Команда сотрудников Федерального Технологического института в Лозанне обнаружила "дыру" в протоколе SSL, повсеместно используемом для проведения электронных платежей и работы с интернет-почтой. По всей видимости, пойти на "приступ" SSL ученых заставила недавняя история со взломом процессингового центра и кражей 8 миллионов счетов клиентов ведущих мировых платежных систем.
Многие посетители Интернета, сами того не осознавая, ежедневно пользуются технологией SSL (Secure Socket Layer) при отправке денег со своей кредитной карточки или чтении электронной корреспонденции - в тех случаях, когда требуется обеспечить повышенную безопасность соединения. Самые наблюдательные пользователи могут заметить, что при такой связи адрес интернет-страницы начинается не с "http", а с "https", а в нижней строке браузера появляется изображение маленького симпатичного замочка. До сих пор считалось, что сам по себе протокол SSL дает стопроцентную гарантию конфиденциальности, а возможные проблемы коренятся в его неправильном использовании.
Оказалось, что менее чем за час "лабораторной работы", после посылки серверу всего 160 провокационных запросов и анализа его ответов, ученые определили восемь знаков пароля, защищенного 1024-битным ключом шифрования SSL. Как выяснилось, изъян коренился именно в самом протоколе передачи данных.
Не теряя времени на разглашение своих достижений и долгие поклоны, швейцарцы связались с разработчиками SSL, которые обещали в кратчайшие сроки заткнуть "дыру". Стоит упомянуть, что был взломан тот тип SSL, что используется для доступа к интернет-почте. При проведении банковских платежей и операций по кредитке обмен информацией между сервером и клиентом происходит несколько иначе, но кто знает: возможно хакеры оказались настойчивее ученых мужей и не пожалели еще часа-другого онлайнового времени.
rbn
