения (исследователь из PhoneFactor) сам не верил в практическое применение уязвимости. «Идея интересна, но, насколько мне известно, большинство людей пользуются SSL способами (почтовые сервера, интернет банки), которые не позволяют использовать уязвимость».

В свою очередь, Анил Курмус нашёл область, превосходно подходящую, для практического применения уязвимости в SSL протоколе. Количеству пользователей ресурса может позавидовать любой банк. Твитер (Twitter), использующий короткие сообщения, каждое из которых содержит логин и пароль пользователя, оказался под ударом. В помощь Анилу пришёл и тот факт, что пользователи ресурса используют приложения, которые не обращают внимания (не сообщают о них пользователю) на ошибки SSL коммуникации.

Команда Twitter, уже закрыла дыру в системе безопасности, но, по мнению Анила, он не первым придумал технику взлома, он просто первым поделился информацией с общественностью.

На данный момент только OpenSSL залатал дыру в соей реализации.

Комментировать

Написал Денис Фокин в 17 Ноябрь 2009 г. 17:38:00 MSK #