Нов хакерски инструмент може да улови сесия на PayPal и други обекти![]() Нов хакерски инструмент може да улови сесия на PayPal и други обекти
// Antivirusni.BG // Следващия петък, двама независими експерти в областта на ИТ сигурността ще представят нов хакерски инструмент които ще може да разшифрова уеб сайт с исканията на протокол Transport Layer Security 1.0 и SSL 3.0.
Разработката на този инструмент, както създателите му твърдят, ще позволява на дадено лице или компютърна програма, да се възползват от сесия на различни сайтове с финансова и лична информация. Жулиано Ризо и Тай Дуан са готови да представят своите Exploit Browser решения срещу SSL / TLS (BEAST), по време на конференцията Ekoparty в Буенос Айрес (Аржентина). Инструментът е базиран на адаптивен метод, прилагане на подход, известен, като човек-в-средата. BEAST разпределя сегменти на обикновен текст, която се изпраща към желаният браузър в кодирани заявки с цел определяне на публичния ключ за криптиране. Кодът може да бъде поставен в браузъра чрез специален код за JavaScript, свързан със злонамерена банер-реклама, и по този начин се разпространява чрез мрежата или чрез вграден фрейм. С използването на стандартни блок текстове, BEAST може да използва събраната информация за да се декриптира желаната заявка и да се защити от алгоритъма AES, по-специално, да получи зашифровани cookies файлове, и след това да пробие в безопасна сесия. Въпреки това, декодирането е доста бавно. Текущата версия на BEAST не може да счупи cookies по-дълги от 1000 символа, след като е действал в продължение на около половин час. Според разработчиците, с техните системи могат да бъдат хакнати сесии на платежната система PayPal и други услуги, използвайщи стандартен TLS 1.0. Освен това, разработката може да декриптира HTTPS заявки, с помощта на хвърляне на произволни блок-текстове. Източник: Статии по темата:
Компютърна безопасност
27/02/2012 |
|