Technologie: Poodle zjadł SSL 3.0

BANK 2015/02

Hakerzy, łamiąc zabezpieczenia, wpłynęli na zwiększenie poziomu bezpieczeństwa sieciowych transakcji.

Hakerzy, łamiąc zabezpieczenia, wpłynęli na zwiększenie poziomu bezpieczeństwa sieciowych transakcji.

Marcin Podleśny

W internecie zachodzą zmiany. Jednak nie każdy je zauważył. Tak było w przypadku końca protokołu szyfrującego SSL 3.0, o którego mocy do niedawna byliśmy przekonani i przekonywani. Mający 18 lat protokół padł ofiarą ataku hakerów i powinien zniknąć. Zmiana jest spowodowana ujawnionym przez Google atakiem na protokół SSL 3.0, nazwanym POODLE (Padding Oracle On Downgraded Legacy Encryption).

Nie celuje on w bezpieczeństwo serwerów, a przeglądarek użytkowników. Google opublikowało dokument, z którego wniosek jest krótki - błąd wynika z konstrukcji protokołu i nie da się go załatać, a więc należy jak najszybciej wyłączyć obsługę SSL 3.0 w każdym programie, który go wspiera. Jak dowiadujemy się ze strony internetowej Rządowego Zespołu Reagowania na Incydenty Komputerowe, POODLE pozwala atakującemu na odszyfrowanie danych przekazywanych za pomocą połą czenia SSL 3.0. Większość zabezpieczonych połączeń używa protokołu TLS, który jest następcą protokołu SSL, lecz część przeglądarek internetowych i serwerów w przypadku, gdy występuje problem z wynegocjowaniem sesji TLS, zaczyna korzystać z podatnego protokołu SSL 3.0, tym samym narażając użytkowników na atak - czytamy w raporcie. Jak przebiega atak? Atakujący musi znaleźć się w środku komunikacji pomiędzy ofiarą a serwerem, na którym ofiara ma konto (atak określany mianem Man in the Middle). Może to zrobić, wstrzykując na stronę złośliwy JavaScript za pomocą podatności na stronie lub kontrolując Wi-Fi, przez które łączy się ofiara i wstrzykując swój kod w nieszyfrowane połączenie. Złośliwy JavaScript generuje zapytania GET po HTTPS do strony (np. banku), na której uwierzytelniona jest ofiara (tj. posiada ciasteczko sesyjne z flagą Secure).

Banki bez strat

Serwisy polskich banków są zaprojektowane tak, aby praktycznie każdą akcję użytkownika potwierdzać dodatkowym kodem. Nie dadzą więc atakującemu dużego pola do popisu. Będzie jedynie mógł podejrzeć saldo i część danych. POODLE nie można jednak zbagatelizować. Haker mógłby spowodować spore szkody, np. złośliwie przewalutować środki, przerzucając je pomiędzy rachunkiem głównym a walutowym, ponieważ przelewy wewnątrz rachunków z reguły nie wymagają dodatkowego uwierzytelnienia. Zagrożenie dość szybko zauważył Związek Banków Polskich i ostrzegł przed nowym zagrożeniem i zalecił nowe kroki mające zwiększyć bezpieczeństwo. Rada Bezpieczeństwa Banków ZBP zaleciła bankom przeprowadzenie analiz i podjęcie działań, np. wyłączenia obsługi protokołu SSL 3.0, a klientom zmodyfikowanie ustawień używanej przeglądarki, czyli wyłączenie używania SSL 2.0 i 3.0, oraz korzystanie z innych przeglądarek internetowych wspierających bezpieczny protokół TLS. Zagrożenie dostrzegły także banki. Wysłały do klientów komunikat, że dostęp do bankowości elektronicznej będzie możliwy wyłącznie poprzez przeglądarki internetopołąwe oraz systemy operacyjne, które wspierają protokół szyfrowania TLS. Oznacza to, że osoby korzystające ze starszych wersji przeglądarek, np. Internet Explorer 6, nie uzyskają dostępu do serwisu internetowego banku. Nie będzie też możliwe złożenie wniosku lub wysłanie zapytania za pośrednictwem formularzy znajdujących się stronie banku.

Sklepy bezpieczniejsze

Drugą, nie mniej istotną od bankowości sferą internetu, są zakupy w sieci. Klienci e-sklepów przez POODLE mogliby stracić pieniądze. Dlatego większość firm obsługujących internetowe transakcje zakończyło obsługę protokołu SSL 3.0. Tak postąpiły m.in. PayPal i polski PayU. Według zapewnień ich przedstawicieli proces wyłączenia obsługi protokołu SSL 3.0 miał przebiegać bardzo sprawnie. Zmiana miała być nieodczuwalna dla konsumentów. Wydaje się, że cyberprzestępcy, tworząc POODLE, wzmocnili bezpieczeństwo internetu, wskazali bowiem na słabości kilkunastoletnich rozwiązań

 

Udostpnij artyku: