Все новости от 19 мая 2000 г.

Netscape secure socket не такой уж secure

Подобно стражнику, заснувшему на посту, система управления сертификатами Netscape оставляет некоторые двери без охраны. 12 мая CERT — организация, занимающаяся проблемами защиты данных в Интернете, — сообщила о неправильном поведении браузера Netscape в отношении проверки сертификатов SSL (Secure Socket Layer). Потенциально этот дефект оставляет конфиденциальные данные участников электронной коммерции беззащитными для злоумышленников. Выполнив собственные тесты, BugNet убедилась в наличии дефекта и проверила работу недавно выпущенной Netscape поправки.

Проблема не в том, что Netscape Communicator не проверяет сертификаты SSL, а в том, как он это делает. Из-за неправильного алгоритма он не ставит пользователя в известность о недостоверном сертификате, что позволяет злонамеренному оператору веб-сайта присвоить лигитимное имя и собирать ценную информацию, такую как номера кредитных карт и пароли.

Задача SSL гарантировать пользователям веба, что они имеют дело именно с тем веб-сервером, на который обращаются. Правильно работающий SSL выполняет транспортную функцию для браузеров, подтверждая подлинность веб-сайта. Например, при соединении с защищенным сайтом браузер сначала устанавливает сеанс SSL с веб-сервером. Затем сервер предъявляет свой сертификат, как правило, выпущенный эмитентом сертификатов. Браузер проверяет достоверность сертификата по следующим признакам: 1) сертификат должен быть выдан доверенной организацией, такой как Verisign или Thawte; 2) сертификат не должен быть просрочен; 3) сертификат должен быть выдан тому сайту, к которому вы обращаетесь. В случае невыполнения любого из этих условий Netscape должен выдавать предупреждение о недостоверности сертификата.

Netscape надлежащим образом проверяет все три условия при установлении связи с сервером. Проблема заключается в том, что все защищенные соединения с IP-адресом этого сервера осуществляются в рамках одного и того же сеанса защищенной связи. Не сравнивая имена сертификата при каждом соединении, Netscape позволяет злоумышленнику переадресовать защищенные запросы с подлинного сайта на подложный, откуда хакер может извлекать конфиденциальную информацию.

Для того чтобы использовать это слабое место Netscape SSL, необходимо выполнить некоторые условия. Прежде всего, хакер должен проникнуть в ваш DNS-сервер. Без этого он не сможет переадресовать запросы. Во-вторых, подложный сайт сам должен иметь подлинный сертификат SSL. В-третьих, прежде чем ничего не подозревающий пользователь установит связь с подлинным веб-сайтом, он должен установить подлинное, достоверное соединение с подложным веб-сайтом.

Сертификат можно проверить и вручную, дважды кликнув на значок замка в нижней строке браузера Netscape и сравнив имя сертификата с именем сайта, на который вы направляетесь. Хотя потенциальная возможность подлога здесь есть, вероятность его мала ввиду сложности предварительных условий. Скорее всего, этой лазейкой могут воспользоваться ваш ISP или кто-то, имеющий дело с таблицами Domain Name Service (DNS). Но им придется каким-то образом заставить вас установить защищенное соединение с их подложным сайтом.

Самый простой способ заткнуть эту лазейку — установить на Netscape Communicator дополнение Netscape Personal Security Manager (PSM). А можно сделать апгрейд на последнюю версию Netscape 4.73, которая содержит соответствующую поправку. Наконец, можно просто следить за своим ISP и DNS-сервером. Крупные ISP дорожат репутацией и более тщательно оберегают свои DNS-серверы от злоумышленников.

 В продолжение темы:

Обсуждение и комментарии

	Shadow 19 May 2000 9:09 PM
Вот Нетскейп и накрылся! Long life Mozilla!
	Ezh - ezhinfonet.ee 19 May 2000 11:28 PM
Нуда, а ИЕ весь такой бездырявый что аж светиться... В 4.73 это уже давно исправлено. К тому же он практически не падает. А за последние дни Мозилла стала очччень даже ничего. Мало падает и очень даже быстренько работает.
	Ezh - ezhinfonet.ee 19 May 2000 11:28 PM
Ну-да, а ИЕ весь такой бездырявый что аж светиться... В 4.73 это уже давно исправлено. К тому же он практически не падает. А за последние дни Мозилла стала очччень даже ничего. Мало падает и очень даже быстренько работает.
	Shadow 20 May 2000 1:09 AM
Ну, раз это в 4.73 исправлено, значит, ета статья полный гон.
	KOT - sergeynovsu.ac.ru 20 May 2000 10:28 AM
А Русский ЗДНет вообще в последнее время только и гонит. Виндузятники.
	A 20 May 2000 2:15 PM
Да и вообще. Вы вчитайтесь в статью! Мало того, что провести атаку на эту дырку почти невозможно, но и пользователь в любой момент может проверить подлинность сайта. Это уже и дыркой-то не назовешь. Не исключено, что так и было задумано. Хотя конечно местечко слабенькое.
	eugene - eugenemonline.ru 22 May 2000 11:05 AM
Шестой "шкафчик" PR (то есть дядюшка Мозилл) - странное дитя. С одной стороны, наконец-то хоть какой-то XML, поддержка слоев, улучшенная JS-поддержка и так далее. С другой стороны -страшный тормоз (Java прет изо всех дыр), масса пока еще неотлаженных глюков (валится на пустом месте), солидный объем дистрибутива (а обещали браузер-дискету), традиционная для шкафов убогая система настроек и весьма страшненький интерфейс (мое личное мнение, хотя о вкусах не спорят). Так что, госопода столяры из Sun-Netscape - долото в руки и работать, работать и еще раз работать...
	tivasyk - tivasyknetscape.net 22 May 2000 2:52 PM
да, ЭТА "лазейка" - похоже просто страшилка для лохов. нетскейп убьет его же команда - а нефиг было с аолом связываться. шестой мозилла (сам не видел - зачем, читал мно-о-ого и все плохое) - просто содран, да притом впопыхах... так что на 4.7х можно остановиться... а потом что? надо где-то серийки на оперу искать :)
	Андрей Черепанов - andrey_tigeri.am 23 May 2000 4:52 AM
2 tivasyk: если не видел - зачем говоришь? То что валиться - это да, есть такое (а что вы хотели от Preview Release 1 и товарищей, которые творят странички с ошибками в HTML)?? Упакованную конфетку? Меня он даже в этом виде устраивает. Вот то, что там появились каналы(именно в интерпретации Netscape) - это плюс! Ну ват хочу я по одному клику посмотреть и закладки и курс MSFT :) А вам, молодой человек, надо бы в Уголовный кодекс заглянуть - насчет воровства там есть статейка :)