Divi datu drošības pētnieki atraduši ievainojamību vienā no galvenajām interneta drošības sistēmām -"Secure Sockets Layer" (SSL) - un pat radījuši uzbrukuma rīka prototipu, ar kuru pārtvert drošu datu pārraides plūsmu, raksta informācijas tehnoloģiju portāls "The Register".

Pētnieki Tais Duongs un Džuliano Rizzo paziņojuši, ka viņi vēlāk šonedēļ kādā datu drošības konferencē Buenosairesā demonstrēs rīka prototipu, ar kuru var atkodēt kodētas datu plūsmas, tostarp, piemēram, maksājumu sistēmas "PayPal" transakcijas.

 

Kā raksta "TheRegister", ievainojamība, kuru izmanto abu pētnieku izstrādātais uzlaušanas rīks, atrodama miljonos it kā drošu interneta vietņu, kuras izmanto konfidenciālu datu apmaiņai un maksājumiem. Tādas arī ir Latvijā, jo galvenokārt ievainojamība atrodama teju visās interneta vietnēs, kas piedāvā tā sauktās drošas pieslēgšanās iespējas.

 

Šādu drošu pieslēgumu parasts lietotājs var pamanīt, ja interneta adresē burtu "http" vietā parādās "https", ar "s" burtu apzīmējot, ka saikne ir droša.

"Datoru drošības tehnoloģiju" (DDT) mārketinga direktors un datu drošības speciālists Valdis Šķesters sarunā ar biznesa portālu "Nozare.lv" sacīja, ka SSL un ar to saistīto kodēšanas paņēmienu pārvarēšana ir ļoti nopietns notikums, sevišķi, ja abu pētnieku izstrādātā metode izplatīsies un to izmantos ļaunprātīgi hakeri.


Šķesters gan teica, ka, visticamāk, interneta lapu saimnieki steigsies labot šo ievainojamību, taču nav skaidrs, cik daudz laika un pūļu tas prasīs.

SSL drošo sakaru tehnoloģijas, visticamāk, izmanto gandrīz visi Latvijas interneta veikali, sacīja Šķesters.

 

Savukārt portāls raksta, ka risinājums drošības apdraudējumam jau eksistē, jo jau sen izstrādāti jauni drošu komunikāciju standarti, kurus Duonga un Rizzo paņēmieni neskar. Viņiem izdevies atkodēt SSL būtiska komponenta tā saukto "Transport Layer Security 1.0" (TLS 1.0) versiju, taču jaunākie TLS1.1 un TLS1.2 pagaidām esot droši.

 

Tomēr, ka raksta "TheRegister", abus jaunos standartus interneta pārlūkos un it kā drošās mājaslapās patlaban tikpat kā neizmanto. Portāls atsaucās uz datu drošības kompānijas "Qualys" pētījumu, kas liecina, ka 49,8 % dažādu mājaslapu uzturoši serveri izmanto veco TLS 1.0, 11,9% ieviesuši jauno standartu, bet 38,2% vispār nepiedāvā drošu sakaru nodibināšanu.

 

Portāls skaidro, ka drošiem sakariem vajadzīgs atbalsts no divām pusēm - no lietotāja interneta pārlūka un no servera, kas uztur mājaslapu. Populārie interneta pārlūki "Firefox" un "Chrome" nav steigušies ieviest TLS1.2, bet atvērtā koda risinājumu krātuve "OpenSSL", kas piedāvā bezmaksas drošības rīkus ieprogrammēšanai serverus arī nepiedāvā jaunāko TLS versiju. Savukārt daži pārlūki, piemēram, "Opera", kuros iekļauts TLS1.2, nespēj droši "sarunāties" ar mājaslapām, kuras šo standartu nepiedāvā.

 

Situāciju arī sarežģī apstāklis, ka TLS1.1 vai TLS1.2 ieviešana varētu traucēt darboties citām tehnoloģijām un programmatūrai, kas saistīta ar interneta pārlūkiem un drošu sakaru sistēmām, kas izmantotas līdz šim, raksta "TheRegister". TLS.1.2, piemēram, izjauc pārlūka "Chrome" darbības "paātrinātāju", kas palīdz veidot drošas saiknes, izmantojot līdzšinējās tehnoloģijas.

Ziņu sagatavoja:
© Nozare.lv

Tagi: Informācijas tehnoloģijas, Datu drošība, Interneta drošības sistēmas