Исследователи обнаружили ряд серьезных недостатков в программном обеспечении, которое использует SSL (Secure Sockets Layer) криптографический протокол , обеспечивающий безопасную передачу данных по сети. Протокол использует шифрование с открытым ключем для подтверждения подлинности отправителя и получателя.

  На Blak-Hat конференции в Лас-Вегасе, учене открыли целый ряд атак, которые могут быть использованы для переадресации трафика между веб-сайтами и браузерами.

  Этот тип атаки может позволить злоумышленнику украсть пароли, блокировать онлайн-банкинговые сессии, и даже заставить браузер Firefox обновить вредоносный код, комментируют исследователи. Дело в том, что многие браузеры используют SSL, а так же систему открытых ключей X.509 , которая используется для управления цифровыми сертификатами.

  Исследователи называют такой перехват трафика «нулевым прекращением сертификата». Эта хакерская атака очень похожа на уже известную «SQL ввод», цель которой – обманным путем заставить программу делать то, что обычно ей не следует делать. В ходе исследования выяснилось, что если создавать сертификаты используя нулевые символы \0 , то некоторые программы будут интерпретировать сертификаты. Это связано с тем, что при обнаружении нулевого символа программой чтение текста прекращается.

  Уязвимыми для такой атаки являются практически все браузеры и некоторые почтовые клиенты. Что хуже, было обнаружено, что большинство веб-программ зависит от сертификатов, выданных с с использованием устаревшей криптографической технологией MD2, которые уже давно считаются небезопасными. Алгоритм MD2 использовался компанией VeriSign еще 13 лет назад. VeriSign остановили подписание сертификатов, используя MD2, еще в мае.

  На данный момент только браузер Firefox версии 3.5 не уязвим для атаки «нулевого прекращения сертификата».

  Исследователи пришли к выводу, что использование сертификатов SSL, выдачу которых очень трудно прекратить, с использованием системы X.509, является небезопасным, так как система устарела и должна быть исправлена.