A szakértő bemutatta a Microsoft SSL implementáció hibáját

Microsoft, Windows

"Expert demonstrates Microsoft hack" - olvashatjuk a ZDNet oldalain. Biztonsági szoftvereket széles körben használnak a bank szakmában, e-commerce-ben. Úgy tűnik, hogy azok a bankok, webes áruházak bajban vannak, akik a Microsft termékeit használják.

Egy svég biztonsági szakértő - aki eltitkolta ugyan nevét, de secutity körökben jól ismert - a Reuters-nek bemutatta, hogyan is lehet megtörni pár perc alatt a Microsoft által gyártott Web szervert. A szakértő bemutatta, hogy hogyan lehet feltörni a bankok biztonsági rendszerét. Pár perc alatt betört a 4 legnagyobb svéd bank közül háromba. Utána bemutatta, hogy hogyan tünteti el a nyomait, hogy nehéz legyen felfedezni a betörést.A cracker-szakértő a két hete ismertté vált biztonsági hibát használta ki a Microsoft SSL implementációjában.

"Ez egy olyan protokol, amelyen nagyon könnyű keresztülmenni. Ez nem nyújt semmilyen biztonságot az ügyfeleknek." - mondta a szakértő.

A Microsoft reagált a hibára, elmondásuk alapján kiderült, hogy már készítik a javítást a hibára.

Kérdés, hogy ez alatt az idő alatt mennyi károsult ügyfél lesz?

A cikket elolvashatod itt.

( Friczy | 2002. 08. 29., cs – 08:56 )

A cikk olvastán úgy érzem, hogy itt két dolog keverdik (az eredeti cikkben is). Az egyik az SSL implementáció hibája, a másik a rosszul beállított IIS server. Az, hogy az Internet Explorer érvényesnek fogad el olyan SSL kulcsot, amelyet ssl hitelesítésre nem jogosító certificate-tel írtak alá, az SSL implementáció hibája. Ez a hiba nagyon jó lehetőséget ad MITM (man in the middle) típusú támadásokra, abban az esetben, ha a támadó egyidejűleg sikeres dns-spoofot is alkalmaz.

A cikkben említett betörés során azonban ennél többet valósítottak meg:

"Using the method, an attacker can log in as a Web site customer using certificate authentication and gain access to the Web site's root directory and, from there, enter the organization's internal network."

Ezt viszont elég nehezen lehetne megvalósítani önmagában az SSL implementáció hibájának kihasználásával.

Szeretem az ilyen cikkeket, mert ezek sem kevésbé ködösítenek, mint a Microsoft, és az ilyen tálalásokkal megnehezítik a tisztánlátást, és így a hibák tényleges kijavítását is. :(

A meg nem nevezett cracker ráadásul ilyen jó kijelentéseket tesz, hogy a protokol nem nyújt biztonságot az ügyfeleknek. Mintha ö is elfedkezett volna arról, hogy nem az SSL protokol, hanem annak MS-implementációja a hibás.

Na mindegy, befejezem az offtopicot :)