Egy biztonsági kutató sikeresen használta ki a Twitter hekkeléséhez azt az SSL-lel összefüggő sebezhetőséget, amelyről nem régen hullt le a lepel.

Az SSL (Secure Sockets Layer) protokoll folyamatosan a biztonsági szakértők és a hekkerek figyelmének középpontjában áll. Ennek leginkább az az oka, hogy az SSL rengeteg olyan webes kommunikációban vállal kulcsfontosságú szerepet, amelyek során bizalmas adatok is továbbításra kerülnek. Így például az online banki szolgáltatások esetében is használatos. Ha az internetes bűnözőknek sikerülne olyan módszert találniuk, amely - akár egy sebezhetőség által is - meggyengítené az SSL-alapú adatforgalom biztonságát, akkor rengeteg információhoz férhetnének hozzá. Ezért aztán nem csoda, hogy ha egy SSL-lel kicsit is összefüggő sérülékenység lát napvilágot, akkor arra sokan felkapják a fejüket. Ez történt nemrégen is.

A PhoneFactor cég szakemberei még augusztus folyamán egy olyan biztonsági hiányosságra lettek figyelmesek, amely az SSL esetében használható ki. A probléma súlyossága miatt a felfedezésüket jelezték az ICASI (Industry Consortium for Advancement of Security on the Internet) szervezetnek, amelynek tagjai (Cisco, IBM, Intel, Microsoft, Juniper, Nokia) megkezdték a vizsgálatokat. Az ICASI célja, hogy jelentős biztonsági problémák esetén segítséget nyújtson a védelmi megoldások kialakításában.

A PhoneFactor által feltárt sebezhetőség kapcsán azonban nem sikerült minden óvintézkedést megtenni. Noha a csoport nagy egyetértésben kidolgozta a hiba javításának lehetőségeit, és kockázatcsökkentő javaslatokat is tett, ez most mégsem bizonyult elegendőnek.  November 5-én ugyanis az Interneten számos olyan információ vált elérhetővé, amelyek segíthetnek a sérülékenység kihasználásában. November 11-én az ICASI hivatalosan is megerősítette a probléma létezését. Időközben a nyílt forráskódú megoldások fejlesztői is igyekeztek mindent megtenni annak érdekében, hogy az SSL-lel kapcsolatos kódjaikat módosítsák.

Az ICASI szerint a biztonsági hiba a TLS (Transport Layer Security) és SSL kapcsán is felmerül. A támadóknak MITM (Man-In-The-Middle) támadást kell végrehajtaniuk ahhoz, hogy ki tudják aknázni a sérülékenységben rejlő lehetőségeket. Az ICASI megjegyezte, hogy ezúttal sem egy titkosítással összefüggő sebezhetőségről van szó, ugyanis a rendellenesség a korábban authentikált session-ök TLS általi nem megfelelő kezelésére vezethető vissza. Ezért a támadó ugyan nem olvashatja vagy módosíthatja a titkosított adatforgalmat, de az online kommunikációba tetszőleges adatokat szúrhat be.

Anil Kurmus biztonsági szakértő néhány napja azt is bebizonyította, hogy az SSL-lel kapcsolatos biztonsági problémák a való életben is okozhatnak kellemetlenséget. A sérülékenység kihasználásához a Twittert szemelte ki magának, amelynek esetében - egy MITM támadás keretében - sikeresen meghekkelt egy Twitter felhasználói fiókot, majd üzeneteket küldött. Azóta a Twitter üzemeltetője már befoltozta a biztonsági rést.

Tom Cross, az IBM egyik szakértője nemrégen még úgy vélekedett, hogy az SSL sérülékenység a legfontosabb webes alkalmazásokat nem érinti, de azóta a szakember véleménye megváltozott. "Sajnos a helyzet rosszabb, mint azt gondoltam" - mondta Cross. A jelenlegi információk szerint ugyanis úgy tűnik, hogy a webmail szolgáltatások esetében is jelent némi kockázatot a sebezhetőség. Egyes biztonsági szakértők pedig attól tartanak, hogy egyéb alkalmazások, illetve adatbázisok kapcsán is felmerülhetnek kockázatok.

A hír megjelenését a biztonságportál támogatta.