Успішна атака на SSL

22:46 03.03.2009

Дослідник, що називає себе Moxie Marlinspike, продемонстрував на черговій BlackHat-конференції утиліту SSLstrip, що реалізує техніку перехоплення SSL-з’єднань, засновану на тому факті, що, як правило, перед початком взаємодії по https і встановленню SSL-з’єднання користувачі заходять на деяку звичайну веб-сторінку за допомогою незахищеного http-з’єднання, де і натискають заповітну кнопку Login.

Привабливість цієї атаки в тім, що власне SSL-з’єднання ніхто й не атакує. SSLstrip працює як звичайний проксі, що відслідковує http-трафік. Хоча користувач щиро вважає, що взаємодіє із сайтом по https, насправді він спілкується з SSLstrip по простому http, ну а та у свою чергу чесно йде на сайт по https від імені користувача. Шляхом підміни favicon навіть виходить імітувати значок захищеного з’єднання, ну а http там у рядку адреси чи https - на таку дрібницю не кожний зверне увагу.

За словами автора атаки, за допомогою SSLstrip за добу йому вдалося зібрати 117 паролів до поштових аккаунтів, сім логінів PayPal і 16 номерів кредитних карт.

По матеріалам http://bugtraq.ru.


Leave a Reply

You must be logged in to post a comment.