SSL/TLS saldırıları güvenli haberleşmeyi hala tehdit ediyor
Eylül 21, 2011 yazan Ertan Kurt
İki güvenlik araştırmacısı çoğu web sitesi ve browser arasındaki güvenli haberleşmelerin ele geçirilebileceğini göstermek için SSL/TLSe karşı bir saldırı demosu yapmaya hazırlanıyor.
Kripto alanında Juliano Rizzo ve Thai Duongun kullandığı metod block-wise chosen-plaintext saldırısı olarak adlandırılıyor ve uzun zamandır biliniyor.
TLS protokolünün 1.1 ve 1.2 gibi 2006 sonrası sürümleri bundan etkilenmiyor fakat bu çok da farketmiyor çünkü çoğu web browser ve yazılım TLS 1.0 veya SSL protokolünün eski sürümlerini kullanmaya devam ediyor.
İki araştırmacı BEAST (Browser Exploit Against SSL/TLS) olarak adlandırdıkları saldırılarını bu cuma günü Buenos Airesdeki ekoparty güvenlik konferansında sunmayı planlıyor.
Duong: "BEASTin yararlandığı güvenlik açığının SSLin ilk sürümünden beri olduğunu belirtmekte yarar var. Kripto ve güvenlik camiasındaki çoğu kişi bunun exploit edilemeyeceği kanısında idi, bu yüzden de uzun yıllardır göz ardı ediliyor."
BEAST saldırganların man-in-the-middle pozisyonunda olmasını gerektiriyor. Bu çoğu zaman hedefleri ile aynı ağda bulunup browser isteklerini yakalayabilmeleri anlamına geliyor.
BEAST birincisi kurbanın web browserı tarafından yüklenecek olan kod ve diğeri de HTTPS oturum cookielerini yakalayıp dekriptolayan olmak üzere iki bileşenden oluşuyor. Araştırmacılar herhangi bir güvenli oturum cookiesini averaj olarak 5 dakikada dekriptolayabildiklerini söylüyorlar.
Duong: "Diğer saldırılar SSLin doğruluğuna odaklanırken BEAST protokolün gizliliğine saldırıyor. Bildiğimiz kadarıyla BEAST HTTPS isteklerini gerçekten dekriptolayan ilk saldırıyı gerçekleştiriyor."
Duong problemi düzeltmenin protokolün tamamının elden geçirilmesini gerektirdiğini de ekliyor ve mayıs ayından beri browser ve SSL üretici firmalarıyla yaptıkları çalışmaların tüm mevcut uygulamarın güvenliğini sağlayacak tam bir çözüm çıkartmadığını söylüyor.
Geçen sene Juliano Rizzo ve Thai Duong ASP.NET uygulamalarına karşı bir padding oracle saldırısı oluşturmuşlar ve bu da onlara en iyi sunucu-tarafı exploit için Pwnie ödülü kazandırmıştı.
Eylül 21, 2011 yazan Ertan Kurt
İki güvenlik araştırmacısı çoğu web sitesi ve browser arasındaki güvenli haberleşmelerin ele geçirilebileceğini göstermek için SSL/TLSe karşı bir saldırı demosu yapmaya hazırlanıyor.
Kripto alanında Juliano Rizzo ve Thai Duongun kullandığı metod block-wise chosen-plaintext saldırısı olarak adlandırılıyor ve uzun zamandır biliniyor.
TLS protokolünün 1.1 ve 1.2 gibi 2006 sonrası sürümleri bundan etkilenmiyor fakat bu çok da farketmiyor çünkü çoğu web browser ve yazılım TLS 1.0 veya SSL protokolünün eski sürümlerini kullanmaya devam ediyor.
İki araştırmacı BEAST (Browser Exploit Against SSL/TLS) olarak adlandırdıkları saldırılarını bu cuma günü Buenos Airesdeki ekoparty güvenlik konferansında sunmayı planlıyor.
Duong: "BEASTin yararlandığı güvenlik açığının SSLin ilk sürümünden beri olduğunu belirtmekte yarar var. Kripto ve güvenlik camiasındaki çoğu kişi bunun exploit edilemeyeceği kanısında idi, bu yüzden de uzun yıllardır göz ardı ediliyor."
BEAST saldırganların man-in-the-middle pozisyonunda olmasını gerektiriyor. Bu çoğu zaman hedefleri ile aynı ağda bulunup browser isteklerini yakalayabilmeleri anlamına geliyor.
BEAST birincisi kurbanın web browserı tarafından yüklenecek olan kod ve diğeri de HTTPS oturum cookielerini yakalayıp dekriptolayan olmak üzere iki bileşenden oluşuyor. Araştırmacılar herhangi bir güvenli oturum cookiesini averaj olarak 5 dakikada dekriptolayabildiklerini söylüyorlar.
Duong: "Diğer saldırılar SSLin doğruluğuna odaklanırken BEAST protokolün gizliliğine saldırıyor. Bildiğimiz kadarıyla BEAST HTTPS isteklerini gerçekten dekriptolayan ilk saldırıyı gerçekleştiriyor."
Duong problemi düzeltmenin protokolün tamamının elden geçirilmesini gerektirdiğini de ekliyor ve mayıs ayından beri browser ve SSL üretici firmalarıyla yaptıkları çalışmaların tüm mevcut uygulamarın güvenliğini sağlayacak tam bir çözüm çıkartmadığını söylüyor.
Geçen sene Juliano Rizzo ve Thai Duong ASP.NET uygulamalarına karşı bir padding oracle saldırısı oluşturmuşlar ve bu da onlara en iyi sunucu-tarafı exploit için Pwnie ödülü kazandırmıştı.
Kaynak