Theo TIM nhận định có khoảng 90% trong top 200,000 websites sử dụng HTTPS đều có khả năng bị tấn công BEAST thông qua SSL.
TIM (Trustworthy Internet Movement) là một tổ chức phi lợi nhuận (https://www.trustworthyinternet.org/), công việc của họ là giải quyết các vấn đề về an ninh mạng, các vấn đề riêng tư và tin cậy.
Báo cáo này dựa trên dữ liệu từ một dự án mới thực hiện của TIM gọi là SSL Pulse, trong đó họ sử dụng công nghệ quyét tự động được phát triển từ nhà cung cấp bảo mật Qualys, cộng với phân tích khoảng 1 triệu websites hàng đầu trên thế giới sử dụng HTTPS đã công bố trên công cụ phân tích web của Alexa.
SSL Pulse kiểm tra các giao thức trên các website có hỗ trợ HTTPS là SSL 2.0/SSL 3.0, TLS 1.0/TLS 1.1,..., độ dài key được sử dụng để đảm bảo an toàn khi truyền thông là 512/1024/2048 bits,... và độ dài ciphers là 256/128 bits,...
Kiểu tấn công BEAST (Browser Exploit Against SSL/TLS) lợi dụng lỗ hổng trong giao thức SSL 3.0, cho phép lấy và giải mã cookie HTTPS trên trình duyệt của user. Sau đó, chiếm quyền điều khiển phiên làm việc của nạn nhân. Để làm được điều này, attacker phải injection iframe hoặc nạp JavaScript BEAST vào trình duyệt của nạn nhân nhưng thực tế để thực hiện điều này đối với BEAST là rất khó.
Kiểu tấn công này đã được fix trong giao thức TLS (Transport Layer Security) 1.1, nhưng hiện còn rất nhiều servers vẫn còn hỗ trợ giao thức cũ, điều đó đồng nghĩa với việc bị attacker khai thác là rất cao, khách hàng có thể bị lừa truy cập vào những servers có chứa HTTPS giả mạo ngay cả khi bản thân họ đang sử dụng SSL/TLS an toàn.
Ảnh: Thehackernews
Cũng vì những lí do đó nên TIM đã quyết định thành lập một nhóm đặc biệt quy tụ các chuyên gia bảo mật có nhiệm vụ xem xét các vấn đề quản trị SSL và tăng cường đề xuất các giải pháp mới phát hiện sớm lỗ hổng đối với cả SSL và hệ thống CA, giảm thiểu rủi ro. Như trường hợp DigiNotar, một trong những tổ chức cấp CA đã bị phá sản sau khi bị hack vào năm ngoái.
Ảnh: F-Secure
Thành viên của nhóm bao gồm:
- Michael Barrett: Giám đốc an ninh thông tin PayPal.
- Taher Elgamal: Một trong những người tạo ra giao thức SSL.
- Adam Langley: Kỹ sư phần mềm Google chịu trách nhiệm SSL trên Chrome và các máy chủ front-end của công ty.
- Moxie Marlinspike: Tác giả dự án Convergence, trong đó cung cấp một phương pháp khác khi cấp chứng chỉ SSL.
- Ivan Ristic: Tác giả dự án Qualys SSL Labs.
- Ryan Hurst: Giám đốc kỹ thuật của công ty GlobalSign.
Tham khảo: http://thehackernews.com
Không có nhận xét nào:
Đăng nhận xét