Dziurawy SSL

Naukowcy ze szwajcarskiego laboratorium Lasec, zajmującego się technologiami szyfrowania i bezpieczeństwem, wykryli dziurę w popularnym protokole szyfrowania danych SSL, używanym do zabezpieczania połączeń internetowych.

Specjaliści przyznali, że wykryli sposób, który pozwala na rozszyfrowanie haseł do skrzynek mailowych w czasie krótszym niż 1 godzina. Dodali także, że choć protokół SSL również jest używany do szyfrowania informacji na temat transakcji bezgotówkowych, czy bankowości online, to luka którą znaleźli zagraża tylko bezpieczeństwu poczty.

Technologia SSL (Secure Sockets Layer) koduje hasła i inne tajne informacje podczas komunikacji serwera z komputerem użytkownika. Adresy URL stron internetowych chronionych tym protokołem rozpoczynają się od wyrażenia „https://”, a w trakcie ich ładowania i pobytu na nich, w dolnej ramce przeglądarki widoczna jest ikona kłódki.

Naukowcy z laboratorium uzyskali dostęp do niewielkich porcji informacji o hasłach pocztowych użytkowników, którzy w trakcie chronionego połączenia, korzystali z programu Outlook Express Microsoftu. Dostęp do informacji możliwy był w momencie przesyłania haseł do serwera IMAP. Po przeprowadzeniu około 160 prób, z uzyskanych informacji naukowcy byli zdolni do prawidłowego rozszyfrowania hasła. Czynnikiem umożliwiającym odszyfrowanie zakodowanych informacji był fakt, że Outlook co pięć minut bez wiedzy użytkownika przesyła do serwera hasło. Podczas transakcji handlowych, zaszyfrowane dane wysyłane są tylko jeden raz i dlatego są one bezpieczne.

Zespół z Lozanny poinformował o swoim odkryciu Microsoft, który przyznał, że w najnowszej wersji programu dokonano niezbędnych poprawek.

Zobacz również:

Dział Security