Siti web

Foro SSL che incrina il traffico Web protetto

Azure Friday | Azure App Service with Hybrid Connections to On-premises Resources

Azure Friday | Azure App Service with Hybrid Connections to On-premises Resources
Anonim

Una novità critica difetto in SSL o Secure Sockets Layer utilizzato per proteggere il traffico Web per operazioni bancarie online, acquisti e qualsiasi altra connessione https, consente a un utente malintenzionato di penetrare in qualsiasi connessione teoricamente protetta e aggiungere comandi dannosi.

Sfruttare la falla richiede accedere al traffico di rete specifico tra un client, ad esempio un browser Web e un Web o un altro server. Ciò significa che la maggior parte degli utenti domestici probabilmente non verrebbero presi di mira in modo specifico da uno di questi potenziali attacchi man-in-the-middle, secondo Marsh Ray, ricercatore di sicurezza presso PhoneFactor, che fornisce soluzioni di autenticazione a due fattori basate su telefono.

Tuttavia, le aziende e le organizzazioni sono probabilmente obiettivi. Per Ray, qualsiasi traffico protetto da SSL potrebbe potenzialmente essere vulnerabile, sia che si tratti di un sito https, di comunicazioni di database protette o di una connessione di posta elettronica protetta. Il problema non consente la decrittografia e il furto dei dati crittografati con SSL, ma consente invece l'inserimento di qualsiasi comando nel flusso di comunicazioni.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Questo sarebbe abbastanza brutto per il traffico https, in cui è possibile creare un browser Web vittima per inviare dati a un sito controllato da un utente malintenzionato. E potrebbe rivelarsi devastante per un server di database.

Ray afferma che PhoneFactor ha originariamente trovato il difetto ad agosto mentre eseguiva i test di sicurezza interni e lo manteneva tranquillo mentre i produttori e i gruppi di software interessati lavoravano a una correzione. Nel frattempo, però, un ricercatore indipendente ha trovato il difetto e ha infranto le notizie.

Le patch sono in corso ma non ancora disponibili. La soluzione attualmente proposta richiederà l'applicazione di patch a tutte le applicazioni client e server, inclusi browser Web, programmi di posta elettronica e qualsiasi altro programma che utilizza librerie SSL, secondo Ray.

Il post di PhoneFactor sul problema è disponibile sul sito dell'azienda e il ricercatore di sicurezza Chris Paget ha pubblicato i suoi pensieri sull'argomento (scorri verso il basso i commenti per vedere un po 'avanti e indietro tra Ray e Paget). Il servizio di notizie di IDG ha anche una buona storia sull'argomento.