SSL a bezpieczeństwo

Pod koniec ubiegłego roku pisaliśmy o sposobie na stworzenie fałszywegocertyfikatu SSL wykorzystując słabość algorytmu kryptograficznegoMD5. Podczas odbywającej się właśnie konferencji Black Hat wWaszyngtonie, Moxie Marlinspike przedstawił kolejną słabość tegoprotokołu. Błąd nie dotyczy o tyle samego protokołu SSL, ile interakcji zestrony użytkownika. Metoda nabiera szczególnego znaczenia, gdyużytkownik odwiedzi niezaszyfrowaną wersję strony, po czym wybierzeikonę prowadzącą do rzekomo bezpiecznej witryny. W tym celuwykorzystywana jest technika przechwytywania ruchu między dwiemastronami bez ich wiedzy, zwaną man in the middle, ale nie stanowizagrożenia dla serwera. Co ważne, w takiej sytuacji nie zostajewyświetlony jakikolwiek komunikat z błędem informującym o ważnościcertyfikatu mimo, że w adresie cały czas wyświetlany jest adreszaczynający się od HTTP. Marlinspike opublikował również narzędzie SSLstrip. Zmienia oneżądania HTTPS na HTTP i stanowi potencjalne zagrożenie dlawszystkich witryn, na których wykorzystywane są połączenia SSL. Jaktwierdzi, wykorzystując przedstawioną technikę udało mu sięzaatakować serwisy takie jak PayPal, Gmail, Ticketmaster iFacebook. Dzięki temu zdobył dane 117 kont e-mail, 16 numerów kartkredytowych, siedmiu loginów PayPal i 300 różnego rodzaju innychelementów. Szczegółowy opis błędu znajduje się na stronie konferencji.