SSL şifrelemesi TLS 1.0 ve daha eski sürümlerde tespit edilen bir güvenlik zaafiyeti ile kırılabilmekte. TLS 1.1 ve 1.2’nin güvenli olduğunu söylenilmekte. Ancak, web sayfalarının büyük kısmı TLS 1.1 ve 1.2 sürümünü desteklemediği için bu güvenlik zaafiyetinden etkilendiler. Bunların arasında Paypal ve Gmail gibi önemli web siteleri olduğunu da hatırlatmak isterim. Bir güvenlik konferansında açıklanan bu güvenlik açığı sayesinde, cookie (çerezler) çözülerek kişisel bilgilere ulaşıldı ve Paypal, Gmail gibi kullanıcı hesapları kırılabiliyor.
Güvenlik araştırmacıları çoğu web sayfasının bu saldırıya açık olduğunu bir güvenlik konferansında gösterdiler. Etkilenen protokol TLS’in 2006 öncesi sürümleri şuan bu saldırıya açık bir halde hedef gösterilmekte. Beast olarak isimlendirilen bu saldırı tekniği için saldırgan ve kurbanların aynı ağda olmaları gerekiyor. (Man in the middle)
HTTPS, yani güvenli veri aktarım sitelerinde de çalışan yeni yöntemin duyurulmasından sonra, bu tür saldırılara karşı güvenlik güncellemeleri piyasaya sürülüyor.
Şifreyi kırdılar…
Ay başında Google.com ve diğer birçok siteye saldırıp gizli bilgileri çalan bir zararlı yazılım sayesinde TLS 1.0’ın zaafiyetleri kullanıldı. Bunu DigiNotar güvenlik sertifikasını çözerek aştıkları belirtiliyor.
BEAST yöntemi sayesinde şifreler küçük paketlere bölünerek kırılıyor. 1 baytlık veriyi 2 saniyede kıran hackerler 1000-2000 karakterlik kimlik doğrulama sistemi kullanan bir PayPal hesabını ise yarım saatte kırabiliyor. Hatta bu süreyi 10 dakikaya indirdikleri şu sıralarda konuşulmakta. Bu yöntemde SOP’u atlatmak için bir Java applet kullanılmakta.
Saldırgan, hedef bilgisayarın internet tarayıcısına (browser) bir Javascript kodu bulaştırıyor. Bu kod öncelikle ağınızı tarıyor ve HTTPS bağlantınızı kırıyor. Ardından tüm bilgileriniz saldırganın eline geçiyor. PayPal hesaplarını 10 dakikada kırabiliyorlarsa bunun şimdiye kadar görülmemiş ölçüde bir risk oluşturduğunu söyleyebiliriz.
Firefox geliştiricileri ise kullanıcılarını korumak için Web browser’in Java desteğini bile bırakabileceklerini ciddi olarak düşünmekteler. Bu saldırıdan korunmak için kurban bilgisayarına bulaşan Javascript’in çalıştırılmaması gerekli. Bu da Firefox geliştiricileri tarafından bu saldırılardan korunmak için Java desteğinin tamamen kesilmesi gibi bir düşünceye yön vermekte. Firefox forumlarında yapılan açıklamalara göre Java Plugin’in tüm sürümlerini bloke etmeleri gerektiği belirtilmekte.
Google Chrome cephesine baktığımız zaman beta sürümlerinin farklı bir yöntemle güncellenerek korumaya çalışıldığı söylenilmekte. Chrome’un yeni savunması ile Beast’ın şifre kırma işlemi kafa karıştırıcı bilgilerle etkisiz hale getirilmeye çalışılmakta.
Microsoft ise gecikmeden Internet Explorer üzerindeki protokolü TLS 1.1’e zorlayan bir Fix aracı yayınladı. Bu aracı sisteminize yükleyerek Internet Explorer’in etkilenmesini engelleyebilirsiniz.
http://download.microsoft.com/
Ek Açıklama;
Aslında direk ne java ne de javascript ile alakalı değil, TLS 1.0’in kullandığı protokoldeki CBS dedikleri bir şifreleme olması. Fakat javascript’de exploitin bir parçası ve javascript kullandıkları exploit Firefoxta etkili olmuyor sadece Internet Explorer’da etkili oluyor.
Firefox içinde javascript yerine java kullanıyorlar. Java’nin problemi ise tarayıcıdan bağımsız kendi TLS stack’i olması ve stack’in sadece TLS 1.0 destekliyor olması. Kısacası bu konu çok kolay çözülecek bir durum değil. Gündemi epeyli meşgul edecek hatta üzerinde uzmanların 4-5 ay uğraşabilecekleri bir durumda. Çok yakında bunu illegal kişilerin yanı sıra devletler, istihbarat teşkilatları ve diğer bilgi toplayanların örgütleri de etkileyecek bir durum…
merhaba ben, download.microsoft.com/MicrosoftFixit50773 buraya tıkladım ama engellendi yazıyor bir türlü indiremiyorum Allah rızası için yardım edin… nolur…
Bu şifreyi kır