Новости

Уязвимость в SSL/TLS позволяет раскрыть важные данные

30.03.2015
Уязвимость в SSL/TLS позволяет раскрыть важные данные
Специалист компании Imperva Ицхик Мантин (Itsik Mantin) опубликовал результаты исследования уязвимости, существующей в протоколе шифрования данных SSL/TLS и позволяющей раскрыть конфиденциальную информацию.

Согласно отчету под названием «Атака на SSL с помощью RC4» («Attacking SSL when using RC4»), уязвимость связана с использованием слабозащищенного потокового шифра RC4 (Rivest cipher 4), разработанного ещё в 1987 году.

В отчете отмечается, что эксплуатация данной уязвимости не требует осуществления атаки «человек посередине», а предполагает пассивное наблюдение за SSL/TLS-соединениями, в ходе которого злоумышленник дожидается соединения с использованием слабого ключа шифрования, позволяющего расшифровать важные данные, передаваемые по SSL/TLS, в текстовом виде. Выявление слабого ключа становится возможным благодаря статистическим погрешностям в RC4 ключе, позволяющим обнаружить в первых нескольких байтах ключевого потока предсказуемую информацию: HTTP запрос и образцы обычного текста. Таким образом могут быть перехвачены логин и пароль пользователя, финансовая информация и другие конфиденциальные данные.

В настоящее время RC4 используется для защиты более 30% всего SSL/TLS-трафика в сети Интернет.

Для защиты от уязвимости пользователям рекомендуется отключить алгоритм RC4 в конфигурации TLS браузера. По мнению Мантина, разработчикам браузеров также следует поднять вопрос об удалении RC4 из списков шифров TLS.