Våra senaste 
Av
| 
"Tls ger en mycket bra säkerhet, men man måste vara noga med konfigurationen", säger Jakob Schlyter.
Hypertext transfer protocol secure, https, har hittills fungerat som en säker ingång till olika e-handelsplatser, banker och andra webbaserade tjänster. Nu påstår sig säkerhetsforskarna Juliano Rizzo och Thai Duong hittat en metod för att dekryptera innehållet i de cookies som skapas i samband med https-inloggning.
Duon har skapat attackverktyget Crime, som senare i september ska presenteras på säkerhetskonferensen Ekoparty i Argentina. Crime har funktioner för att avslöja brister i protokollen transport layer security, tls, samt secure sockets layer, ssl, som båda används i https.
Till IDG News säger Juliano Rizzo att alla versioner av tls och ssl har allvarliga brister, men för att kunna utnyttja verktyg som Crime måste de aktiveras på användarnas webbläsare. Det kan ske genom att locka offret med länkar till skumma webbplatser och risken finns att ett helt nätverk kan drabbas om en enskild ansluten användare klickar på fel länk. Lättast är det att få en ingång via öppna, trådlösa nätverk men forskarna noterar att det även går att komma in via vanliga nät.
– Det kan mycket väl vara så att det finns oupptäckta svagheter i tls, även om omständigheterna ofta måste vara speciella för att de ska gå att utnyttja. I tidigare fall har det funnits relativt enkla sätt att lösa problemet, men det gäller under förutsättning att klienter och servrar rättas, något som ofta tar lång tid, säger Jakob Schlyter, säkerhetskonsult på Kirei.
Enligt Juliano Rizzo har både Mozilla och Google fått information om det nya hotet och ska ha börjat förbereda för spärrmekanismer i Firefox och Chrome.
Juliano Rizzo och Thai Duong presenterade redan förra året ett attackverktyg som man kallade Beast som står för Browser exploit against ssl/tls, som även det hade funktioner för att dekryptera https. Då uppgraderades tls till version 1.1, och senare 1.2, men Crime ska tydligen kunna knäcka även de versionerna. Enligt en analys från SSL Pulse, som övervakar implementationer av ssl och tls, är det fortfarande 72 procent av de 184 000 största https-säkrade webbplatserna som inte skyddat sig mot intrångsverktyg som Beast.
– Tls ger en mycket bra säkerhet, men man måste vara noga med konfigurationen. Tyvärr är det fortfarande många som accepterar de ofta rätt dåliga standardinställningarna, säger Jakob Schlyter.
Duon har skapat attackverktyget Crime, som senare i september ska presenteras på säkerhetskonferensen Ekoparty i Argentina. Crime har funktioner för att avslöja brister i protokollen transport layer security, tls, samt secure sockets layer, ssl, som båda används i https.
Till IDG News säger Juliano Rizzo att alla versioner av tls och ssl har allvarliga brister, men för att kunna utnyttja verktyg som Crime måste de aktiveras på användarnas webbläsare. Det kan ske genom att locka offret med länkar till skumma webbplatser och risken finns att ett helt nätverk kan drabbas om en enskild ansluten användare klickar på fel länk. Lättast är det att få en ingång via öppna, trådlösa nätverk men forskarna noterar att det även går att komma in via vanliga nät.
– Det kan mycket väl vara så att det finns oupptäckta svagheter i tls, även om omständigheterna ofta måste vara speciella för att de ska gå att utnyttja. I tidigare fall har det funnits relativt enkla sätt att lösa problemet, men det gäller under förutsättning att klienter och servrar rättas, något som ofta tar lång tid, säger Jakob Schlyter, säkerhetskonsult på Kirei.
Enligt Juliano Rizzo har både Mozilla och Google fått information om det nya hotet och ska ha börjat förbereda för spärrmekanismer i Firefox och Chrome.
Juliano Rizzo och Thai Duong presenterade redan förra året ett attackverktyg som man kallade Beast som står för Browser exploit against ssl/tls, som även det hade funktioner för att dekryptera https. Då uppgraderades tls till version 1.1, och senare 1.2, men Crime ska tydligen kunna knäcka även de versionerna. Enligt en analys från SSL Pulse, som övervakar implementationer av ssl och tls, är det fortfarande 72 procent av de 184 000 största https-säkrade webbplatserna som inte skyddat sig mot intrångsverktyg som Beast.
– Tls ger en mycket bra säkerhet, men man måste vara noga med konfigurationen. Tyvärr är det fortfarande många som accepterar de ofta rätt dåliga standardinställningarna, säger Jakob Schlyter.
