It-säkerhetsforskare har upptäckt en allvarlig sårbarhet rörande secure socets layer (ssl)-protokollet, som många sajter använder för att hindra avlyssning över internet. Det skriver The Register om den sårbarhet som i en nyligen utförd demonstration uppges göra det möjligt att dekryptera anslutningar mellan webbservrar och webbläsare.
Sårbarheten finns i version 1.0 av transport layer security (tls), som är efterföljaren till ssl, internets grundläggande säkerhetskomponent för skyddade dataförbindelser.
Även om version 1.1 och 1.2 av tls inte är berörda av detta, saknar de bra stöd hos webbläsare och sajter. Det innebär att transaktioner mot Paypal, Gmail och mer eller mindre alla andra sajter, är sårbara för avlyssning, varnar forskarna.
Det är it-säkerhetsforskarna Thai Duong och Juliano Rizzo som upptäckt detta och som även demonstrerat angreppet via en proof-of-concept i sammanband med it-säkerhetskonferensen Ekoparty förra veckan. Själva attacken har forskarna döpt till BEAST, som står för Browser Exploit Against SSL/TLS.
Grunden i attacken bygger på ett javascript som fungerar tillsammans med en nätverksavlyssnande komponent. Dessa fångar upp och dekrypterar de cookie-filer som används av sajter och webbläsare.
Enligt forskarna ska attacken fungera även mot sajter som nyttjar http strict transport security, som hindrar vissa sidor från att visas om de inte skyddas av ssl.
”BEAST skiljer sig från de flesta publicerade attacker mot https. Medan andra sårbarhetsangrepp fokuserar på autentiseringsegenskaper hos ssl, angriper BEAST protokollets sekretess. Så vitt vi vet är vår attack också den första som innefattar dekryptering av http-förfrågningar”, uppger Duong till The Register.
Enligt Rizzo ska det endast ta 10 minuter att dekryptera en cookie-fil, via deras attack. De första försöken krävde minst en halvtimma för dekryptering, men har sedan dess förfinats av forskarna.
Även om tls 1.1, som varit tillgängligt sedan 2006, inte är berörd av sårbarheten, förlitar sig nästan alla ssl-anslutningar på den sårbara 1.0-versionen. Detta enligt analyser från it-säkerhetsföretaget Qualys.
Google har nyligen uppdaterat den senaste versionen av Chrome för att motverka attacken. Samma skydd finns även för Internet Explorer, men det är inte aktiverat som standard. Opera har också stöd för tls 1.2, men precis som för Microsofts webbläsaren är detta inte aktiverat som standard.
En teknisk detaljerad genomgång av detta finns också att läsa på sajten Torproject (se länk).
