Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 25.10.2011, 19:26   #455
просто® Форумчанин™
 
Аватар для Igoranama

 
Регистрация: 29.06.2011
Адрес: Россия Матушка
Сообщений: 2 898

Igoranama вне форума

IT-безопасность-свежие новости.


Выпущена DoS утилита для SSL


Хакеры выпустили ПО, которое, по их словам, позволяет одному компьютеру вывести из строя серверы посредством эксплуатации подтвержденной уязвимости в реализации secure sockets layer.

Немецкая группировка, известная как The Hacker's Choice, выпустила инструмент в понедельник, пытаясь привлечь внимание к "продолжительной череде уязвимостей в SSL", который веб-сайты используют для защиты персональных данных.

"Мы надеемся, что сомнительная безопасность SSL не останется незамеченной", - сообщил в блоге неназванный член группировки. "Индустрия должна вмешаться и устранить проблему, чтобы граждане снова были в безопасности. SSL использует устаревший метод защиты приватных данных, который является сложным, нецелесообразным и неподходящим для 21 века".

Инструмент THC-SSL-DOS позволяет одному компьютеру со скромным интернет-соединением сокрушить намного более мощный сервер с большей пропускной способностью, но только тогда, когда сервер поддерживает повторное подтверждение SSL (SSL renegotiation), говорится в сообщении, опубликованном в понедельник. Повторное подтверждение используется для создания нового секретного ключа, обеспечивающего безопасность коммуникаций после того, как зашифрованная сессия уже была начата. Переподтверждение было в основе уязвимости, обнаруженной в 2009 году. Данная уязвимость позволяла злоумышленникам внедрять текст в зашифрованный трафик, проходящий между двумя конечными точками.

"Интересно то, что функция безопасности, которая была предназначена для обеспечения большей безопасности SSL, на самом деле делает его более уязвимым перед атакой", - заявил член группировки.

Инструмент позволяет простому лэптопу с стандартным DSL соединением сокрушить обычный веб-сервер. Выведение из строя более крупной серверной фермы, использующей балансировку нагрузки, требует около 20 лэптопов и скорость примерно 120 кбит/с. Даже если сайты не поддерживают SSL renegotiation, они все же могут быть поражены THC-SSL-DOS, хотя атака должна быть модифицирована.

Инструмент доступен как бинарный файл Windows и исходный код Unix.

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.
__________________
Молодость, это одно из средств, чтобы встретить безбедную и беззаботную старость...
http://s017.radikal.ru/i417/1111/21/74a8009ce72c.gif
  Ответить с цитированием
Пользователь сказал cпасибо:
 
Яндекс.Метрика