Kolejne luki w SSL

Dan Kaminsky, który w ubiegłym roku odkrył poważną lukę w systemie DNS oraz Moxie Marlinspikeodkryli przed uczestnikami konferencji Black Hat kolejne luki wmetodzie weryfikacji autentyczności witryn opierającej się oprotokół SSL. Marlinspike poinformował o odnalezieniu luki umożliwiającej nawykonanie tzw. ataku man-in-the-middle. Umożliwia on podsłuchaniezaszyfrowanych danych dzięki wykorzystaniu mechanizmuautomatycznych aktualizacji w przeglądarce Firefox, który polega naSSL. Internet Explorer również jest podatny na tego typu atak, alejak zaznacza Marlinspike, jest to trudniejsze - przeglądarkaMicrosoftu stosuje bowiem dodatkowe zabezpieczenia. Prawdopodobnienarażone jest także Chrome, ale nie wykonano analizy i testów natej przeglądarce. Tak czy inaczej wszyscy producenci powinni wedługMarlinspike'a wprowadzić zmiany w implementacji SSL. W międzyczasie Kaminsky zdołał uzyskać od urzędu certyfikacjicertyfikat dla domeny, której nie jest właścicielem. Wszystkodzięki luce w protokole X.509 wykorzystywanym w procesiegenerowania certyfikatów. Do testów użyto nieistniejącej nazwydomeny. Według Kaminskiego, autentyczność witryny obecniepotwierdzają praktycznie jedynie certyfikaty z rozszerzonąweryfikacją (w wielu przeglądarkach podczas odwiedzania takiejwitryny pasek adresu zmienia kolor na zielony). Zasugerował także,że sporo tego typu problemów mogłoby być rozwiązanych dziękiszerszemu zastosowaniu DNSSEC. Exploit dla luki w Firefoksie będzie opublikowany przezMarlinspike'a po wydaniu poprawki przez Mozillę - prawdopodobnie wciągu tygodnia.